Le concept de guerre cognitive revient sur le devant de la scène alors même que les études stratégiques l’avait délaissé, le résumant souvent à une forme dégénérée des opérations psychologiques de la Guerre froide. Tout cela sentait bon les expérimentations sulfureuses du KGB et les tentatives de manipulations chimiques des cerveaux de la CIA. Pourtant, avec la révolution de l’information que nous connaissons, nos capacités cognitives semblent aujourd’hui dépassées et laissent béantes les failles pour l’exploitation de biais dans nos propres représentations et systèmes de valeurs.

In 2023, as I sought to better understand the DISARM framework, I attended a Clusif conference entirely dedicated to the Mitre ATT&CK framework. I believed that to better grasp the former, I needed to understand its origins and why it operated in this manner. Indeed, the CogSec working group that worked on DISARM drew inspiration from ATT&CK and included individuals from the Mitre company. I wasn’t disappointed; the reflections and sharing of experiences at the conference were rich and interesting.

Publié avec l’aimable autorisation des Presse de Science Po. Référence : Berenguier, Lilou. « Mark Galeotti, The Weaponisation of Everything: A Field Guide to the New Way of War, New Haven, Connecticut, Yale University Press, 2022, 248 pages », Les Champs de Mars, vol. 37, no. 2, 2021, pp. 205-207 The Weaponisation of Everything : A Field Guide to the New Way of War, essai percutant de Mark Galeotti, russologue associé au Royal United Services Institute, dresse un panorama des formes de conflictualité dites « hybrides » ou « sous le seuil » et des théâtres sur lesquels les puissances s’y livrent.

C’était à la fin du mois d’aout 2023, le groupe Meta, maison mère de Facebook et Instagram, annonçait, le démantèlement partiel d’un réseau diffusant de fausses informations et de la propagande pour le compte de la Chine. Cette campagne avait été partiellement identifiée dès la fin de 2019 par Graphika en particulier et qualifiée de “réseau de spam”. Visiblement le réseau a continué son expansion conduisant les équipes de sécurité de Meta à identifier, sur Facebook, 7 704 comptes, 954 pages et 15 groupes liés à cette campagne, ainsi que 15 comptes sur Instagram.

Il y a quelques jours, Anaïs Meunier, notre VP du M82_project, postait sur LinkedIn une réflexion sur le cycle du renseignement adapté à l’analyse de la menace en cybersécurité (CTI). En deux illustrations elle pose la question de l’utilisation des concepts de “cycles” là où il faudrait voir des rétroactions permanentes. Le débat est lancé ! Interactions entre les cycles du renseignement ? Au commencement était John Boyd et la boucle OODA ?

Pour le lecteur préssé Multidomaines: L’Armée de terre américaine a publié le 27 novembre dernier son tout premier document de doctrine sur “l’information”. Sans grande surprise, l’ADP 3–13, met l’accent sur l’importance de l’information dans les opérations multidomaines (MDO). Renseigner, commander, influer : L’information est présentée comme fondamentale pour le renseignement, le commandement et le contrôle, influençant à la fois la stratégie et la réalisation des objectifs militaires. Si on avait pu croiser la notion d’avantage informationnel (comme on parle d’avantage terrestre ou maritime) il me semble que c’est la première fois que cette notion est définie.

La multiplication des campagnes de désinformation et leur impact potentiel sur la société ont conduit de nombreuses organisations (universités, think tank, ONG, administrations, plateformes) à étudier et analyser cette menace. Cet intérêt a résulté dans l’élaboration de schémas descriptifs permettant de mettre en lumière le comportement de ces acteurs et les objectifs de leurs campagnes. Cette démarche a ainsi pu se nourrir de la riche littérature et de l’expérience accumulée dans un autre champ d’analyse de la menace : la Cyber Threat Intelligence (CTI).

En octobre 2022, l’entreprise de cybersécurité américaine Mandiant a publié un article décrivant plusieurs campagnes d’influences semble-t-il d’origine chinoise, visant les États-Unis. Les éléments relevés décrivaient trois narratifs différents portés par le même acteur. Cet acteur, Dragonbridge, a été observé dès 2019 par Mandiant qui a constaté de nombreuses campagnes d’influence portées par ce réseau de milliers de comptes présents sur de nombreux réseaux sociaux et canaux de communication. Si, au départ, ce groupe a surtout mené des campagnes d’influences en faveur de la Chine, il s’attaque désormais, depuis quelques mois, à l’image des États-Unis.

Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes (ACSC, ASD) publiaient une Joint Cybersecurity Advisory au sujet d’un mode opératoire des attaquants (MOA) baptiséVolt Typhoon Cette publication est elle-même accompagnée d’un billet de blog de l’éditeur Microsoft détaillant les tactiques, techniques et procédures (TTPs) de ce MOA Actif depuis mi-2021, Volt Typhoon serait associé aux autorités chinoises et se livrerait à des campagnes d’espionnage.

Nombreux sont ceux qui ont été trompés par ces articles et les ont relayés. D’ailleurs, certains se sont rendus compte de la supercherie et ont supprimés leurs tweets. D’autres ont reconnu leur erreur : « J’ai relayé un moment à tort cet article et je le regrette, et ce, même si je conteste le narratif otanien. » peut-on lire sur LinkedIn. Mais pour la plupart, le mal est fait. Cette technique, qui utilise les visuels et les codes d’un site légitime est connue sous le nom de typosquatting elle est identifiée dans la matrice DISARM en tant que tactique T0099 « Prepare assets Impersonating Legitmate entities » et se situe dans la phase « préparatoire » d’une campagne de manipulation de l’information.