Meta a annoncé mardi la suppression de milliers de faux comptes de Facebook qui étaient exploités dans le cadre de « la plus grande opération d’influence secrète multiplateforme connue au monde » et qui, selon les chercheurs, sont liés à des individus associés aux forces de l’ordre chinoises. Ben Nimmo, responsable mondial des renseignements sur les menaces chez Meta, a déclaré que cette opération chinoise « est la plus grande opération d'influence en ligne que nous connaissions dans le monde aujourd'hui. Elle opère sur plus de 50 plateformes et services différents Facebook, YouTube, Twitter, Tik Tok, Reddit, Quora, Pinterest ».Pour la toute première fois, Meta a pu attribuer la campagne de désinformation massive à des individus associés aux forces de l’ordre chinoises. Ciblant l'opération chinoise, Meta a supprimé 7 704 comptes Facebook, 954 pages, 15 groupes et 15 comptes Instagram pour violation de sa politique contre les comportements inauthentiques coordonnés, dont les efforts ont utilisé de fausses versions de sites Web légitimes pour diffuser de faux contenus. Le vaste réseau, originaire de Chine, ciblait Taiwan, les États-Unis, l'Australie, le Royaume-Uni, le Japon et le public chinois du monde entier, selon le rapport Adversarial Threat Report de l'entreprise.
L'activité multiplateforme utilisée dans l'opération, connue sous le nom de « Spamouflage » (baptisée ainsi « car ils utilisent le spam pour camoufler leurs messages politiques »), ciblait plus de 50 plateformes et forums, selon le rapport. Outre Facebook et Instagram, les cibles de la campagne de désinformation comprenaient X – la plateforme anciennement connue sous le nom de Twitter – YouTube, TikTok, Reddit et Pinterest.
Meta a découvert que des groupes distincts de faux comptes étaient gérés depuis différentes régions de Chine, en groupes qui « pouvaient avoir travaillé à partir d'un emplacement partagé, comme un bureau » :
Envoyé par Meta
Notre enquête a révélé que le réseau Spamouflage est géré par des opérateurs géographiquement dispersés à travers la Chine qui semblent disposer d'un accès centralisé à Internet et de directions de contenu.
Nous avons identifié plusieurs groupes distincts de faux comptes gérés dans de nombreuses régions différentes de la Chine. Leur comportement suggérait qu'ils étaient exploités par des groupes qui travaillaient peut-être à partir d'un lieu partagé, tel qu'un bureau. Chaque cluster a travaillé selon un schéma de travail clair, avec des poussées d'activité en milieu de matinée et en début d'après-midi, heure de Pékin, avec des pauses pour le déjeuner et le dîner, puis une dernière poussée d'activité en soirée.
Même si certains de ces faux comptes étaient gérés à des centaines de kilomètres les uns des autres, ils partageaient à plusieurs reprises la même infrastructure Internet proxy – souvent aux États-Unis, probablement dans le but de dissimuler leurs origines.
Ces groupes d’activités partageaient également à plusieurs reprises des contenus identiques sur de nombreuses plateformes Internet – pas seulement des liens et des articles, mais également de courts commentaires « personnels ». Ces commentaires ont été conçus pour paraître uniques et personnels, utilisant des termes tels que « je » et « nous » et faisant référence à des expériences et croyances individuelles. Cependant, des centaines de comptes différents ont fait les mêmes commentaires « personnels » sur de nombreux services et sites Web différents, indiquant qu’ils étaient probablement chargés de les publier de manière centralisée. Parfois, de faux comptes publiaient un commentaire accompagné de ce qui semblait être un numéro de série, suggérant qu'il avait peut-être été copié-collé à partir d'une liste numérotée.
Nous avons identifié plusieurs groupes distincts de faux comptes gérés dans de nombreuses régions différentes de la Chine. Leur comportement suggérait qu'ils étaient exploités par des groupes qui travaillaient peut-être à partir d'un lieu partagé, tel qu'un bureau. Chaque cluster a travaillé selon un schéma de travail clair, avec des poussées d'activité en milieu de matinée et en début d'après-midi, heure de Pékin, avec des pauses pour le déjeuner et le dîner, puis une dernière poussée d'activité en soirée.
Même si certains de ces faux comptes étaient gérés à des centaines de kilomètres les uns des autres, ils partageaient à plusieurs reprises la même infrastructure Internet proxy – souvent aux États-Unis, probablement dans le but de dissimuler leurs origines.
Ces groupes d’activités partageaient également à plusieurs reprises des contenus identiques sur de nombreuses plateformes Internet – pas seulement des liens et des articles, mais également de courts commentaires « personnels ». Ces commentaires ont été conçus pour paraître uniques et personnels, utilisant des termes tels que « je » et « nous » et faisant référence à des expériences et croyances individuelles. Cependant, des centaines de comptes différents ont fait les mêmes commentaires « personnels » sur de nombreux services et sites Web différents, indiquant qu’ils étaient probablement chargés de les publier de manière centralisée. Parfois, de faux comptes publiaient un commentaire accompagné de ce qui semblait être un numéro de série, suggérant qu'il avait peut-être été copié-collé à partir d'une liste numérotée.
Cette activité fait écho à celle alléguée dans l'acte d'accusation du ministère américain de la Défense, qui note comment plusieurs comptes gérés par le groupe 912 sur Facebook ont utilisé le même appareil et la même adresse IP (il s'agissait d'un fournisseur de services Internet basé au Texas) pour diffamer un éminent expatrié critique du Parti communiste chinois.
Plus de détails sur cette opération
Lorsque Spamouflage a été découvert pour la première fois en 2019, il se concentrait généralement sur Facebook, Twitter et YouTube. Au fil du temps, à mesure que les plateformes commençaient à détecter et à bloquer ces efforts de spam, l'opération a commencé à donner la priorité aux petites plateformes, y compris les forums locaux en Asie et en Afrique. Une grande partie de l'activité que nous avons récemment interrompue sur Facebook consistait en des partages de liens vers des articles sur d'autres plateformes où l'opération avait débutée.
Les sites et forums utilisés par cette opération sont remarquables par leur diversité et leur répartition géographique : nous avons identifié plus de 50 plateformes et forums sur lesquels nous évaluons que cette campagne était active. Au-delà de la publication sur Facebook et Instagram, Spamouflage a largement utilisé Medium, X (alias Twitter), Reddit, YouTube, Vimeo et Soundcloud. Il gérait des comptes sur Quora – répondant parfois par des commentaires prochinois à des questions qui n'avaient rien à voir avec le sujet. Il a publié des centaines de dessins animés sur Pinterest, Pixiv et le site Web d'art artstation[.]com.
Nous avons également identifié des comptes susceptibles de spam sur TikTok, Blogspot et LiveJournal, ainsi que sur les plateformes russes VKontakte et Odnoklassniki. Plus loin, nous avons identifié une activité probable sur le forum nigérian Nairaland[.]com, le forum indonésien kaskus[.]co[.]id, le forum financier chinois nanyangmoney[.]com et le forum local australien Melbournechinese[.]net.
Un manque cruel d'efficacité
Malgré son ampleur et les ressources qui la sous-tendent, l’opération d’influence ne semble pas avoir été particulièrement efficace (même si le ministère américain de la Justice a noté de multiples tentatives pénibles visant à harceler les membres des familles de ressortissants chinois qui critiquaient Pékin depuis l’étranger).
Parmi les histoires partagées à plusieurs reprises par l'opération – y compris sur un sous-forum spécialisé et largement inactif pour les employés du gouvernement pakistanais – figurait un message en anglais mal écrit intitulé “Queen Elizabeth II Dead or Related to New Prime Minister Truss?" (que l'on pourrait traduire par « La reine Elizabeth II est morte ou liée au nouveau Premier ministre Truss ? », ça fait mal aux oreilles n'est-ce pas ?) qui voulait sans doute suggérer que le désormais ancien Premier ministre a peut-être « déplu à la reine et précipité sa mort ».
à gauche l'original, à droite le titre équivalent en anglais
Les résultats de recherche pour ce même titre montrent que le contenu est publié sur Flickr, Blogspot, TikTok, Instagram et Medium, bien qu'aucun de ces événements ne semble avoir suscité un engagement significatif.
Meta a noté que la tactique du réseau consistant à « diffuser » le même article sur différentes plateformes le rendait plus résistant aux retraits, mais a suggéré que cet avantage aurait pu être accidentel pour les opérateurs qui « essayaient peut-être simplement d'atteindre un quota de production pour leur campagne ».
Malgré le très grand nombre de comptes et de plateformes utilisés, Spamouflage a toujours eu du mal à aller au-delà de sa propre (fausse) chambre d'écho. De nombreux commentaires sur les publications de Spamouflage que nous avons observés provenaient d'autres comptes de Spamouflage essayant de donner l'impression qu'ils étaient plus populaires qu'ils ne l'étaient en réalité. Seuls quelques cas ont été signalés où le contenu de Spamouflage sur Twitter et YouTube a été amplifié par des influenceurs du monde réel. Il est donc important de continuer à signaler et à prendre des mesures contre ces tentatives tout en réalisant que sa capacité globale à atteindre des audiences authentiques a toujours été très faible.
Cela est probablement dû en partie au mauvais contrôle de la qualité de l’opération. Comme nous l’avons mentionné précédemment, de nombreux comptes et pages de Spamouflage semblent avoir été achetés auprès de tiers dans d’autres pays, notamment au Vietnam et au Bangladesh. Certaines de ces pages publiaient des publicités sans rapport avec CIB pour des produits tels que des coques de téléphone, de la lingerie, des vêtements ou des accessoires pour enfants, avant qu'ils ne soient acquis et ne s'engagent dans une activité liée au Spamouflage. Les opérateurs semblent souvent avoir commencé à utiliser ces comptes et ces pages sans apporter aucune modification, ce qui conduit à des comportements très idiosyncratiques où, par exemple, une page qui publiait des publicités de lingerie en chinois est brusquement passée à l'anglais et a publié du contenu organique sur les émeutes au Kazakhstan.
Des failles similaires caractérisent le contenu de l’opération. Un compte Medium lié à l'opération a publié le même article en chinois et en anglais critiquant le journaliste new-yorkais Jiayang Fan, mais le titre chinois était suivi du texte anglais, et vice versa. Les opérateurs publient des noms clés mal orthographiés – « Freud » au lieu de « Floyd », « Lv Pin » au lieu de « Lü Pin » (une militante féministe chinoise). Les opérateurs semblent avoir traduit automatiquement les légendes de leurs dessins sans les relire, de sorte qu'un article attaquant les « Safeguard Defenders » (un groupe de défense des droits de l'homme) était accompagné d'un dessin les qualifiant de « Garde de protection ».
Cela est probablement dû en partie au mauvais contrôle de la qualité de l’opération. Comme nous l’avons mentionné précédemment, de nombreux comptes et pages de Spamouflage semblent avoir été achetés auprès de tiers dans d’autres pays, notamment au Vietnam et au Bangladesh. Certaines de ces pages publiaient des publicités sans rapport avec CIB pour des produits tels que des coques de téléphone, de la lingerie, des vêtements ou des accessoires pour enfants, avant qu'ils ne soient acquis et ne s'engagent dans une activité liée au Spamouflage. Les opérateurs semblent souvent avoir commencé à utiliser ces comptes et ces pages sans apporter aucune modification, ce qui conduit à des comportements très idiosyncratiques où, par exemple, une page qui publiait des publicités de lingerie en chinois est brusquement passée à l'anglais et a publié du contenu organique sur les émeutes au Kazakhstan.
Des failles similaires caractérisent le contenu de l’opération. Un compte Medium lié à l'opération a publié le même article en chinois et en anglais critiquant le journaliste new-yorkais Jiayang Fan, mais le titre chinois était suivi du texte anglais, et vice versa. Les opérateurs publient des noms clés mal orthographiés – « Freud » au lieu de « Floyd », « Lv Pin » au lieu de « Lü Pin » (une militante féministe chinoise). Les opérateurs semblent avoir traduit automatiquement les légendes de leurs dessins sans les relire, de sorte qu'un article attaquant les « Safeguard Defenders » (un groupe de défense des droits de l'homme) était accompagné d'un dessin les qualifiant de « Garde de protection ».
Et vous ?
Quelle est votre opinion sur l’ingérence étrangère dans les élections américaines ? Pensez-vous que cela puisse avoir un impact sur le résultat du vote ? Comment réagiriez-vous si vous découvriez qu’un de vos contacts sur Facebook était en fait un faux compte lié à une opération d’influence secrète ? Que pensez-vous de la stratégie de Meta pour détecter et supprimer les faux comptes impliqués dans des opérations d’influence secrètes ? Trouvez-vous que Meta fait assez pour protéger ses utilisateurs et la démocratie ? Quelles sont les mesures que vous prenez pour vérifier la fiabilité des informations que vous consommez sur les réseaux sociaux ? Quels sont les signes qui vous alertent sur la possibilité d’un faux compte ou d’une fausse information ?Voir aussi :
Une campagne de propagande pro-Chine sur les médias sociaux a utilisé de faux "followers" créés à partir d'images générées par l'IA, pour dénigrer les autorités américaines, selon un rapport