Ce billet a pour objet l’étude du modèle en diamant pour l’analyse des opérations d’influence développé par Charity Wright[1] , analyste en renseignement sur la menace chez Recorded Future. En questionnant les termes proposés, il a pour finalité de comprendre son utilité et sa possible exploitation dans le champ de la lutte contre les manipulations de l’information.
Vocabulaire
Les campagnes de manipulation de l’information sont un sujet largement abordé aussi bien dans la presse généraliste que dans les travaux académiques. Cependant, la terminologie utilisée pour les décrire est variable et utilisée de manière souvent indifférenciée. De fait, nous ne parlerons pas ici de propagande ni de guerre de l’information. Tout d’abord parce que le terme de propagande est, selon Jean-Baptiste Jeangène Vilmer, « trop large[2] » lorsqu’il décrit « une tentative d’influencer l’opinion et la conduite de la société de telle sorte que les personnes adoptent une opinion et une conduite déterminée ». Le terme « guerre de l’information » quant à lui, dans sa volonté de décrire une menace globale et imminente, est également trop large et fige le lapin dans les phares de la voiture : on ne sait ni à quoi on a affaire, ni comment répondre.
Le terme « désinformation », ensuite, caractérise une information délibérément faussée mais ne contient pas l’idée d’une volonté politique de nuire. Les « fakes news », quant à elles, décrivent la création d’informations sensationnelles, chargées émotionnellement et imitant les vraies informations. Elles ont pour but de faire réagir le public en jouant sur l’affect.
Les opérations d’influence, enfin, sont liées à la diplomatie et à la politique et ne sont pas forcément problématiques. De plus, elles définissent un champ plus large que les manipulations de l’information qu’elles englobent.
La terminologie qui semble ainsi se rapprocher le plus de la matière étudiée reste la « campagne de manipulation de l’information » telle que décrite par Jeangène Vilmer : « une campagne coordonnée, de diffusion de nouvelles fausses ou sciemment déformées, avec l’intention politique de nuire[4]». C’est pourquoi, si cet article se fonde sur le modèle de Charity Wright, il ne gardera pas le terme d’opération d’influence.
Le modèle en diamant
Le modèle en diamant est à l’origine un outil conceptuel issu de l’histoire de la Cyber Threat Intelligence (CTI) et développé en 2013 par Sergio Caltagirone, Andrew Pendergast, et Christopher Betz sous le titre de Diamond Model of Intrusion Analysis. Il peut sembler très conceptuel et, par là même, peu utile ou efficace, il permet pourtant de :
• comprendre et de visualiser la traduction d’une campagne dans un langage standardisé permettant de la capitaliser (au format STIX par exemple) ;
• concevoir le champ d’application d’une matrice de techniques, tactiques et procédures (TTPs) ou d’une Kill Chain ;
• appréhender l’ensemble des composants d’une campagne ;
• rendre compte des données disponibles pour l’analyste. En effet, dépendamment de son statut ou de l’organisme auquel il appartient, l’analyste ne disposera pas de la même qualité de données (sources ouvertes, issues de services de renseignement, partagées par un industriel, etc.[5]).
Le modèle en diamant pour les opérations d’influence s’inspire donc de la CTI. Il se présente sous la forme d’un losange plat dont les 4 angles traduisent les différents éléments de la campagne. Il expose ainsi le créateur de la campagne, ses victimes, les capacités dont il dispose (en termes de TTPs pour lesquelles nous utiliserons le standard DISARM), son infrastructure (ses capacités techniques) et, en son centre, les narratifs sur lesquels il s’appuie. Ces différents angles sont reliés entre eux par deux axes principaux : l’axe socio-politique qui permet à l’adversaire de développer des narratifs pour l’audience ciblée.
Le second est un axe technique qui met en lien les TTPs avec les infrastructures techniques nécessaires à leur déploiement.
Même si la structure du diamant adapté à la LMI est tout à fait opérante pour décrire les campagnes de manipulation de l’information, sa créatrice fait deux choix conceptuels dont l’un me semble problématique.
Charity Wright considère que, du fait de la possible externalisation des campagnes à des sociétés privées, celles-ci, bien que placées sur l’angle du diamant consacré à l’adversaire, elles ne peuvent pas être dénommées comme tels[6]. Elle a donc remplacé l’acteur malveillant (Adversary dans le modèle original), par le terme d’Influenceur.
Ce choix est questionnable. En effet, l’externalisation d’une campagne par l’acteur malveillant, à une société privée, lui permet d’obtenir une infrastructure technique ou un support capacitaire (dans le sens de TTPs). On peut prendre pour exemple la campagne RRN/Doppelgänger[7]. Si des sources ont pu identifier « l’implication d’individus russes ou russophones », les sociétés russes prestataires de cette campagne, dont une entreprise de marketing digital, sont considérées comme des infrastructures ou des capacités au service d’un acteur plus global.
Une société privée est ainsi une capacité pour l’adversaire (en termes de TTPs) ou pour son infrastructure (entreprise d’hébergement web par exemple). L’acteur n’est pas donc pas un simple influenceur ayant pu mettre en place une campagne sans avoir l’intention de nuire. S’il est décrit à cet angle du diamant, il a une intention, portée par un narratif et visant une audience. Il est responsable de la campagne et de ses finalités, il est donc un adversaire. Les sociétés privées ainsi que les influenceurs seront, selon leurs actions, localisés dans les angles capacités, infrastructure ou victimes du modèle en diamant.
L’audience
Définir l’audience d’une campagne de manipulation de l’information revient à se poser la question des finalités, de l’impact et de la cible des campagnes.
L’hétérogénéité des acteurs et des campagnes n’aide pas à modéliser clairement celle-ci. Pourtant, étant à la fois le vecteur, la victime et la cible des campagnes, il est nécessaire d’en comprendre ses constituants.
Il me semble que, lorsque l’on parle d’audience, on fait appel à trois éléments structurants : les victimes, l’audience et la cible.
Ces trois notions s’imbriquent. Le terme victimes regroupent à la fois les audiences visées ainsi que la cible finale de la campagne. En effet, la cible peut faire partie de l’audience mais elle n’est parfois touchée par celle-ci que grâce au relais de l’audience qui va partager et commenter les artefacts de la campagne. Les victimes seront alors toutes les personnes affectées par la campagne mais non visées par celle-ci.
La campagne peut manquer sa cible ou même son audience, mais elle fera toujours des victimes. En effet, celles-ci sont soumises aux artefacts (tous les supports audios, vidéos, textuels diffusant le narratif de la campagne) et ceux-ci s’accumulent dans ce qu’ Arild Bergh[8], définit comme étant une « sédimentation d’information en ligne[9]».
Bergh nous invite à penser les médias sociaux comme une rivière mouvante charriant des particules qui atterrissent finalement dans un delta où elles seront stockées. Ces particules sont les artefacts des différentes campagnes. Chaque nouvel artefact nourrit ce sédiment et en augmente le niveau.
Cette vision de l’audience n’impacte pas le modèle diamant. Cependant elle incite à réexploiter le terme victime utilisé dans le modèle original, car celui-ci peut englober les différents composants qui la constitue.
L’impact
L’actualité récente présente un cas de manipulation de l’information, dans le cadre de la guerre en Ukraine, sur les soi-disant mercenaires français tués dans un bombardement à Kharkiv . Les propos de l’article, ainsi que des réactions publiées sur les réseaux sociaux mettent en lumière la piètre qualité de cet incident. En effet, si certains noms français faisaient bien références à des personnes existantes, les autres étaient clairement faux et de mauvaise facture.
Dans le cadre de ces campagnes, audience, cible et victime peuvent être indifférenciées : l’acteur malveillant met en place de nombreux incidents pour voir ce qui, finalement, va atteindre sa cible. Il peut également attendre que l’audience de l’incident, et parmi elle, les idiots utiles, relayent la campagne et lui donnent de la visibilité. Dans le cas présent, sous couvert de dénoncer la piètre qualité de l’incident, l’audience finit par en être le vecteur.
Pourquoi c’est important ? Parce qu’en suivant la logique des travaux d’Arild Bergh, le fait de relayer ces incidents en en dénonçant la qualité nourrit le substrat des campagnes passées. Les nouveaux artefacts vont se sédimenter avec ceux des campagnes antérieures.
Cette sédimentation est une manière de visualiser l’impact au-delà des métriques (nombres de visites, de likes, de partages ou d’interactions par exemple). En effet, il est toujours difficile pour l’analyste, le chercheur, le politique de qualifier l’impact d’une campagne. Cette qualification passe souvent par l’exploitation des métriques attachées à une campagne. L’image de la sédimentation proposée par Bergh permet de mieux visualiser l’impact.
Cette sédimentation va nourrir les campagnes à venir et permettre, à terme, le passage à l’acte. En effet, les campagnes de manipulation de l’information n’ont en général, pas pour but de faire changer d’avis, mais de confirmer, d’accroitre les dissensions dans la société, jusqu’à l’action, le point de rupture.
Conclusion
Appréhender la complexité d’une campagne par l’intermédiaire d’un schéma synthétique peut sembler réducteur. Cependant, cette schématisation est un support qui permet de structurer une analyse. Elle peut également aider à la compréhension et à la communication des campagnes. Enfin, choisir son vocabulaire et argumenter sa vision permet de partager les concepts plus clairement dans les travaux d’analyse ou dans les réponses qui peuvent être faites pour lutter contre ces campagnes de manipulation de l’information.
Pour en revenir au modèle diamant à proprement parler, nous pouvons le formaliser simplement de la manière suivante, en reprenant les termes tels qu’ils ont été définis dans cet article.
(Source : OWN)
Ce schéma reprend alors les éléments fondamentaux du modèle en diamant pour les opérations d’influence : les axes technologique et socio-politique, le narratif en son centre, les capacités et les infrastructures. Enfin, l’adversaire et les victimes redéfinissent acteurs et cibles de la campagne.
Nous pourrions cependant le complexifier pour expliciter les différentes relations qui existent entre les éléments qui le constituent.
Barbara Louis Sidney, Anaïs Meunier, 2024 (source : OWN)
Ce schéma complexe à le mérite d’évoquer un élément structurant dans l’intérêt porté à ce type de formalisation : la finalité de celle-ci. En effet, le modèle diamant a été pour moi le support le plus simple pour communiquer sur la manière dont les campagnes de manipulation de l’information peuvent être capitalisées et décrites au format STIX 2.1 augmenté[11] . Or, sur ce schéma, les liens qui représentent les relations entre les différents éléments du modèle diamant évoquent les relationships qui lient les entités (STIX domain object) et les observables dans l’ontologie STIX 2.1.
Ainsi, ces différentes approches permettent à l’analyste de choisir la manière dont il souhaite partager le résultat de ses investigations. Encore une fois, à l’instar des frameworks Actor Behavior, Content (ABC)[12] ou Coordinated Inauthentic Behavior (CIB)[13] pour décrire les campagnes, il n’existe pas une seule manière de modéliser ou de partager l’information. Cependant, avant de se lancer dans une représentation complexe, il est bon de penser au but de celle-ci : expliquer, guider, capitaliser, partager ? C’est ce but qui indiquera la manière la plus pertinente de communiquer l’information.
Anaïs Meunier
OWN-CERT
Notes de bas de page
[1] Charity Wright, ‘The Diamond Model for Influence Operations Analysis’, RecordedFuture White Paper, 24.
[2] Jean-Baptiste Jeangène Vilmer and others, Les manipulations de l’information : un défi pour nos démocraties (Paris : Centre d’analyse, de prévision et de stratégie (CAPS), Institut de recherche de l’École militaire, 2018). p. 19
[3] Jean-Marie Domenach, La Propagande Politique (Presses universitaires de France), 1965). p.8
[4] Jean-Baptiste Jeangène Vilmer and others, op. cit. p. 21
[5] James Pamment and Victoria Smith, Attributing Information Influence Operations: Identifying Those Responsible for Malicious Behaviour Online (Riga: StratCom | NATO Strategic Communications Centre of Excellence, 2022) <https://stratcomcoe.org/publications/attributing-information-influence-operations-identifying-those-responsible-for-malicious-behaviour-online/244> [accessed 13 November 2022].
[6] Op. cit. p. 6 : « Because some of these third-party organizations may be unaware of the malign nature of the content they are hired to promote, it’s preferable to call these actors influencers instead of adversaries »
[7] Viginum, RRN : une campagne numérique de manipulation de l’information complexe, 19 June 2023<https://www.sgdsn.gouv.fr/files/files/20230619_NP_VIGINUM_RAPPORT-CAMPAGNE-RRN_VF.pdf>[accessed 26 January 2024]. P.3
[8] Arild Bergh, ‘Understanding Influence Operations in Social Media: A Cyber Kill Chain Approach’, Journal of Information Warfare, 19.4 (2020), 110–31.
[9] « Given this environment, this paper suggests that the content of social media is best thought of as ‘online information sediments’. In the world of big data, the term ‘data lakes’ is used to describe raw, unstructured data in large quantities, emphasizing the vastness of the data (Walker & Alrehamy 2015).
[10] '« Mercenaires français » tués en Ukraine : une opération de désinformation russe, selon Paris’, Le Monde.fr, 25 January 2024 <https://www.lemonde.fr/international/article/2024/01/25/mercenaires-francais-tues-en-ukraine-une-operation-de-desinformation-russe-selon-paris_6212913_3210.html> [accessed 26 January 2024].
[11] Au format STIX 2.1 augmenté par Filigran pour décrire les campagnes de manipulation de l’information
[12] Camille François and Transatlantic Working Group, ‘Actors, Behaviors, Content: A Disinformation ABC. Highlighting Three Vectors of Viral Deception to Guide Industry & Regulatory Responses’, 2019 <https://docs.house.gov/meetings/SY/SY21/20190926/109980/HHRG-116-SY21-Wstate-FrancoisC-20190926-SD001.pdf>.
[13] ‘Coordinated Inauthentic Behavior Archives’, Meta, 2018 <https://about.fb.com/news/tag/coordinated-inauthentic-behavior/> [accessed 15 January 2024].
