Lien du flux RSS
Investigations en sources ouvertes
Accès libre OpenFacto rassemble des passionnés et des professionnels de la recherche en sources ouvertes venant du journalisme, des universités, de la cyber sécurité, de l’analyse géopolitique, des ONG ou du monde des enquêtes.
▸ les 10 dernières parutions

11.01.2024 à 17:22

Digital Witness, prélude au protocole de Berkeley

Equipe OpenFacto

img
📚 Sur l’étagère Publié en janvier 2020, et encore jamais traduit en France, Digital Witness1 est un ouvrage collectif rédigé sous la direction de Sam Dubberley, directeur du Laboratoire d’enquêtes numériques de Human Right Watch (Digital Investigations Lab), Daragh Murray, maître de conférences à la faculté de droit de l’université Queen Mary de Londres2 et […]
Texte intégral (3624 mots)

📚 Sur l’étagère

Publié en janvier 2020, et encore jamais traduit en France, Digital Witness1 est un ouvrage collectif rédigé sous la direction de Sam Dubberley, directeur du Laboratoire d’enquêtes numériques de Human Right Watch (Digital Investigations Lab), Daragh Murray, maître de conférences à la faculté de droit de l’université Queen Mary de Londres2 et Alexa Koenig3, à la tête du Human Rights Center (HRC) de Berkeley.

Il n’est pas ici question d’Open Source Intelligence mais bien d’« Open Source Information for human rights, investigation, documentation and accountability 1» Une nuance importante qui permet de faire la distinction avec la communauté du renseignement.

L’ouvrage est le premier du genre à poser les bases académiques de la discipline, et préfigure le protocole de Berkeley2 qui lui-même se veut « un guide pratique sur l’utilisation des sources ouvertes numériques dans les enquêtes ».

On y découvre notamment les premiers procès documentés grâce à Internet et aux réseaux sociaux avec l’exemple du cas Al-Madhi3, reconnu coupable de crime de guerre pour les destructions des bâtiments à caractère religieux et historique à Tombouctou, au Mali, en juin et juillet 2012, ouvrant ainsi la voie au développement d’une stratégie « open source » quelque mois plus tard au procès Mahmoud Mustafa Busayf Al-Werfalli4.

Le protocole de Berkeley, c’est au départ un échec. Celui du bureau du procureur de la Cour Pénale Internationale, en 2012, qui avait dû abandonner les charges dans 4 dossiers instruits. Une chercheuse du Human Rights Center fit ce constat : le bureau du procureur s’était trop appuyé sur les rapports d’enquête d’ONG et les témoignages. Outre la méfiance des juges à l’égard des sources ouvertes, les dossiers ne remplissaient pas le niveau de preuve requis pour être poursuivis selon eux.

De là, sous l’égide du HRC, des travaux réunissant l’ensemble des acteurs impliqués dans la lutte contre l’impunité de ces crimes, planchèrent sur l’usage de l’Open source information dans l’enquête pour en dessiner une véritable architecture.

Car là est bien le propos du livre, définir l’investigation numérique sur la base de critères établis : la méthodologie, la préservation des traces et indices numériques, l’archivage, la garantie de l’authenticité, l’utilisation des ressources mais également l’éthique avec l’évocation du doxxing (NDLR : la collecte et la divulgation d’informations à caractère privé), sans oublier l’humain derrière le clavier qui peut être affecté par le syndrome post-traumatique dont on oublie encore trop qu’il puisse aussi affecter le journaliste, l’enquêteur ou l’analyste.

Mais l’enjeu reste de concilier l’investigation numérique avec les exigences du droit et c’est aussi à ça qu’ambitionnent de répondre Digital Witness et le protocole de Berkeley en s’attachant justement à ce nouveau champ d’investigation là où, comme le rappelle Maxime Audinet, chercheur à l’IRSEM et spécialiste des pratiques d’influence : « les traces numériques se révèlent particulièrement pertinentes pour étudier les « terrains difficiles » ou dangereux par des méthodes alternatives au terrain physique »5.

Enfin, en attendant un Digital Witness 26 , on ne manquera pas de recommander la lecture passionnante et complémentaire de « La traque est mon métier » d’Eric Emeraux7, ancien Chef de l’Office central de lutte contre les crimes contre l’humanité, les génocides et les crimes de guerre, illustration éclairante de l’apport de l’OSINT dans les enquêtes contre les crimes perpétrés au Rwanda, en ex-Yougoslavie et en Syrie . Il nous faut mentionner également « La grâce et les ténèbres » par Ann Scott, roman inspiré par le combat de la Katiba des Navalos8 contre les activités djihadistes sur les réseaux sociaux et Internet.

Pour en savoir plus sur Alexa Koenig et son formidable parcours, on vous recommande de lire cette interview : https://www.atlaswomen.org/profiles/2020/4/4/alexa-koenig.

1 Informations de source ouverte pour les droits de l’homme, les enquêtes, la documentation et la responsabilité pénale

2 https://www.ohchr.org/FR/NewsEvents/Pages/berkeley-protocol.aspx

3 https://www.icc-cpi.int/mali/al-mahdi?ln=fr

4 https://www.icc-cpi.int/libya/al-werfalli?ln=fr

5 https://twitter.com/maximeaudinet/status/1472122839482445824?s=20, 18 décembre 2021

6 Entretien le 2 décembre 2021 autour de Digital Witness dans le cadre du colloque « Emerging tech in Peace ».

7 Éditions Plon 2020

8 https://www.liberation.fr/societe/sept-ans-quils-trollent-et-traquent-les-djihadistes-bientot-un-nobel-pour-la-katiba-des-narvalos-20220402_3LPCXAPBW5DRVN6HITBSPTWZ5Q/

Entretien avec Alexia Koenig, co-directrice du HCR, Human Rights Center de Berkeley et auteure

Grâce à votre expérience avec le Human Rights Center Investigation Lab, quelle est la meilleure façon de préserver les preuves numériques et les meilleures méthodes, solutions sur le marché ou dans les sources ouvertes ?

Pour les contenus en sources ouvertes, comme les réseaux sociaux, nous utilisons souvent Hunch.ly, qui nous permet de capturer notre parcours d’investigation et de télécharger et hacher1 le matériel que nous trouvons sur les espaces ouverts en ligne (les vidéos devront être capturées par un processus distinct). Comme le souligne le protocole de Berkeley, l’idéal est de capturer un « paquet » complet de contenus en ligne : l’élément que vous cherchez à préserver (comme une photo ou une vidéo), toutes les métadonnées (si elles sont disponibles) et toutes les informations contextuelles entourant cet élément. Idéalement, ce que vous capturez est haché et préservé si vous voulez qu’il serve potentiellement de preuve, et toute marque ou autre modification est effectuée sur une copie. Si vous avez la possibilité de capturer du contenu numérique de source fermée, vous pouvez utiliser une application spécialisée comme l’application eyeWitness to Atrocities2 (Témoins oculaires des atrocités) proposée par l’International Bar Association3. Par exemple, vous pouvez enregistrer ou photographier des informations visuelles liées à un événement ou à une atrocité à l’aide de l’application, et l’application préservera le contenu et l’enverra automatiquement à un dépôt sécurisé, de sorte que vous puissiez facilement démontrer la chaîne de possession si les informations finissent par être présentées au tribunal. Si une source ou un témoin vous envoie des informations par le biais d’une application de messagerie telle que WhatsApp, demandez-lui de suivre les étapes permettant de conserver les métadonnées attachées à tout élément envoyé (comme une vidéo ou une photographie), car ces métadonnées peuvent s’avérer très utiles pour vérifier ou authentifier ultérieurement le matériel.

Quel niveau de vérification est nécessaire pour juger les contenus « amateurs » ou en réseau comme des preuves admissibles devant les tribunaux internationaux ?

Le protocole de Berkeley recommande que toutes les preuves potentielles soient examinées dans le cadre d’un processus en trois parties : une évaluation technique (telle que l’examen de toutes les métadonnées liées à l’élément), une évaluation du contenu (ce que vous pouvez voir dans la photo ou la vidéo correspond-il à ce que l’on vous a dit qu’elle représentait ? Cette personne est-elle une source fiable pour les informations qu’elle a partagées ? Sont-ils ceux qu’ils prétendent être, etc.) La plupart des équipes d’enquêteurs utiliseront l’analyse d’amateurs comme piste ou pour corroborer leur propre enquête. En outre, la plupart des équipes juridiques essaieront d’obtenir le message « original » d’un réseau social, ainsi que les informations supplémentaires que l’entreprise peut fournir sur cet élément, si elle le peut.

Comment les juridictions nationales font-elles face à ce nouveau défi que représente l’analyse d’un tel volume de données ?

Le défi du volume peut être très important. Je pense que nous allons assister à une utilisation croissante de méthodes basées sur le machine-learning pour trouver des contenus pertinents dans un grand volume de données – par exemple, par l’analyse de ces ensembles de données à l’aide de grands modèles de langage, ou par l’analyse visuelle via la reconnaissance d’objets. Bien entendu, ces systèmes sont imparfaits. C’est pourquoi le principe de minimisation des données reste important ; dans l’idéal, les enquêteurs ne collectent pas beaucoup plus de données qu’ils n’en ont besoin. Ce principe est particulièrement important pour les équipes juridiques qui peuvent avoir des obligations de divulgation ; si elles ne savent pas ce qu’elles ont, comment peuvent-elles savoir ce qu’elles doivent divulguer ?

À cet égard, quels conseils et lignes directrices pourriez-vous leur donner ? Y a-t-il de nouvelles avancées dans la jurisprudence de la Cour pénale internationale ou des tribunaux nationaux concernant l’utilisation des sources ouvertes dans les enquêtes et les poursuites ?

Un nombre croissant d’affaires s’appuient sur des informations numériques de sources ouvertes, y compris dans des juridictions internationales et nationales. Deux ouvrages paraîtront en 2024, qui résument très bien les développements récents et la jurisprudence applicable : l’un de Jonathan Hak4, l’autre d’Yvonne McDermott Rees5.

Les initiatives menées par des ONG telles que OpenFacto avec All Eyes on Wagner ou Center for Information Resilience avec l’Ukraine peuvent-elles réellement contribuer aux enquêtes et aux poursuites ? Dans quelle mesure et sous quelles conditions l’OSINT peut-il faciliter et même accélérer les enquêtes sur les crimes internationaux ?

Les ONG ont plusieurs rôles importants à jouer. Tout d’abord, elles peuvent contribuer à stimuler la volonté politique des acteurs juridiques de prêter attention à des événements et à des atrocités particuliers. Deuxièmement, elles peuvent fournir des informations importantes aux enquêteurs juridiques, telles que des pistes sur les témoins qui ont pu être présents et qui pourraient éventuellement fournir des témoignages, ou des indications sur les informations de source ouverte qui pourraient exister et que les enquêteurs judiciaires pourraient également découvrir et vérifier. Troisièmement, ils peuvent préserver le contenu qui risque de disparaître des espaces en ligne ; ils peuvent devenir des conservateurs essentiels de données pertinentes. Quatrièmement, ils peuvent jouer le rôle d’un « examen par les pairs », avec une analyse indépendante des faits sous-jacents à un événement. Ils disposent souvent d’une expertise contextuelle, culturelle, linguistique ou thématique qui peut éclairer des questions ou des faits importants.

L’accent est-il mis sur la « formation » des témoins et des victimes afin qu’ils puissent filmer et documenter plus « clairement » les crimes de guerre ?

Oui ! Des groupes tels que Witness6 et Videre est Credere7 ont joué un rôle essentiel en aidant les témoins et les victimes à comprendre les stratégies d’enregistrement des informations de manière à accroître la valeur de ces informations à des fins judiciaires. Il s’agit notamment de tactiques pour tenir son téléphone ou son appareil photo d’une certaine manière afin de stabiliser les images ou de maximiser ce qui est capturé, de techniques pour obtenir une perspective à 360 degrés de ce que vous filmez afin de situer cet événement ou cet objet dans l’espace géographique, de suggestions sur les types d’informations qu’il est particulièrement utile de capturer, etc. Witness propose une série de guides sur la vidéo en tant que preuve, qui sont extrêmement utiles.

Lors de la présentation du livre à l’atelier Emerging Technologies in Peacebuilding and Prevention8 (2 décembre 2021), vous avez évoqué la publication de Digital witness 2. Pourriez-vous nous en dire un peu plus sur ce volume 2 ?

Oui ! Malheureusement, le livre a été retardé en raison de la pandémie et d’autres interruptions. Au lieu d’un deuxième volume, nous envisageons plutôt une deuxième édition, qui sera beaucoup plus étoffée que la première. Cette nouvelle édition guidera le lecteur dans tous les domaines, de l’établissement des bases d’une enquête à la construction d’un dossier ou d’une histoire, en passant par l’enquête elle-même, et jusqu’à l’avenir de ce domaine. Il y a beaucoup de choses à couvrir. Nous avons défini les grandes lignes de l’ouvrage et espérons lancer bientôt un appel à contributions !

Alexa Koenig vient de sortir un nouvel ouvrage avec Andrea Lampros, directrice de la communication à la Graduate School of Journalism de l’UC Berkeley, « Graphic : Trauma and Meaning in our Online Lives » (Cambrige University Press). Dans cet ouvrage, elle tirent des leçons de l’expérience d’experts qui travaillent chaque jour avec des contenus violents en ligne9.

1 Lors d’une analyse forensic, il est primordial de calculer une empreinte (hash) qui identifiera le fichier à l’aide d’une fonction de hachage. Cette empreinte doit être unique, car elle permet de valider que le fichier n’a pas été altéré durant l’investigation. Le calcul des hash permettra ainsi de garantir l’intégrité des fichiers analysés. Il existe plusieurs algorithmes de hachage, tels que MD5, SHA1, SHA2, SHA5… À noter que les algorithmes MD5 et SHA1 comportent des faiblesses de collision (c’est-à-dire le même hash pour deux fichiers différents), et sont de moins en moins utilisés. « Menez une investigation d’incident numérique forensic » par Openclassrooms

2 https://www.eyewitness.global/

3 https://www.ibanet.org/

4 Ancien avocat et procureur de la Couronne au Canada, spécialiste de la preuve par l’image dans le cadre de poursuites pénales.Son ouvrage Image-Based Evidence in International Criminal Prosecutions: Charting a Path Forword, sortira en mars 2024, chez Oxford University Press. Retrouvez son blog à : https://www.jonathanhak.com/

5 Yvonne McDermott Rees est professeure en droit à la Hillary Rodham Clinton School of Law de l’Université de Swansea (Pays-de-Galles) et spécialiste du droit pénal international, des droits de l’homme et des droits des procès équitables. En 2023, elle a coécrit avec Dearbhla Minogue, Siobhán Allen, et Charlotte Andrews-Briscoe, Putting Principles into Practice : Reflections on a Mock Admissibility Hearing on Open Source Evidencetéléchargeable à https://cronfa.swan.ac.uk/Record/cronfa63763/Download/63763__28055__34ad7a3f4a4747b69ae0bedcab99fbfe.pdf

6 https://vae.witness.org/about-video-as-evidence/

7 https://www.videreonline.org/

8 Center on International Cooperation at NYU : https://www.youtube.com/watch?v=ySZl0ojEgcQ

9 Un podcast (en anglais) à écouter à https://open.spotify.com/episode/3h0BY07OpBnaRcxxNIhV04 où les autrices évoquent en particulier la prévalence croissante de ces contenus et de ce que nous pouvons tous faire pour préserver notre santé mentale tout en étant conscient de la manière dont nous nous y connectons

05.11.2023 à 09:53

OpenFacto forme des ONG à l’enquête financière à Genève

Equipe OpenFacto

img
Les 19 et 20 octobre 2023, OpenFacto était à Genève pour former les ONG Trial International et Civitas Maxima à l’enquête financière en OSINT. L’objectif : apprendre à retrouver les traces d’entreprises potentiellement impliquées dans des crimes de guerre. Trial International et Civitas Maxima documentent les crimes internationaux depuis plus de dix ans. Ces deux organisations […]
Lire plus (472 mots)

Les 19 et 20 octobre 2023, OpenFacto était à Genève pour former les ONG Trial International et Civitas Maxima à l’enquête financière en OSINT. L’objectif : apprendre à retrouver les traces d’entreprises potentiellement impliquées dans des crimes de guerre.

Trial International et Civitas Maxima documentent les crimes internationaux depuis plus de dix ans. Ces deux organisations ont pour point commun d’offrir une assistance juridique aux victimes de crimes de guerre, crimes contre l’humanité ou génocides.

Dans ce contexte, les méthodes de recherche en sources ouvertes jouent un rôle essentiel. Le Haut-Commissariat aux Nations Unies aux droits de l’homme (HCDH) a même publié un guide de bonnes pratiques pour utiliser des données numériques publiques : le Protocole de Berkeley.

Après une première formation intiale à l’OSINT en 2022, l’association OpenFacto est revenue former Trial International et Civitas Maxima, en se focalisant cette fois-ci sur un aspect de la recherche en sources ouvertes : les entreprises et les flux financiers. Parmi les thématiques abordées : analyse de rapports d’entreprise, suivi des chaînes d’approvisionnement, enquête sur les entreprises offshore et analyse de données issues d’un leak.

Cette formation « Follow the Money » était menée par John Dell’Osso, directeur des investigations pour la Plateforme de Protection des Lanceurs d’Alerte en Afrique (PPLAAF) et Poline Tchoubar, journaliste à l’agence CAPA pour l’émission « Sources » sur ARTE.

Ce n’est pas le premier projet d’OpenFacto en soutien aux ONG qui utilisent l’OSINT dans des procédures judiciaires sur des crimes internationaux : en 2020 et 2021, l’association a notamment formé les étudiants de la Clinique de droit international d’Assas (CDIA) aux techniques de recherche OSINT.

30.08.2023 à 17:04

Carte SNCF à 1,95 euro ? Anatomie d’une arnaque

Equipe OpenFacto

img
Des réductions alléchantes pour des cartes de voyage à 1,95 euro fleurissent sur Facebook et Instagram sous forme de publicités sponsorisées. En suivant les traces numériques de ces publications, nous pouvons mettre à jour un vaste réseau d’arnaques à l’international. Une enquête réalisée par des participants à la formation OpenFacto Niveau 1 durant le mois […]
Texte intégral (5541 mots)

Des réductions alléchantes pour des cartes de voyage à 1,95 euro fleurissent sur Facebook et Instagram sous forme de publicités sponsorisées. En suivant les traces numériques de ces publications, nous pouvons mettre à jour un vaste réseau d’arnaques à l’international. Une enquête réalisée par des participants à la formation OpenFacto Niveau 1 durant le mois de juin 2023.

Célia Mercier, Stéphanie Ladel et Poline Tchoubar

NB: Certains sites web mentionnés dans cette enquête servent à mettre en œuvre des arnaques en ligne. Pour des raisons de sécurité, il est recommandé de ne pas les visiter.

« La SNСF fait une promotion et propose une cаrtе de vоyаgе illimités pendant un an, pour seulement €1,95 !» : des messages comme celui-ci ont été publiés par dizaines au début de l’été sur Facebook. Ils sont apparus sous forme de publicités sponsorisées dans notre fil d’actualités, accompagnés d’une photo d’un train SNCF prêt à partir, avec une carte de réductions Max Actif+ au premier plan. Dans les commentaires, des utilisateurs se veulent rassurants : « Pour être honnête, je ne m’attendais pas à obtenir une carte d’abonnement, mais cinq jours plus tard, j’en avais une !».

Publication sur Facebook proposant une carte de réduction SNCF à 1,95 euro.

Si la photo attire l’œil, le prix interpelle les internautes. Une carte SNCF coûte en moyenne une cinquantaine d’euros. Mais un simple coup d’œil permet de remarquer que quelque chose cloche : la page qui poste l’annonce, du nom de « Cartes de voyage à prix réduit », ne ressemble en rien à la page officielle de la SNCF. Une rapide recherche sur Google permet de voir qu’une offre frauduleuse similaire avait été mise à jour par la presse en février 2023. La SNCF affirme n’avoir aucun lien avec ces offres, et indique en mai dernier avoir déposé plainte.

Entre-temps, la page Facebook qui a publié l’offre ci-dessus a été supprimée. Néanmoins, ces offres continuent de pulluler sur les réseaux sociaux. En collectant des informations à partir de cette publication Facebook, nous avons pu mettre à jour un vaste réseau d’arnaques, reliées entre elles par une galaxie de faux profils Facebook. Cet article décrit notre méthodologie pour reconnaître des arnaques en ligne, et savoir qui se cache derrière.

Des profils montés de toutes pièces

En regardant de plus près la publication suspecte sur Facebook, on peut repérer facilement plusieurs signes qui suggèrent une arnaque. Tout d’abord, nous nous sommes intéressés à la photo de l’annonce. Une recherche d’image inversée sur Google, Bing, Yandex ou TinEye permet de voir qu’il s’agit d’un photomontage : l’image originale du train en gare avec une foule de voyageurs avait déjà été publiée auparavant dans le journal L’Aisne nouvelle en janvier 2023, tandis que la main tenant la carte de réduction ont été ajoutées a posteriori.

À gauche, une photo publiée dans L’Aisne nouvelle en janvier 2023. À droite, l’image modifiée publiée dans l’annonce frauduleuse sur Facebook.

Les commentaires sous l’annonce frauduleuse semblent crédibles à première vue. Les commentateurs interagissent entre eux : certains demandent s’il s’agit d’une vraie promotion, d’autres expliquent qu’ils ont d’abord cru à une arnaque, mais qu’ils ont finalement bien reçu le lot en question, ou bien qu’ils ont vérifié auprès de la SNCF. Certaines réponses sont même accompagnées de photos de billets de train, que les utilisateurs auraient reçu gratuitement grâce à la carte de réduction. Pourtant, nous remarquons rapidement qu’il y a toujours à peu près le même nombre de likes sous chaque commentaire. Les mêmes profils reviennent sans cesse : Annie Mato, Auriane Besiade, Pierre Morice…

Les commentaires sous la publication d’arnaque sont toujours likés par les mêmes profils.

Ces profils ont tout pour être crédibles : de nombreuses photos, selfies, photos de groupes, des centaines de followers, des publications historiques qui remontent à plusieurs années. Ce n’est pourtant qu’une illusion : lorsque l’on regarde les publications les plus anciennes, on remarque une petite horloge à côté de la date de publication. Cela signifie que le post a été antidaté. Il suffit de passer la souris sur l’horloge pour voir la vraie date de publication apparaître : sur le profil d’Auriane Besiade, par exemple, son premier post qui semble dater du 3 septembre 2022 a en fait été publié le 15 mars 2023.

Ces photos sur le profil d’Auriane Besiade semblent avoir été publiées le 3 septembre 2022. En passant la souris sur l’horloge, on peut voir qu’en réalité, elles ont été publiées le 15 mars 2023 et ont été antidatées.

Non seulement des publications d’Auriane Besiade ont été antidatées pour donner l’impression d’un profil facebook ancien et authentique, mais certaines de ses photos ont même été volées. On peut s’en rendre compte en effectuant une recherche d’image inversée à partir de sa photo de profil. Sur Google Images, on trouve la même photo dans un article du journal italien New Entry Magazine sur la photographe Giada Pernechele.

La photo du profil d’Auriane Besiade (à gauche) vient en fait d’un article sur la photographe italienne Giada Pernechele (à droite).

À y regarder de plus près, la page Facebook « Cartes de voyage à prix réduit », qui a publié l’annonce frauduleuse, présente aussi plusieurs signes suspects. Le post d’arnaque est sa seule publication. En guise de description, un simple lien hypertexte vers un site qui ne ressemble en rien au site de la SNCF. Dans l’onglet « Page transparency », on apprend que la page a été créée très récemment, le 1er juin 2023, et que ses administrateurs ne sont pas localisés en France mais… en Ukraine ! Selon Facebook, le pays de résidence des administrateurs est déterminé par « les informations et l’activité d’une personne sur les produits Facebook, y compris l’emplacement indiqué sur son profil Facebook, et les informations relatives à l’appareil et à la connexion. ». Ces multiples pages semblent donc être alimentées depuis l’Ukraine.

Capture de la page Facebook qui a posté l’offre frauduleuse.
Dans l’onglet « Page transparency » de la page Facebook « Cartes de voyage à prix réduit », on peut voir que la page a été créée le 1er juin 2023 et qu’elle est administrée depuis l’Ukraine.

L’onglet “Page transparency” permet également de voir les anciens noms d’une page Facebook. Grâce à celà, nous avons remarqué que plusieurs pages qui faisaient la promotion du faux pass SNCF ont changé de nom quelques semaines après le début de notre enquête. Ainsi, une page qui portait le nom de “Cartes de voyage en France” est devenue “Tickets for travel” en anglais le 29 juin 2023, et a commencé à faire la publicité d’une carte de réduction pour des trains au Canada.

Sur l’onglet “Page Transparency”, on peut voir que la page “Cartes de voyage en France” a changé de nom pour devenir “Tickets for travel”.

Une multitude de pages qui publient des publicités sponsorisées

La page Facebook « Cartes de voyage à prix réduit » est loin d’être la seule à proposer des cartes de réduction à 1,95 euro. En cherchant le nom de la page dans la barre de recherche de Facebook, on tombe sur des dizaines de pages au nom similaire, dont certaines diffusent la même offre frauduleuse. En-dessous, on retrouve les mêmes commentaires que sous le post d’origine, parfois postés par les mêmes faux profils. Ces pages ont toutes été créées à partir de février 2023, et 16 d’entre elles sont administrées depuis l’Ukraine.

Au total, nous avons recensé 15 pages qui relaient l’offre frauduleuse (voir liste en Annexe 1). Nous avons aussi repéré 12 autres pages qui n’ont encore rien posté pour le moment, mais qui ressemblent en tous points aux pages d’arnaque : un nom générique, une image de train SNCF en photo de couverture, et une unique url en guise de description. Ces pages pourraient être utilisées à l’avenir pour diffuser des arnaques.

Certaines de ces pages diffusent l’offre frauduleuse sous forme de publicité sponsorisée. Cette fonctionnalité permet à un administrateur de payer l’entreprise Meta (maison-mère de Facebook et Instagram) pour promouvoir une de ses publications dans les fils d’actualité d’un maximum d’utilisateurs. Si l’on cherche dans la bibliothèque publicitaire de Meta les mots-clés « SNCF 1.95 euro », on trouve par exemple une page du nom de « Billets de train à prix réduit », qui diffuse la même annonce sous forme de publicité sponsorisée. Nous avons effectué cette recherche le 6 juillet 2023. Si vous reproduisez l’expérience, vous aurez sans doute affaire à une autre page, car ces campagnes sont éphémères : les pages qui les promeuvent varient, et de nouvelles pages viennent instantanément remplacer celles qui auraient été supprimées suite à un signalement.

Descriptif de la campagne de publicité sponsorisée sur Meta Ad Library, consultée le 6 juillet 2023.

L’annuaire liste les plateformes où la publicité est promue : on reconnaît les logos de Facebook, Instagram, et Messenger, ainsi qu’un quatrième insigne moins connu – il s’agit de « Meta Audience Network ». Cette mention indique que la publicité est également promue sur les autres applications et sites où surfent les utilisateurs de Facebook et Instagram, grâce aux cookies qui pistent leur navigation. Autrement dit, après être passé sur Facebook, vous pourrez voir une publicité pour la fausse carte Max Actif+ sur les autres sites que vous consultez.

Sur Instagram, on retrouve ainsi la même publicité, avec la mention « sponsorisé », indiquant que l’administrateur de la page a payé pour que sa publication soit mise en valeur.

L’offre frauduleuse de carte de réduction Max Actif+ est diffusée sous forme de publicité sponsorisée sur Facebook et Instagram, le 5 juillet 2023.

Un vaste réseau d’arnaques reliées par une galaxie de faux comptes

Les faux profils qui interagissent avec différentes offres frauduleuses ne se contentent pas de vanter les mérites de la carte SNCF à 1,95 euro. Parmi les pages qu’ils suivent, on retrouve d’autres possibles pages d’arnaque : parmi les likes d’Auriane Besiade, par exemple, on voit une autre page « Billets de train à prix réduits », ainsi qu’une page en Allemand proposant une réduction pour un pass annuel de la Deutsche Bahn à 1 euro.

Le faux profil « Auriane Besiade » suit d’autres pages possiblement frauduleuses.

Grâce au logiciel Gephi, nous avons cartographié les faux profils qui interagissent avec les offres de cartes SNCF à 1,95 euro, ainsi que les autres pages qu’ils suivent. Nous sommes partis de dix publications proposant de fausses cartes SNCF (en vert sur le graphique). Nous avons listé tous les profils qui ont commenté ces publications (en orange), ainsi que les autres pages que ces profils ont likées (en violet). Nous avons ainsi identifié des dizaines d’autres pages de possibles arnaques, proposant tour à tour des appareils électroménagers, des réductions dans des supermarchés, ou des appareils électroniques. Cette infographie montre les publications Facebook de fausses promotions SNCF (en vert), les profils qui ont commenté ces publications (en orange) et les autres pages d’arnaques auxquelles ils sont abonnés (en violet).

En continuant les recherches, nous avons identifié des dizaines de pages Facebook usurpant l’identité et les logos de marques connues : SNCF, Amazon, TotalEnergies, Samsonite, Monsieur Cuisine Connect, Dyson, iPhone, La Poste… et disant proposer toutes sortes de produits à 1,95 euro : pass Navigo, objets high tech, électroménager, cartes de carburant, places pour des parcs d’attraction… 

Ce réseau déploie ses pages en plusieurs langues (anglais, français, espagnol, hongrois, tchèque, finlandais, hébreu, portugais…), ciblant divers pays européens, Israël, les Etats-Unis et le Canada. L’arnaque SNCF a été par exemple déclinée au Canada avec Via Rail, en Espagne avec Renfe, en Allemagne avec Deutsche Bahn.

Par exemple, en plus de l’arnaque SNCF, le faux profil d’Auriane Besiade a aussi commenté une page en hébreu sur une promotion pour un aspirateur de la marque Dyson :

Le faux profil « Auriane Besiade » a aussi commenté en hébreu une offre pour un aspirateur Dyson.

Une société portugaise au sein d’une nébuleuse de sites signalés pour fraude

Qui sont les bénéficiaires de ce vaste réseau d’arnaques sur les réseaux sociaux ? Pour répondre à cette question, notre point de départ a été une information cruciale donnée par le journal Le Monde dans un article du 16 mai 2023 intitulé « Arnaque de la carte de train à 1,95 euro : la SNCF dépose plainte »

Pour en savoir plus sur cette arnaque, une journaliste du Monde a choisi de commander une carte Max Actif+. Elle a été invitée à participer à un jeu concours en cliquant sur des icônes de cadeaux. Une fausse loterie, où la fausse carte SNCF surgit de la troisième icône. Elle décrit ce qu’il s’est passé ensuite : «Nous avons donné nos coordonnées et payé en ligne. La somme de 1,95 euro a été débitée de notre compte, au profit de “SWETIDES.COM +3513 à Lisbonne”. Quelques jours plus tard, c’est la somme de 49,80 euros qui a été débitée au profit de cette société. » Mais la carte ne sera bien sûr jamais reçue. 

Nous avons voulu en savoir plus sur « swetides.com », destinataire du prélèvement bancaire. Il s’agit d’un site web proposant des “services de gestion simplifiée d’abonnements”. Sur la page d’accueil, on peut voir un numéro de téléphone, commençant par +351 3 (+351 étant l’indicatif téléphonique du Portugal), ce qui correspond aux chiffres indiqués par le destinataire du prélèvement bancaire. La page “FAQ” liste des questions comme “Comment annuler mon abonnement ?”, “Pourquoi un prélèvement “swetides.com” figure dans mon relevé bancaire ?”. En bas de page est noté le nom d’une entreprise portugaise : Paginas Louvaveis, et son numéro d’enregistrement : 516676423.

Captures d’écran du site swetides.com.

Nous retrouvons la société Paginas Louvaveis dans le registre du commerce du Portugal. Son activité est la vente par correspondance. À sa création, elle était entièrement détenue par un certain Alexandru Borsci. Sur Linkedin, un utilisateur du nom d’Alexandru Borsci indique diriger Paginas Louvaveis depuis décembre 2021 : “J’ai participé dans tous les aspects du développement des affaires depuis l’analyse de marché et les finances jusqu’aux opérations et au marketing,” écrit-il sur sa page. Nous retrouvons son profil Facebook, où il dit vivre à Lisbonne et venir de Chisinau en Moldavie. A-t-il joué un rôle dans l’arnaque à la fausse carte SNCF ? L’enquête en sources ouvertes ne nous permet pas de le savoir.

Capture de la page Linkedin d’Alexandru Borsci, consultée le 5 juillet 2023.

Swetides.com n’est pas le seul site lié à l’entreprise portugaise. Une nébuleuse de sites mentionnent Paginas Louvaveis en bas de leur page d’accueil. En tapant le numéro d’enregistrement de Paginas Louvaveis entre guillemets dans Google, le moteur de recherche fait apparaître de nombreux sites ayant la même structure, la même mise en page avec les mêmes couleurs, et le même bas de page comportant le numéro d’enregistrement de Paginas Louvaveis. Certains utilisent même le même favicon, petite image personnalisable qui apparaît à gauche du nom du site dans les résultats de recherche.

Sur cette capture des résultats de recherche Google, on voit que plusieurs sites mentionnent le numéro d’enregistrement de Paginas Louvaveis. De plus, certains utilisent la même image en guise de favicon.

Le numéro d’enregistrement de Paginas Louvaveis revient dans les mentions légales de dizaines de sites internet : des sites de rencontre, d’abonnement à des livres numériques… Sur 41 sites repérés, 13 font l’objet de signalements d’arnaques : des utilisateurs se plaignent de prélèvements bancaires mensuels dont ils ne connaissent pas l’origine et qu’ils ne parviennent pas à arrêter. Croyant payer 1,95 euro pour une promotion, les victimes sont en réalité abonnées à leur insu à des livres numériques, du coaching, des sites de rencontre.Les signalements d’arnaques nous indiquent la réelle fonction des sites liés à Paginas Louvaveis : il s’agit de fausses loteries pour gagner un téléphone, un bon d’achat pour des vêtements, ou encore … un pass SNCF à 1,95 euro. Cette fois-ci, il est proposé par un autre site : beinstop.com, avec exactement la même mise en page que swetides.com.

Capture d’écran d’un signalement d’arnaque sur le signal-arnaques.com concernant le site beinstop.com. Un utilisateur affirme que ce site propose de fausses promotions SNCF.
A gauche, le site swetides.com, indiqué dans le libellé du prélèvement bancaire pour la fausse carte SNCF commandée par Le Monde. A droite, le site beinstop.com, qui ne diffère que par ses informations de contact.

En continuant nos recherches, nous remarquons un curieux schéma de facturation croisée. En cherchant le nom du site “beinstop.com” sur Google, nous trouvons qu’il a été mentionné sur un autre site du nom de  beinstatop. Il se présente en tant que site d’abonnement à une plateforme et à des livres numériques de conseils pour améliorer sa popularité et son marketing sur Instagram, pour 85,80 euros par mois, avec une période d’essai de 5 jours à 1,95 euro. Le mot-clé “beinstop.com” apparaît dans les conditions de vente de l’abonnement : il est indiqué que les frais pourront apparaître sur la facture comme “lengfee.com +35924930126 beinstatop.com pxbeinstatop.com beinstop.com geekfez.com beistop.com+33974591492”. Une ribambelle de sites, tous semblables, peuvent donc apparaître sur la facture du prétendu abonnement.

Capture du site beinstatop.com, qui liste tous les autres sites Internet dont le nom peut figurer dans la facture de l’abonnement.

Le système d’abonnement avec renouvellement par accord tacite dont sont victimes les internautes apparaît sur cette page de conditions générales de vente (CGV). Après une “période d’essai de 5 jours à 1,95 euros”, une clause de reconduction tacite prévoit des prélèvements de 49,80 euros par mois si l’utilisateur ne s’est pas désabonné. Ces conditions de vente sont souvent dissimulées aux victimes au moment du paiement. Ce type de fraudes aux abonnements cachés a explosé au cours des derniers mois, comme alertait le site Signal-Arnaques en janvier 2023.

La page indique également que ces sites sont exploités par une nouvelle entreprise : “Bookstorm Limited , un marchand de e-commerce situé en Bulgarie“. En cliquant sur les conditions générales de vente, on trouve son numéro d’enregistrement, son adresse, et le nom de son directeur : Sergey Telpis.

Un réseau de facturation croisée apparaît, qui révèle les interconnexions entre Paginas Louvaveis et de nombreuses autres sociétés. Nous reproduisons les mêmes recherches concernant d’autres sites liés à Paginas Louvaveis, et identifions ainsi deux autres entreprises : Ideas Market International KFT, basée en Hongrie, et Enigma Frenetico, basée au Portugal. Comme Paginas Louvaveis, ces trois nouvelles sociétés en Bulgarie, Hongrie et Portugal sont aussi mentionnées en bas de page de nombreux sites web identiques. Et elles aussi sont l’objet de signalements d’arnaques.

Un réseau tentaculaire lié à de multiples escroqueries

Une adresse mail est régulièrement signalée dans les plaintes liées aux sites de Paginas Louvaveis et des trois sociétés qui lui sont liées : « support@greatoffers.email ». C’était le cas dans le signalement du site beinstop que nous avions observé plus haut :

Capture d’écran d’un signalement d’arnaque sur signal-arnaques.com concernant le site beinstop.com, avec l’adresse mail « support@greatoffers.email ».

Selon le site Domaintools, ce nom de domaine a été créé le 20 juin 2018. Les informations sur la personne qui a enregistré le nom de domaine (le registrant) ont été anonymisées par l’utilisation d’intermédiaires : WhoisGuard INC, basé au Panama, entre 2018 et 2020, et Privacy service provided by Withheld for Privacy ehf, basé en Islande, depuis 2021. L’historique des enregistrements, obtenu par WhoisXMLAPI, montre que les informations sur le propriétaire du nom de domaine ont été modifiées 11 fois depuis 2018, dont déjà trois fois en 2023 : le 21 mai, le 21 juin et le 12 juillet. 

Selon une information du site d’intelligence financière Fintelegram, que nous n’avons pas été en mesure de corroborer, un réseau letton serait à l’origine des escroqueries liées à greatoffers.email. 

En recherchant des escroqueries signalées avec le mot clé « support@greatoffers.email », notamment sur le site « Signal Arnaques », il est possible de réaliser un mapping plus vaste d’autres sociétés connectées au réseau initialement identifié autour de Paginas Louvaveis. Des sociétés qui se trouvent à Chypre, en Pologne, en Angleterre, en Espagne, au Portugal, en Slovénie… La recherche effectuée pour l’enquête n’est cependant pas exhaustive et au-delà de la vingtaine de sociétés identifiées, d’autres sont certainement liées à ce réseau.

Malgré les signalements, les offres frauduleuses de cartes SNCF à 1,95 euro continuent à être diffusées par le biais de publicités sponsorisées sur Facebook et Instagram. En mars 2023, l’entreprise Meta, maison-mère de ces deux réseaux sociaux, a publié une nouvelle méthode de lutte transversale contre les principales menaces en ligne, des campagnes de manipulation à l’espionnage en passant par les arnaques et la pédopornographie. Basée sur la collaboration avec différentes plateformes, cette stratégie vise à identifier des points communs dans les modes opératoires des arnaqueurs en ligne. L’étude de cas sur l’arnaque aux fausses offres de pass SNCF en constitue un exemple.

L’article a fait l’objet d’une modification le 17/09/2023 : la cartographie des entreprises (annexe 2) a été mise à jour.

Annexe 1 : Liste des pages d’arnaque repérées

Annexe 2 : Cartographie des entreprises identifiées

3 / 10

 

  GÉNÉRALISTES
Basta
Blast
L'Autre Quotidien
Alternatives Eco.
La Croix
Euronews
Le Figaro
France 24
FTVI
HuffPost
L'Humanité
LCP
Le Media
Le Monde
Libération
Mediapart
La Tribune
 
  INTERNATIONAL
Equaltimes
CADTM
Courrier Europe Ctle
Courrier International
Global Voices
Info Asie
Inkyfada
I.R.I.S
Jeune Afrique
Kurdistan au féminin
N-Y Times
Orient XXI
Of AFP
Rojava I.C
Toute l'Europe
 
  OSINT / INVESTIGATION
OFF Investigation
OpenFacto°
Bellingcat
Disclose
G.I.J.N
 
  MÉDIAS D'OPINION
AOC
Au Poste
Cause Commune
CrimethInc.
Issues
Les Jours
Le Monde Moderne
LVSL
Marianne
Médias Libres
Quartier Général
Rapports de force
Reflets
Rézo
StreetPress
 
  OBSERVATOIRES
Armements
Acrimed
Catastrophes naturelles
Conspis
Culture
Extrême-droite
Human Rights
Inégalités
Information
Internet actu ✝
Justice fiscale
Multinationales
Situationnisme
Sondages
Street-Médics
Routes de la Soie
Vrai ou Fake ?
🌞