Dans le cadre de l’analyse de “la menace informationnelle”, le schéma classique nous conduit à observer et mettre en lumière le poids des récits poussés par les attaquants, les vulnérabilités que le discours exploite et la diffusion de ces derniers. On cherche des “métriques” pour analyser la “viralité” et l’on tente de répondre à la question de “l’impact”.

“C’est grave docteur?”

Cette question, qui est au cœur d’un post de Viginum le 10 juillet dernier, nous engage à repenser la question de la mesure d’impact des opérations de manipulation de l’information. Pourtant, un exemple récent m’a conduit à décentrer le regard de l’analyse et à m’interroger sur l’impact du silence dans la guerre de l’information plus que l’analyse du bruit des récits.

La V1 du Détecteur de Manipulation Cognitive 🧠 Plugin DIMA est disponible

Téléchargez et installez le plugin Chrome ici :

L’index DIMA est un outil de détection automatique des techniques cognitives dans les contenus web. Basé sur la matrice DIMA développée par le M82 project, il analyse en temps réel les pages que vous visitez pour identifier les tentatives de manipulation de l’information.

Il s’inscrit dans une démarche de lutte contre la manipulation de l’information et de promotion de l’esprit critique numérique et de la vigilance en ligne. Il constitue un outil d’aide, pas un verdict définitif sur la qualité d’un contenu.

Introduction

J’ai eu la chance cette semaine d’échanger avec M. David Colon. Au détour de la conversation, le terme “guerre cognitive algorithmique” a été évoqué. Mais de quoi s’agit-il exactement ? J’ai déjà un peu de mal avec “la guerre de l’information”, alors comment appréhender ce concept et que recouvre-t-il ?

Il y a quelques semaines, Marie-Doha Besancenot partageait sur un réseau social un rapport du “Special Competitive Studies Project” datant de novembre 2024 intitulé : “Decoding China AI-powered Algorithmic Cognitive Warfare”. Je ne l’avais lu qu’au prisme de l’article que je préparais alors pour le Rubicon sur les limites de l’influence en ligne.

Je viens de terminer la lecture de l’excellent ouvrage de Martin Untersinger Espionner, mentir, détruire et me suis replongé dans des notes que j’avais jeté dans le cadre d’une réflexion sur une “petite histoire de la cyber conflictualité”. Je vous propose ci-dessous un voyage dans le temps, trente ans de cyberguerre en 5 minutes de lecture.

Grimpez dans la Dolorean et attachez vos ceintures.

L’Évolution de la « Cyberguerre » : De la Fiction à la Réalité Stratégique

La technologie transforme profondément la nature des conflits contemporains, ce truisme sert en général de chapeau à tout article qui traite de la « cyberguerre » depuis, au moins, 1993. Intelligence artificielle, drones, robots tueurs et cyberattaques font désormais partie du lexique militaire quotidien. Ajoutons « guerre hybride » et la panoplie est complète. Mais au-delà des effets d’annonce et des concepts du « prêt à porter stratégique », quelles sont les véritables implications de cette approche techno-centrée pour les institutions et sur nos armées ? Le 9 juin 2023, lors de la conférence de clôture du SSTIC, Mathieu Feuillet revenait sur 15 ans d’opérations à l’ANSSI. Dans sa présentation, il évoquait 2011 et l’attaque contre Bercy comme « la mère de toutes les batailles » pour la sous-direction des opérations de l’ANSSI. À l’époque, des exfiltrations massives de données étaient détectées sur les serveurs du Ministère de l’Économie et des Finances dans le cadre de la présidence française du G20. L’attaquant, présent dans le système d’information depuis au moins deux ans, s’est révélé assez professionnel bien que peu discret. Toujours présent lors de l’intervention de l’agence, les équipes ont ainsi pu observer en « temps réel » les actions de ce groupe et interagir avec lui.

Quand escroquerie financière et influence russe convergent

Encore une fois, une analyse récente du DFRLab sur des scams aux cryptoactifs (exploitant cette fois-ci la mort d’Alexei Navalny) révèle des techniques étrangement familières pour ceux qui suivent les opérations d’influence russes.

Entre usurpation massive d’identités médiatiques (DW, EuNews), deepfakes d’opposants politiques russes, infrastructure de centaines de pages dormantes réactivées et typosquatting sophistiqué, ce mode opératoire est toujours le même depuis des années (remplacez juste Gabriel Attal par Navalny et Navalny par Berlusconi).

Lorsqu’on s’intéresse à l’influence et aux dynamiques sociales, on tombe tôt ou tard sur la conjecture de Foerster ou sur les notions dérivées qui sont regroupées dans les concepts de “seconde cybernétique” et les approches de systèmes complexes. C’est ce qui m’est arrivé en écoutant l’épisode de Signal sur bruit qui explore avec Victor Chomel le capitalisme de la confiance.

Retour vers la conjecture

Pour résumer la conjecture de Foerster appliquée aux réseaux sociaux, on peut shématiquement dire que :

Et pourquoi je ne crois pas à la lutte contre la manipulation de l’information (enfin si, mais pas comme ça).

L’attaque informationnelle et la métaphore du courant

Alors que je cherchais à traduire, lors d’une formation en anglais, l’idée de “remonter” la matrice DISARM, c’est à dire, la lire de la droite vers la gauche, comme on remonterait le courant d’une rivière, je me suis dit que cette métaphore de la rivière pourrait être intéressante à creuser.

Réflexion sur le concept de Left et Right of Boom appliqué à la manipulation de l’information

Dans le cadre de la cyber threat intelligence (CTI) et de la sécurisation des systèmes d’information, un concept clé permet de distinguer deux types d’actions : celles qui relèvent de la prévention (avant une attaque) et celles qui concernent la réaction (après une intrusion). Ce concept a été repris et adapté dans la lutte contre les manipulations de l’information (LMI), mais de manière tellement modifiée que son sens a évolué.

Depuis plusieurs mois, la lecture des rapports et des diverses lettres informations qui traitent des sujets liés à la manipulation de l’information me laisse un peu sur ma faim. Sans vraiment comprendre pourquoi, j’avais le sentiment d’un manque. Mais où est le problème ?

Si, comme nous l’avons proposé la comparaison méthodologique entre cybersécurité et opérations d’ingérence numérique est source d’inspiration, à trop vouloir coller au modèle on efface probablement des spécificités de l’objet d’étude. Le manque évoqué viendrait donc d’un déficit de définitions, d’un problème de terminologie. Ainsi, dans un même document, Matriochka est présenté comme un “mode opératoire” puis une “campagne” ou un “dispositif”. On parle également parfois “d’écosystème numérique”. Or, ces notions, lorsqu’elles existent en CTI (Cyber Threat Intelligence) sont connues et s’intègrent dans une démarche complète visant à standardiser les appellations pour faciliter la capitalisation, l’échange et l’analyse des données. En LMI, la confusion sémantique semble encore régner.

“Étoiles de David”, “mains rouges”, “affaire des cercueils”, M82 project s’est lancé dans une petite analyse des dernières opérations d’influence russes visant la France et en particulier le mode opératoire qui combine actions dans le monde physique et reprise numérique.

De quoi parle-t-on ?

Le mode opératoire étudié est celui dit des “tags”. En fin d’année 2023, de nouvelles actions hybrides apparaissent sur le territoire national. En l’espèce, des individus taguent ou utilisent des pochoirs pour diffuser leurs narratifs (anti-JO, étoiles de David, etc). Ces actions isolées sont ensuite relayées et amplifiées sur les réseaux sociaux puis dans la presse qui s’en fait largement l’écho.

Le concept de guerre cognitive revient sur le devant de la scène alors même que les études stratégiques l’avait délaissé, le résumant souvent à une forme dégénérée des opérations psychologiques de la Guerre froide. Tout cela sentait bon les expérimentations sulfureuses du KGB et les tentatives de manipulations chimiques des cerveaux de la CIA. Pourtant, avec la révolution de l’information que nous connaissons, nos capacités cognitives semblent aujourd’hui dépassées et laissent béantes les failles pour l’exploitation de biais dans nos propres représentations et systèmes de valeurs.

In 2023, as I sought to better understand the DISARM framework, I attended a Clusif conference entirely dedicated to the Mitre ATT&CK framework. I believed that to better grasp the former, I needed to understand its origins and why it operated in this manner. Indeed, the CogSec working group that worked on DISARM drew inspiration from ATT&CK and included individuals from the Mitre company.

I wasn’t disappointed; the reflections and sharing of experiences at the conference were rich and interesting. One phrase, in particular, stuck with me: one of the speakers reminded us that ATT&CK was a “soft” tool. Indeed, fitting the unique, idiosyncratic sequence of actions into an arbitrary breakdown, no matter how detailed, is always subject to interpretation. And sometimes, to error…

Pour lutter contre un phénomène, il faut le connaître et appliquer des mesures simples de prévention. Le M82_project vous propose un “petit manuel de survie contre la manipulation de l’information en ligne”.

Il ne s’agit pas de grande théorie mais de quelques conseils de base pour tout un chacun !

télécharger notre guide PPT ou PDF

De quoi parle-t-on ?

La « désinformation » est généralement définie comme la diffusion d’informations délibérément fausses ou trompeuses. On parle alors de « fausses informations » ou de « fake news ».