Chasseurs de Jihadistes

Capteurs Ouverts lance une nouvelle série d’articles entre ses articles de recherches en sources ouvertes – L’entretien.

Parce que nous avons la forte conviction que la communauté OSINT est en pleine expansion et rassemble des profils très différents, des approches différentes, nous donnons la parole à ceux qui sont tombés dans la marmite pour comprendre ce qu’ils font et comment.

Pour cet entretien un peu spécial, Capteurs Ouverts a discuté plusieurs mois avec plusieurs acteurs francais et internationaux pour comprendre leur travail. Cette discussion est retranscrite dans un format différent pour refléter les différents éléments glânés mais aussi non attribués pour des raisons de sécurité. Un grand merci à ceux qui lui ont accordé leur confiance.

__________________________________________________________________

Le réseau ToR sous drapeau de l’EI

2015 a vu naître un nouveau type d’acteurs en ligne issu d’un mix détonnant entre la version numérique de Sherlock Holmes, les trolls à la 4chan et  avec la même détermination que ceux qu’ils traquent : les chasseurs de cyber jihadistes . Ils combinent recherche en ouvert sur les réseaux sociaux, art de la dissimulation pour se fondre dans les chat rooms, analyse dynamique de réseaux, data mining, en plus de la mise en oeuvre de techniques de contre-messages. Alors que l’ émergence des réseaux sociaux a cassé la hiérarchie de l’information des forums vieille génération, elle a surtout créé les conditions pour une amplification sans pareil des messages. Une chambre d’échos qui a été investie du publicitaire à l’appareil d’état en passant par plusieurs groupes extrémistes mais par laquelle l’Etat Islamique s’est vite imposé en tête d’affiche. Presque quatre ans après le début de la traque par ces cyber-chasseurs, quel est leur retour d’expérience et quelle mise en perspective peut être faite sur les techniques d’identification et d’approche de réseaux extrémistes en tout genre dans le cadre plus général de l’influence en ligne et de la désinformation ?

Logo de la Katiba des Narvalos

Née à la suite des attentats en France contre Charlie Hebdo et à la campagne lancée par Anonymous contre l’Etat Islamique en 2015, la Katiba des Narvalos (KDN) est l’un des collectifs 100 % made in France à se structurer pour lutter contre la diffusion de messages du groupe terroriste. Identifiables sur Twitter par leurs avatars moquant l’imagerie jihadiste chère à Daesh, ce collectif rassemble des profils de tout horizon et complémentaires (arabophones, techniques, méticuleux, traqueurs, etc). L’un des membres de ce collectif raconte que la KDN est « une démarche citoyenne: beaucoup de gens se sont retrouvés sur les réseaux sociaux à ce moment-là et observaient, voyaient que les barbus étaient les rois sur Twitter. Anonymous a lancé le côté réaction qui agglomère et fédère autour. Nous nous sommes regroupés entre francophones un peu en parallèle. On a pris nos distances et on a essayé de se structurer et surtout de se projeter dans la durée« . L’objectif principal de l’ensemble des collectifs qui ont émergé d’Anonymous est le même: empêcher la propagation du message de l’Etat Islamique au plus grand nombre. La KDN précise que ses objectifs étaient de « brouiller la propagande de ISIS, casser le mythe du jihad, le côté romantique et l’image. Surtout brouiller au maximum la machine de communication et tout ce qu’il y avait autour« . L’utilisation d’Internet comme tactique de communication dans la propagation des idées de grouspuscules terroristes islamiques n’est pas nouvelle. En 2003, le cyber jihad est mentionné dans le manuel de Muhammad bin Ahmad Al-Jalim, 39 ways to serve and participate in Jihad. Dès 2005 certains centres de recherche recensent alors plus de 4500 forums jihadistes actifs. L’utilisation d’Internet par ces groupes progresse en parallèle de l’évolution des outils : plateformes de partage des fichiers/media qui permettent une diffusion en masse du matériel de communication, émergence des réseaux sociaux avec lesquels l’information devient décentralisée et l’apparition des applications mobiles qui permettent aux messages de toucher  des utilisateurs et démarrer des conversations partout et n’importe quand. Profitant de l’apparition concomittante de ces catalyseurs technologiques, l’Etat Islamique a fait du cyber jihad un de ses piliers stratégiques pour 1) son rôle de multiplicateur de sa véritable taille et d’outil de guerre psychologique avec ses activités sur les réseaux sociaux, 2) sa qualité de levier de recrutement grâce à l’effet marketing de ces outils, 3) le phénomène d’accélération du message, du recrutement et d’encouragement des actions solitaires grâce à sa présence sur de multiples plateformes.

Face à cela la KDN a d’abord établi une vitrine publique autour de la parodie des comptes jihadistes de l’Etat Islamique afin de « déconstruire les discours. Ne pas en parler du tout [de ISIS et du jihadisme] participe au mystère, au côté romantique, à créer une aura. Inversement, on essaie justement d’être dans une démarche de résilience, de rationaliser le sujet, déconstruire le discours« . Photos détournées, humour noir sur le mode de vie des recrues parties faire le jihad, tout est bon pour ridiculiser l’organisation. Ce contre discours s’adresse d’abord à ceux tentés de rejoindre le groupe en Syrie mais aussi à bousculer la stratégie de l’organisation. Il a aussi pour but d’éviter une récupération politicienne et partisanne du débat  suite à un attentat. Il permet enfin d’équilibrer un traitement médiatique du sujet  qui parfois crée une chambre d’écho aditionnelle au mouvement terroriste à ses dépens « Si on rationalise l’image du Sham (l’Etat Islamique) c’est pas seulement pour se foutre de leur gueule, c’est pour montrer la réalité: ils ne sont pas invincibles. Certains journalistes, analystes ont participé à la construction de cette mythologie car ils n’avaient pas de distance. A quoi cela servait de relayer des photos de jihadistes en train de manger des glaces à Raqqa ? Il y avait certainement un manque de recul, une sorte de banalisation. Alors oui Daesh est très fort mais nos jihadistes francais ne sont pas des lumières. Quand la menace de certains jihadistes francais comme Rachid Kassim pesait, les media en ont fait tellement que cela participait à leur légende. On a essayé de casser la légende de Rachid Kassim par exemple en faisant des parodies comme au Muppet Show avec des vrais audios remixés de facon ridicule. Ca c’était de la parodie pour contre-balancer l’image que les media construisaient de lui sans en être conscient et créer une forme de résilience pour éviter la psychose même si la portée était faible. C’est du LOL mais pas du LOL gratuit. Il y a un calcul derrière, une réflexion« .

Au-delà de la parodie, la KDN décrit plusieurs périodes dans des campagnes plus opérationnelles. En 2015, le cyber jihad de masse était déjà bien engagé face à la mise en place du collectif CtrlSec. La partie visible du travail de la KDN est évidemment la déconstruction du discours par la parodie et le trolling sur Twitter. Le plus gros de leur travail concerne le signalement des comptes Twitter et Facebook de sympathisants et de propagande qui s’effectue principalement par de la recherche en ligne. Fin 2015 les groupes extrémistes migrent sur Telegram, plateforme sur laquelle les collectifs de lutte développent des activités d’infiltration active, de petites manipulations et de chasse aux identifications des propagandistes les plus actifs par un travail alliant sources ouvertes et discussion avec leurs cibles. D’après un autre collectif connu, la patience est de mise dans le travail d’identification : « Un jour ils font une erreur. Ils oublient d’enlever des meta data d’une photo. Ils vont sur un site Internet et leur VPN ne sera pas en marche ce qui révèlera leur localisation ». Les buts affichés : identifier les gens derrière leurs ordinateurs, utiliser les informations apprises à droite pour en obtenir de nouvelles à gaucher, semer la zizanie et la discorde entre les membres des chatrooms. Des opérations plus pro-actives sont décrites dès mi 2016-2017 sur Twitter où l’objectif est d’obliger la plupart des comptes jihadistes à basculer du mode public en mode privé. La création via des scripts de plus de 8000 comptes en même temps permet un abonnement massif aux comptes jihadistes dans un but de harcèlement et de saturation de leur espace de communication. Les cyber sympathisants finissent par verrouiller l’accès de leur compte « Ca ne mettait pas leur propagande à la portée du premier môme qui venait sur Twitter et ne leur permettait pas de venir s’incruster à n’importe quelle conversation« . 2018 marque enfin l’année du signalement régulier et continu des channels sur Telegram avec pour objectif de perturber les noeuds de leur réseau et les interconnexions pour limiter la circulation de l’information et appréhender au mieux leurs réseaux. Malgrè des tentatives de changement de plateforme : Viber, TamTam, Rocket, Riot, Yahoo plus récemment, « L’objectif n’est pas de les faire partir de Telegram. Ils sont très bien là où ils sont car c’est une plateforme maitrisée. On veut juste les affaiblir pour fragmenter la jihadosphère« . En plus de cela, ils s’attèlent à faire du nettoyage en rassemblant par lot selon les hébergeurs le matériel vidéo en ligne et à leur envoyer pour suppression : « l’objectif n’est pas de faire totalement disparaître cette propagande, d’ailleurs cela ne disparaîtra pas vraiment, ni en une heure. Mais on a une stratégie de guerilla pour diminuer la visibilité« . Mais la KDN prévient – notamment par rapport aux suppressions massives sur Telegram il y a quelques semaines – que plus on tapera fort, plus cela les poussera à aller encore plus underground et il sera difficile de les suivre. L’avantage de Telegram c’est que la plateforme n’est pas à la portée de tout le monde comparé à Twitter : « Il faut descendre au fond des caves pour accèder à Telegram« , ce qui n’excuse plus de tomber sur de la propagande extrémiste par hasard.

En terme technique la chasse à l’extrémisme en ligne est finalement à la portée de tous, pas besoin d’avoir des compétences de hacking. Etablir un environnement de travail sécurisé a été le point de départ primordial pour la KDN avec la mise en place d’une hygiène de sécurité de base pour les membres : numéro de téléphone anonyme, utilisation de VPN, compte anonymisé au maximum. Ceux qui vont plus loin et interragissent sur les channels Telegram déclarent leurs comptes aux autorités pour éviter d’être réveillés le matin par la police et ne pas leur faire perdre de temps. Le signalement passe par  un travail d’enquête en source ouverte  et d’observation afin de reconnaître sur Twitter, Facebook ou Telegram des signatures comportementales et d’analyser le réseau d’un des comptes repérés afin de voir qui sont les membres de son réseau, à quels tweets répond-il pour gagner en visibilité, quels sont ses abonnements croisés et les liens qu’il partage. L’obtention de liens vers de nouveaux materiels en ligne permet également de faire une recherche inversée avec l’url sur Twitter pour voir quels sont les comptes qui la retweetent et suivre le réseau. Savoir utiliser des scripts python et les API de twitter/ Telegram permet de gagner du temps pour repérer des comptes suspects et ensuite les traiter manuellement afin d’éviter les faux positifs. Le repérage de compte au niveau de la menace ou de la propagande se joue plus sur l’expérience et la connaissance des cercles dans lesquels ils évoluent : « On les repère par leur cercle de potes. A un moment donné un gars disparaît de la circulation pendant 6 mois. Un de ces potes commence soudainement à retweeter une nouvelle personne et à discuter avec des mêmes sujets qu’auparavant. Il a donc réapparu sous un autre nom. Ce sont des gens qui ont pu passer sous le radar des recherches automatisées car ils ne font pas du prosélytisme visible mais ont pu se réjouir des attentats ou faire des jeux de mot que seuls les initiés comprennent. Cest donc la fréquentation des milieux avec des fausses barbes qui permet de connaitre cela« . Il n’y a donc pas d’outils magiques Open Source, utilisables par tous les niveaux et abordables pour réaliser de la collecte d’information, faire de l’archivage et du fichage d’après KDN qui recommande « de la capture d’écran, des répertoires, des fichiers textes, le plus portable possible, de l’organisation, de la méthodologie, des scripts branchés sur les API, du python, du ruby et de la messagerie chiffrée« . Finalement l’archivage et la constitution d’éléments de preuve valables pour la justice constituent un enjeu fort. Les comptes contenant de l’information pouvant servir de preuves ne sont pas signalés pour suspension par la KDN : les autorités francaises sont informées notamment via la plateforme Pharos et les messages archivés de manière non falsifiable car les captures d’écran ne sont pas valables en Justice en l’absence d’homologation en tant qu’officier de police judiciaire. Finalement la chasse au cyber jihad est un drôle d’objet qui nécessite parfois une approche un peu technique avec de l’interfacage de bot, de script, du data mining – mais peu d’informatique offensive -, de la recherche en Open Source et une connaissance de la jihadosphère mais aussi du cyber-espace. En résumé « un geek seul aura une approche geek et passera à côté de la moitié du sujet. Un passionné de jihad râtera les aspects techniques. Un analyste spécialiste appliquera sa connaissance du jihad au cyber-espace mais il ne sera pas en mesure de qualifier les opérations spécifiques au cyber jihad« . Ni dans ses pratiques numériques ni dans sa dimension offensive avec les ghazwa – les attaques de site web – comme suite aux attentats de Charlie Hebdo avec plus de 19,000 sites attaqués par des sympathisants du groupe terroriste. Plusieurs groupes de hacking aux compétences variés ont émergé à différentes périodes comme le Cyber Caliphate Army, le Ghost Caliphate Section, les Sons of the Caliphate Arms et Kalachnikov E-Security regroupés sous la banière United Cyber Caliphate ou encore le service IT du groupe Electronic Horizon Foundation.

Depuis 2015 la KDN a pu voir l’évolution de la jihadosphère passer de profils dangereux assez traditionnels avant 2016 plus dans les radars des services de renseignement à des profils très actifs sur les réseaux sociaux dans le coeur de cible du collectif de 2016 à fin 2017. En 2018 les pro-daesh francais sont devenus tres discrets, sont rares et ne disent plus rien. Ceux qui passent à l’acte comme dans le cas du dernier attentat à Strasbourg sont en dessous des radars de la KDN : peu de visibilité en ligne, une radicalisation qui ne s’affiche pas ostensiblement et des profils plus connus des autorités territoriales. Même s’il y a encore des progrès à faire, la propagande du groupe terroriste a aussi largement diminué en ligne : on ne tombe plus dessus par hasard et il faut se donner du mal pour aller la trouver maintenant, ce qui peut devenir utile aussi lors des procédures judiciaires. Finalement, un autre groupe de chasseurs très connus confiera qu’il fallait se faire des fiches avant pour infiltrer certains groupes, il y avait des tests, de la méfiance. Aujourd’hui le morcellement fait qu’il n’y a plus autant de précaution.

Alors que les gouvernements occidentaux ont investi massivement dans des programmes de lutte contre le discours extrémiste et ont commencé à pleinement investir le cyber espace, la KDN dresse un bilan positif de sa contribution bénévole à la lutte contre le terrorisme. L’effet le plus visible de l’action de ces cyber chasseurs est sans aucun doute la diminution drastique de la propagande terroriste visible par tous sur les réseaux sociaux. La KDN a également participé à son niveau au morcellement de la jihadosphère en ligne, à l’identification d’individus dangereux et menacant, à la collecte d’informations qui ont participé à éviter certains attentats. Plus encore et malgré un rendez-vous manqué avec les pouvoirs publics depuis 2015- la KDN n’est pas une association enregistrée ni reconnue officiellement par les autorités francaises – elle, comme les autres collectifs, a montré la capacité de la société civile à s’emparer du sujet terroriste. Un peu laboratoire de guerilla anti-cyber jihad, la KDN et les autres ont pu tester divers méthodes pour contre-carrer les discours extrémistes de facons plus rapides, en pointe et plus libres que les pouvoirs publics. Comment  professionnaliser ces savoir-faire et tirer partie de ces initiatives à plus grande échelle ? Comment reconnaitre et transférer les compétences et l’expérience de collectifs comme KDN à des acteurs publics plus organisés pour traiter la question du cyber-jihadisme ? Comment les lecons apprises sur la lutte contre le cyber-jihad peuvent servir de facon plus large la lutte contre les extrémismes, mais aussi la lutte contre les réseaux de désinformation ?

Laisser un commentaire