Qu’est-ce que Doppelgänger ?

Doppelgänger désigne un ensemble d’opérations de manipulation de l’information qui s’appuient sur les réseaux sociaux et les médias en ligne, et qui soutiennent les intérêts de la Russie. Ces opérations sont notamment connues pour usurper l’identité des sites d’actualité populaires afin de diffuser de fausses informations.

HarfangLab étant basé en France et opérant principalement en Europe, son équipe Cyber Threat Research s’est donc intéressée à l’existence d’une éventuelle campagne Doppelgänger lors des élections législatives inattendues de juin en France.

Quelle architecture de diffusion des fausses informations ?

Les opérations Doppelgänger visent à diffuser, optimiser et amplifier des informations fabriquées, fausses ou parfois légitimes provenant des réseaux sociaux afin de soutenir des récits politiques conflictuels ou controversés et de manipuler l’opinion publique en Europe et aux États-Unis. Pour ce faire, des comptes de réseaux sociaux publient des liens qui déclenchent une chaîne de redirections obscurcie menant aux sites web hébergeant le contenu final.

Les réseaux sociaux semblent être le principal moyen de diffusion de la désinformation. Les chercheurs ont surveillé les activités de X (ex-Twitter) et ont pu identifier environ 800 comptes de bots, dont certains affichaient des liens vers des redirecteurs. Dans une tentative probable d’entraver la recherche et de dissimuler l’infrastructure, le flux d’informations entre les messages des réseaux sociaux et le contenu final passe par une chaîne de redirection complexe, composée de deux sites de redirection et d’un tracker qui renvoie finalement le lecteur vers le contenu final. Ces redirections sont imperceptibles pour le public ciblé : cliquer sur un lien conduit de toute façon de manière transparente au site web du contenu final – mais elles rendent l’infrastructure Doppelgänger difficile à identifier en temps réel et à grande échelle.

Si l’on examine les activités passées des comptes de bots, il semble qu’ils aient été utilisés dans le cadre d’escroqueries à la crypto-monnaie. Cela amène nos chercheurs à penser que les opérateurs de Doppelgänger louent une flotte de bots Twitter à un tiers, ou que certains de leurs membres travaillent également en tant que cybercriminels.

La dernière étape de la chaîne de redirection conduit l’audience ciblée vers des URL de contenu final, hébergées sur différents sites web. Ces sites web se répartissent généralement en quatre catégories : les sites web d’information falsifiés, les sites web usurpant l’identité de sites légitimes, les sites web d’opinion (légitimes mais publiant un contenu incendiaire) et, exceptionnellement, d’autres sites d’information légitimes, utilisés pour soutenir une opinion divergente.

Quelles tactiques utilisées, et pourquoi se rapprochent-elles de l’univers du cybercrime ?

En recherchant les traces des activités Doppelgänger, les chercheurs ont remarqué que des références aux sites web finaux avaient été ajoutées dans des commentaires, des profils d’utilisateurs, des fils de discussion de forums et des pages de sites web accessibles au public et sans aucun rapport. Ce, avant ou pendant l’utilisation de sites web Doppelgänger dans le cadre d’opérations d’information. Très probablement, dans le cadre d’opérations de référencement.

La plupart des échantillons de commentaires font la promotion de documents en russe. Tout comme pour les comptes X/Twitter, il est possible que cette infrastructure ne soit pas gérée directement par les Doppelgänger et qu’elle soit achetée en tant que service, ou que les acteurs des Doppelgänger mènent également d’autres campagnes de référencement douteuses. Ces résultats démontrent une certaine porosité entre les opérations de manipulation de l’information et l’écosystème de la cybercriminalité.

En ce qui concerne les développements futurs, nos chercheurs ont découvert quelques jours avant cette publication une vidéo musicale générée par l’IA et partagée par les opérateurs Doppelgänger. Cela indique qu’ils sont encore en train d’intensifier leurs efforts pour tenter d’atteindre la viralité en produisant du contenu populaire, et compatible avec les mèmes.

Pierre Delcher, Directeur de l’équipe Cyber Threat Research explique : « Ce qui est particulièrement intéressant de constater, c’est que les opérations, et les acteurs qui les mènent, sont très persévérants. Ils ont une capacité d’adaptation très rapide, en témoignent leurs campagnes pendant les élections législatives surprises en France. Cela met en avant la considérable organisation potentielle derrière les activités Doppelgänger. À la fois en termes de renseignement géopolitique, et en termes d’infrastructures ».

Quelles conséquences pour de telles opérations ?

L’analyse politique des contenus Doppelgänger montre un très clair biais en faveur des points de vue conservateurs et nationalistes, avec un objectif significatif de déstabilisation des démocraties occidentales en exploitant des divisions sociétales et politiques existantes.

Pierre Delcher ajoute : « Malgré les difficultés à mesurer l’impact réel de ces campagnes, la nature continue et persistante des activités Doppelgänger réussit certainement à soutenir un récit étranger et à diffuser des informations fabriquées, tout en soulignant la nécessité de contre-mesures solides et d’une coopération internationale pour sauvegarder les processus démocratiques ».