Par Laurence Bindner et Raphael Gluck, chercheurs et consultants spécialisés dans l’analyse de la dissémination des contenus terroristes en ligne, co-fondateurs de JOS Project.
Europol a annoncé avoir effectué, les 25 et 26 avril 2018, une opération d’envergure pour compromettre la propagande de l’Etat islamique. Cette opération, conduite par le procureur fédéral belge, a été coordonnée avec 6 pays européens (Belgique, Bulgarie, France, Pays-Bas, Roumanie et Royaume-Uni) ainsi que le Canada et les Etats-Unis. D’après les explications fournies par Europol, l’opération aurait abouti à deux résultats importants : la saisie de serveurs et preuves numériques, et la restriction de l’utilisation abusive d’extensions de noms de domaines. Cette opération a visé l’agence Amaq, la radio al-Bayan, Halumu et Nashir News. Quel retour d’expérience peut-on faire de cette opération ?
Telegram : la source qui irrigue le web
En préambule, il convient de rappeler rapidement comment se structure la propagande de l’Etat islamique en ligne et comment la dissémination des contenus s’organise.
Depuis 2015, les grandes plateformes du web ont accru leurs contrôles des contenus mis en ligne. Les activistes médiatiques de l’Etat islamique ont alors migré vers la semi-clandestinité du deep web, notamment en faisant émerger leur propagande depuis l’application de messagerie chiffrée Telegram. Ils y bénéficient d’une certaine sécurité opérationnelle, qui compense la perte de l’immédiateté de l’accès au grand public dont ils jouissaient sur d’autres plateformes.
Ce sont les « chaînes » qui font de Telegram un support de propagande de choix. Fonctionnant sur « abonnement » et unidirectionnelles, contrairement aux groupes où chaque membre peut s’exprimer, les chaînes envoient à leurs récipiendaires du contenu en « push » uniquement, et ces derniers n’accèdent pas à l’identité des autres récipiendaires.
Pour sécuriser les contenus sources, les « chaînes-noyau » de la propagande ne sont accessibles qu’à peu d’individus, eux-mêmes administrateurs (ou membres) d’autres chaînes (ou groupes) au vivier de récipiendaires plus nombreux et auprès desquels ils relaient ces contenus. Et ainsi de suite. Ces contenus sont également relayés de façon automatique par des « bots ». La dissémination sur Telegram fonctionne donc en cercles concentriques, des chaînes-noyau jusqu’à des chaînes ou groupes comptant plusieurs centaines, voire milliers, de récipiendaires ou membres.
C’est essentiellement de Telegram, la source irrigant le web, qu’activistes et sympathisants puisent les contenus et parviennent à leur frayer un chemin jusqu’aux réseaux sociaux, outils de stockage ou sites web, avec résilience et agilité, témoignant d’une capacité d’adaptation permanente.
Une activité très régulière de l’EI également en marge de Telegram
En parallèle de Telegram, l’Etat islamique fait aussi régulièrement émerger des contenus « en direct », sur des sites, des réseaux sociaux (via des comptes, profils, groupes, …), et, bien-sûr, dans des plateformes de stockage. Les liens vers tous ces supports sont abondamment partagés sur Telegram.
Certains sites, comme Halumu, ou Amaq constituent de véritables djihadothèques et rassemblent un grand nombre de vidéos, enregistrements audios, publications. Ils offrent également la possibilité de s’inscrire à un service mail de réception de nouvelles, ou fournissent la possibilité de télécharger un plugin orientant par exemple vers le lien URL d’un site web ultérieur.
Figure 1 – Exemple de site Amaq, juin 2017
Une opération ciblant les sites accessibles au public
Le communiqué de presse d’Europol, peu détaillé sur le contenu de l’opération, fait émerger deux éléments : la saisie des serveurs aux Pays-Bas, aux Etats-Unis et au Canada, et la restriction d’utilisation abusive d’extensions de noms de domaines.
Les équipes d’Europol connaissent l’architecture précédemment décrite. L’opération qu’ils ont menée ne visait donc vraisemblablement pas à tarir la propagande de l’EI à la source, c’est-à-dire la dissémination via Telegram, du moins à court terme. Depuis le 25 avril, premier jour de l’opération d’Europol, le flux de propagande de l’EI sur Telegram demeure assez stable, subissant les fluctuations habituelles, difficiles à attribuer à des facteurs exogènes.
L’action sur les serveurs et les extensions de noms de domaine visait potentiellement deux buts : le ciblage de sites directement accessibles au public – quand Telegram demeure, malgré un drainage régulier, fermé au plus grand nombre – et la collecte de renseignement.
En ce qui concerne le ciblage des sites, on notera que trois sites ont cessé simultanément d’être accessibles : war-news-agency (site de l’agence Amaq), upload-files (hébergeant des vidéos, communiqués de revendication, …) et le site de la radio al-Bayan, tous trois ayant une extension .eu. De tels sites disparaissent de façon régulière mais cette simultanéité n’est vraisemblablement pas un hasard.
Si certains sites ont bien été compromis, la perturbation demeure donc pour l’instant très
Figure 2 – Lien pbrd.co vers une infographie de l’hebdomadaire an-Naba 129 (20 avril 2018)
marginale pour la propagande de l’EI et les contenus continuent d’apparaître sur des plateformes de partage habituelles…. ou sur d’autres, comme par exemple pbrd.co, dont les premières occurrences datent de ce milieu de semaine.
De plus, al-Bayan, (qui émergeaient régulièrement dans les mois précédents avec d’autres extensions – .be, .pl, ou .ua), a refait surface le 29 avril, soit trois jours après l’opération d’Europol, cette fois avec une extension en .ru, le site proposant un lien vers le dernier hebdomadaire de l’Etat islamique, an-Naba n. 129 et un plugin Firefox. Le 1er mai, Amaq réapparaissait également avec un site en .eu.
Figure 3 – Capture d’écran d’un site d’Amaq en .eu (1er mai 2018)
Néanmoins, les questions que l’on peut se poser en termes de collecte de renseignement sont les suivantes :
- Avec quelle aisance et quelle rapidité les activistes de l’Etat islamique peuvent-ils pallier les récentes perturbations (accès à des nouveaux serveurs) ?
- Quels sont les éléments exploitables dans les serveurs saisis ou, autrement dit, quelles sont les preuves numériques évoquées ? Parmi les éléments envisageables, on peut s’interroger sur la possibilité d’identifier des adresses IP de machines s’étant connectées aux serveurs, (pour uploader ou downloader du contenu), des éléments sur les administrateurs de ces serveurs (sont-ils en Europe ?), ou encore des informations sur des éléments financiers, ou sur les internautes s’étant connectés aux sites ciblés. Toutes ces informations sont bien-sûr hypothétiques et dépendront du niveau de sécurisation opérationnelle dont auront fait preuve les administrateurs de sites (ont-ils par exemple utilisé des réseaux virtuels privés ou VPN ?). Des informations en termes de procédures ou de méthodologie pourraient également être contenues dans les serveurs.
En somme, l’opération d’Europol ne compromet pas véritablement le flux de propagande de Daech et ne doit pas être uniquement évalué par une mesure de ce flux, du moins dans l’immédiat. Son effet ne pourra se faire sentir seulement si les éléments saisis fournissent suffisamment de renseignement exploitable sur les sources de cette propagande, ce qui ne pourra être estimé qu’à moyen terme. En outre, son impact dépendra également de la fréquence de telles actions.
Cependant, cette opération illustre que le combat contre la propagande se situe également sur un autre terrain, crucial, celui du renseignement : l’exploitation des données collectées contribuera à mieux cerner le phénomène à la source, – y compris celle de Telegram -, plutôt que de tenter de juguler mécaniquement un flux intarissable.
Source officielle & article original : Ultima Ratio (IFRI) : http://ultimaratio-blog.org/archives/8717
In English: ICCT – La Haye : https://icct.nl/publication/assessing-europols-operation-against-isis-propaganda-approach-and-impact/