"C’est un site qui ressemble en tout point au Parisien… à l’exception de son contenu" : dans un article publié le 11 mai, le journal francilien a dénoncé le plagiat réalisé par un "mystérieux site" en ligne.

Même design et charte graphique, reprise du logo, mise en avant de liens hypertexte renvoyant à la page d'accueil et aux articles du média : les différentes pages pirates ressemblent à s'y méprendre à celles du Parisien. 

Mais un détail frappe : le nom de domaine de l'URL de ce site miroir (.ltd) est en réalité différent de celui du média (.fr). 

Tous ces articles publiés par ce site pirate n'ont par ailleurs pas été écrits par la rédaction du journal. En plus des quelques fautes de frappe et coquilles, tous ont "en commun de critiquer l’Occident, les États-Unis ou la guerre en Ukraine", indique Le Parisien. 

Au total, une vingtaine d'articles, pro-russes ou hostiles à l'Ukraine et aux pays occidentaux ont été publiés avec cette URL depuis février dernier.

Depuis cette date, combien de lecteurs ont pu être trompés par ce subterfuge ? Peu d'articles semblent en réalité avoir bénéficié d'une audience conséquente, à quelques exceptions près. 

Début mai, l'ancien sénateur Yves Pozzo di Borgo, devenu un des relais de la propagande pro-russe en France, a par exemple partagé lui-même un de ces articles, titrant sur un supposé "exode massif" des soldats ukrainiens "pour échapper à l’esclavage militaire".

Un article publié sur le site miroir leparisien.ltd le 19 avril 2023 (capture d'écran)

A la suite de l'article du Parisien, l'ancien homme politique reconnaîtra s'être fait avoir par la qualité du plagiat. Mais l'un de ses tweets relayant le lien partagé au total plus de 600 fois demeure toujours actif. 

Quelques dizaines de médias européens touchés

Le quotidien parisien est loin d'être le premier média à subir ce type de procédé. Dans une enquête publiée fin septembre, l'organisation européenne EU DisinfoLab, spécialisée dans la lutte contre la désinformation, avait recensé 17 médias européens dont le site avait été copié. 

Décrivant une opération d'influence basée en Russie débutée en mai 2022, l'organisation avait dénombré au total plus d'une cinquantaine de ces sites miroir ou doubles. 

"Le but de cette campagne était de favoriser des narratifs anti-ukrainiens et pro-russes, avec des articles insérés dans des sites miroir", explique Alexandre Alaphilippe, directeur exécutif du EU Disinfo Lab et co-auteur de l'enquête à DE FACTO. 

Des médias comme The Guardian, Der Spiegel ou encore 20 Minutes ont ainsi vu leur logo, charte graphique et URL usurpés par ce type d'opération. Même chose pour le quotidien allemand Bild : un faux article publié en août dernier via une URL similaire et toujours disponible en ligne prétend que la criminalité à Berlin aurait "fortement augmenté" la nuit à cause des coupures de courant liées à la crise énergétique et la guerre en Ukraine.

Ces opérations ne se sont par ailleurs pas arrêtées : depuis septembre, d'autres médias comme Le Monde en ont aussi fait les frais. Fin décembre, un article pirate publié sur l'adresse lemonde.ltd - le même nom de domaine que le site pirate du Parisien - titrait que le ministre français des Armées "Sebastian (sic) Lecornu" "sout[enait] les meurtres de soldats russes en Ukraine".

Articles publiés sur les sites miroir du Bild et du Monde, respectivement en août et décembre 2022 (capture d'écran)

"Je ne sais pas si les acteurs [à l'origine du double du Parisien] sont les mêmes, mais on observe très clairement un modus operandi similaire", décrit Alexandre Alaphilippe. 

De leur côté, les autorités françaises, le 13 juin 2023, ont "mis en évidence l'existence d'une campagne numérique de manipulation de l'information contre la France impliquant des acteurs russes et à laquelle des entités étatiques ou affiliées à l'Etat russe ont participé en amplifiant de fausses informations", a dit la ministre des Affaires étrangères Catherine Colonna dans une déclaration lue par sa porte-parole lors d'une conférence de presse, ajoutant que Paris était en "lien étroit" avec ses alliés "pour mettre en échec la guerre hybride menée par la Russie".

La campagne a visé plusieurs sites de médias, mais aussi celui du ministère des Affaires étrangères et d'autres sites gouvernementaux, en créant des sites miroirs, a précisé la porte-parole Anne-Claire Legendre.

Selon les autorités françaises, cette opération d'influence s'inscrit dans une structure plus large baptisée RRN, du nom du site pro-russe RRN.world, pour Reliable Recent News (auparavant appelé Reliable Russian News). Ce site, créé quelques mois après le début de la guerre en Ukraine, a partagé de nombreuses infox, notamment sur une soi-disant mise en scène du massacre de Boutcha.

Des "opérations d'influence secrète" menées depuis la Russie

Qui se trouve derrière ces opérations ? Il est souvent difficile de le savoir : "Ces sites miroir utilisent des top level domains comme .ltd ou .vip, c'est-à-dire des noms de domaine qui sont beaucoup moins regardants en termes de traçabilité", explique Alexandre Alaphilippe.

Contrairement aux extensions de domaine plus classiques (.com,.fr,.gouv, etc.) généralement plus difficilement accessibles notamment pour des questions de copyright, les entreprises qui vendent et donnent accès aux extensions utilisées par ces sites miroir s'avèrent parfois plus ouvertes.

Capture d'écran du rapport d'Eu DisinfoLab expliquant la différence entre les URLs (capture d'écran)

Mais ces opérations laissent aussi des traces : le EU DisinfoLab avait pu déterminer que cette opération était basée en Russie à partir des métadonnées de vidéos diffusées sur ces faux sites : ces métadonnées, qui fournissent des informations sur l'origine de photos ou vidéos, indiquait notamment que le fuseau horaire utilisé était celui de la région sibérienne et que les ordinateurs à l'origine de ces vidéos étaient paramétrés en russe. 

Même constat du côté de Facebook : fin septembre, Meta, l'entreprise mère du réseau social, a annoncé dans un communiqué avoir démantelé sur sa plateforme une opération "d'influence secrète" provenant de Russie et constituée de plusieurs centaines de comptes et pages sur Facebook au "comportement inauthentique coordonnés", créés de toutes pièces pour amplifier la visibilité de ces articles issus de sites pirates.

Au-delà des fausses pages et des faux comptes, le réseau social a par ailleurs indiqué que ces liens avaient même parfois été relayés par les comptes officiels des ambassades russes.

Décrite comme "l'opération originaire de Russie la plus vaste et complexe depuis le début de la guerre en Ukraine", Meta a révélé en décembre avoir relié ce réseau de pages et comptes à deux entreprises russes : une société de conseil en marketing et politique, Social Design Agency et une entreprise spécialisée en technologie de l'information, Structura National Technologies.

Six mois plus tard, cette opération semble reprendre de plus belle, alors que l'on semble assister à "la seconde phase d'une campagne déjà connue, mais avec des modes d'action plus sophistiqués destinés à contourner les contre-mesures et être moins visibles", explique à l'AFP une source sécuritaire impliquée dans le dossier.

105.000 dollars de publicité sur Facebook

Le réseau social a aussi indiqué que l'opération d'influence menée par ces deux entreprises russes avait coûté au total 105.000 dollars en publicités sur Facebook pour pousser ces contenus sur la plateforme.

Mais Meta précise toutefois que la stratégie "d'amplification" était "loin d'être aussi sophistiquée" que les techniques utilisées pour reproduire les sites web. "Elle s'apparente plutôt à une tentative de diffuser les faux domaines aussi largement que possible et aussi rapidement que possible, dans l'espoir qu'au moins quelques personnes réelles puissent voir les faux sites web avant qu'ils ne soient découverts". 

D'où un investissement à l'impact limité : seuls 4000 comptes avaient par exemple commencé à suivre les 703 pages créées, décrivait le rapport de Meta de septembre. Les 29 faux comptes Instagram étaient eux suivis par 1500 personnes au total. 

"Ce type d'opération fait beaucoup d'erreurs et a un impact qui est à relativiser", décrit Alexandre Alaphilippe, qui ajoute : "Aujourd’hui, il faut arrêter de penser qu’il n’y a aucun moyen d’agir. Nous pouvons tous mettre un frein à ces pratiques en portant plainte, en mettant des limites. Et il ne faut surtout pas croire que certains acteurs sont trop forts ou trop malins. Ils ont quand même dépensé plus de 100 000 euros pour un impact quasi-nul."

Ce dernier reconnaît toutefois une opération "très bien conçue sur le papier pour exploiter nos failles : à savoir que si aucun média ne porte plainte, ce type de site continue d'exister sans problème. Et à la fin, on ne sait plus si on lit véritablement Le Parisien ou Le Monde."

Image d'illustration de Facebook. LIONEL BONAVENTURE / AFP

Une plainte du Parisien auprès de l'Icann

Pour faire cesser l'activité du site pirate leparisien.ltd - toujours actif au 13 juin 2023, Le Parisien a décidé de son côté de porter plainte auprès de l'Icann, société de gestion de l'attribution des noms de domaine.

Le quotidien indique avoir "déjà usé de cette procédure à l’encontre d’un site frauduleux utilisant les mêmes méthodes" par le passé. "Cette démarche permettrait au Parisien – dénonçant une usurpation de sa marque – de récupérer le nom de domaine et de faire cesser ce plagiat", estime le journal. 

"On ne connaît pas leur objectif final", indique de son côté la source sécuritaire à l'AFP. "Est-ce que c'est du micro-ciblage de certaines populations ? Est-ce que c'est pour une campagne permanente de basse intensité ? Ou en vue d'une action massive à un moment précis ?", ajoute-t-elle, précisant que l'ensemble "est très bien coordonné et structuré".

Cette opération vient s'inscrire dans une pratique déjà longue et documentée d'actions d'influences menées par la Russie. Dans le cas de l'invasion de l'Ukraine, Moscou mise sur les fausses informations pour saper le soutien des opinions publiques occidentales.

Poutine "attend que les sociétés occidentales se fatiguent", estimait lundi un haut responsable européen, rappelant que "l'hiver dernier a été doux", mais que "si le prochain est dur" et que le prix du chauffage s'envole, cela pourrait "générer des tensions dans les sociétés".