Affaiblie mais pas hors jeu : les récentes mutations de la propagande de l’Etat islamique

Par Laurence Bindner et Raphael Gluck, co-fondateurs de JOS Project

Entre les 21 et 24 novembre 2019, sous l’impulsion de l’Internet Referral Unit (IRU) d’Europol, une opération ciblant la propagande de l’Etat islamique (EI) est menée sous la conduites des autorités belges et espagnoles, avec le soutien d’Eurojust et la participation de 10 autres Etats membres de l’Union européenne, ainsi que neuf fournisseurs de service, dont Telegram, Google, Instagram, File, Twitter. Le présent article vise à décrire et analyser les effets et conséquences à très court terme engendrés par cette opération.

Le contexte

Ce n’est pas la première opération de l’IRU d’Europol contre la propagande de l’EI. Une action conjointe de plusieurs pays européens ainsi que Telegram avait notamment été menée en octobre 2018. Une précédente opération conduite en avril 2018 avait abouti à la saisie de serveurs et preuves numériques, ainsi qu’à la restriction de l’usage abusif de noms de domaines.

L’opération de novembre 2019 a eu à court terme un impact significatif, tant sur les ses schémas de dissémination que sur le comportement numérique des responsables media du groupe, de ses sympathisants et plus largement, de la djihadosphère dans son ensemble.

L’une des clés de voûte de cette opération a été l’implication visiblement proactive de Telegram. Cette application de messagerie chiffrée est en effet devenue un sanctuaire en ligne pour l’Etat islamique, en particulier depuis 2016, lorsque l’interventionnisme des réseaux sociaux grand public s’est accentué pour lutter contre la propagande djihadiste. Telegram, plateforme-refuge, certes moins populaire que les grands réseaux sociaux, offrait alors un très bon compromis entre sécurité opérationnelle (possibilité d’anonymat, chiffrement pour les discussions bilatérales), longévité (réticence de la plateforme à intervenir),  portée de la propagande (groupes accessibles par 200 000 membres, chaînes pouvant être suivies par un nombre illimité de récipiendaires selon les Telegram FAQ), le tout sur une interface ergonomique, offrant une version web et une application de bureau. Sa facilité d’utilisation et ses avantages concurrentiels lui ont d’ailleurs valu d’être adopté par la mouvance salafiste-djihadiste dans sa diversité. Etat islamique, al-Qaïda, Taliban, Hayat Tahrir al-Sham (HTS), Boko-Haram et affiliés y jouissaient d’un réel confort opérationnel (qui a également séduit une partie de l’ultra-droite après les dé-plateformisations des grands réseaux sociaux).

Une suspicion s’est pourtant forgée vis-à-vis de Telegram pour plusieurs raisons. Tout d’abord, suite aux pressions, politiques et éthiques notamment, la plateforme a peu à peu intensifié ses suppressions de chaînes, groupes, comptes, comme en témoigne le bot Telegram ISIS Watch, compteur officiel des suppressions. Ensuite, du fait de certaines fonctionnalités – anonymat notamment – propices à un « brouillage » de l’attribution, sont apparus faux contenus et usurpation de comptes, chaînes, logos, par des opposants aux djihadistes, ceci dans le but de susciter une confusion au sein de la mouvance sur l’authenticité des contenus et la fiabilité des sources. Enfin, l’annonce par le créateur de Telegram Pavel Durov en août 2018 de son intention de fournir aux autorités les adresses IP et numéros de téléphone d’utilisateurs suspectés de faits de terrorisme a accru la méfiance de la djihadosphère, déjà consciente de l’infiltration de la plateforme par des journalistes, chercheurs, autorités et services de renseignement, y déjouant parfois même des projets d’attentat.

Malgré cela, Telegram demeurait un sanctuaire, ainsi que la source irrigant le web de contenus djihadistes, et c’est ce sanctuaire et son confort opérationnel qui ont été visés par l’opération de novembre 2019.

L’opération

Alors que Telegram supprimait moins de 300 chaînes et groupes par mois de manière générale, un saut quantitatif s’est produit le 22 novembre avec 2096 suppressions (contre 192 le 21 novembre), avant un pic de 10 345 suppressions le 27 novembre, 6 jours après le lancement de l’opération. Chaînes, groupes, bots, et, surtout, comptes suspectés de liens avec la mouvance de l’EI sont supprimés, dans une action soutenue. Fruit d’une action initiale conjointe et coordonnée sur plusieursjours, il semble que l’opération ait pu être reprise en main et pérennisée par Telegram, au moins jusqu’à ce jour (malgré une diminution récente des suppressions, à mettre en regard d’une possible lassitude de certains sympathisants à rebâtir des comptes). Des opérations avaient déjà été menées avec la participation partielle de Telegram, mais l’intensité de l’action et sa poursuite sur plusieurs semaines  sont inédits.  

Les nouveaux comptes rejoignant les chaînes liées à l’EI sont en effet rapidement supprimés, souvent après quelques heures, les chaînes et groupes liés à al-Qaïda ou HTS n’étant pas prioritairement visés. Certaines chaînes échappent néanmoins au ciblage, dont plusieurs Nashir. Les communiqués officiels n’ont ainsi pas cessé d’émerger sur Telegram, mais n’y ont été partagés qu’au compte-goutte.

Si le nombre de contenus (communiqués, média) produits par l’EI n’a pas diminué sur les canaux officiels résiduels (7 communiqués le 21, sortie de l’hebdomadaire an-Naba en soirée du 21, 7 communiqués et photos du serment d’allégeance d’un groupe de militants indonésiens au nouveau calife le 22, accompagné de 5 messages de « contact » (cf. infra), 18 communiqués le 23 ainsi que deux photos et un message de nouveau contact), le flux de propagation au sein de la plateforme a été significativement réduit. Des dizaines de chaînes et groupes Nashir ou republiant les contenus officiels sont supprimés, ainsi que des disséminateurs-clé, des médias traducteurs et des sympathisants. Ceci a considérablement restreint le volume des partages sur Telegram, qui offrait jusqu’alors un accès à cette propagande sur de multiples canaux parallèles.

Les réactions

Responsables médias et sympathisants de l’EI ont réagi promptement à cette déstabilisation, de manière simultanée mais non coordonnée, sur plusieurs fronts, afin d’éviter toute discontinuité dans la publication de la propagande. Plusieurs types de réactions ont été observés en parallèle : l’acharnement sur Telegram, le basculement sur des plateformes déjà explorées, l’expansion vers de nouvelles plateformes, et la pression accrue sur les canaux usuels à grande portée (web surfacique, réseaux sociaux), pour publier tant de la propagande que des URLs vers des nouveaux canaux ou des tutoriels d’utilisation de nouvelles plateformes.

Sur Telegram : acharnement et camouflage

Aguerris aux suppressions et à la pratique du harcèlement en ligne – tactique courante sur les réseaux sociaux (« Luttez avec patience dans l’arène numérique et ne laissez aux infidèles aucun répit : s’ils suppriment un compte, bâtissez-en 3, et s’ils en suppriment 3, bâtissez-en 30 »)[1] – l’une des premières réactions des responsables médias et sympathisants fut de maintenir une présence sur Telegram. En témoigne en particulier la succession de messages sur les chaînes Nashir indiquant les identifiants de comptes à contacter pour récupérer les liens de nouveau canaux – par exemple, 5 messages le 22 novembre indiquant 4 comptes, un par jour depuis fin décembre). Nouveaux comptes, groupes, nouvelles chaînes, avec une succession de créations-suppressions-recréation qui perdure encore début 2020. Le premier réflexe était en effet d’espérer que l’opération ne serait que ponctuelle et que les suppressions s’essouffleraient au bout de quelques jours.

Les recommandations consistaient à éviter les noms, photos de profils trop évocatrices du groupe, de créer plusieurs comptes, dont un dédié à la publication, un à l’abonnement à des chaînes, un troisième pour les communications personnelles, et ainsi d’adopter des pratiques de ‘camouflage’ tout en mitigeant le risque au sein de la plateforme.

Le basculement et la pression sur le web surfacique

Une réaction simultanée a consisté à basculer sur des plateformes alternatives, déjà explorées au cours des derniers mois ou années, et par conséquent connues d’une partie de l’audience cible. Ainsi Rocketchat, où s’est implanté durablement l’EI fin 2018, a vu une intensification de la création de chaînes depuis cette date (en particulier création de 7 canaux de traduction de propagande le 16 décembre), ainsi qu’une plus forte croissance du nombre de membres, passant d’un taux de croissance journalier moyen (TCJM) de 0,16% avant l’opération à 0,55% entre le 22 novembre et le 9 décembre. Néanmoins, malgré une intensification globale des publications, celles du canal Nashir sont sorties un peu plus d’un jour sur trois depuis l’opération (39%), contre des taux plus élevés certains mois de 2019 (87% en janvier, 77% en mars).

Tamtam, où l’EI avait déjà fait une reconnaissance en avril 2018, est également investie, ainsi que Riot, déjà testée également en septembre 2017.

Parallèlement aux plateformes relativement confidentielles, une pression accrue pour faire émerger des contenus sur le web surfacique a également été observée. Un blog relayant la propagande de l’EI est resté en ligne trois semaines pendant le mois de décembre. Un site internet des archives radio du groupe est également apparu. De plus, certains activistes postent avec davantage d’acharnement sur les réseaux sociaux grand public – qui parviennent néanmoins, à contenir cet afflux de manière significative.

Le contournement / l’expansion

Sympathisants et responsables médias tentent, parallèlement à la lutte continue de créations-suppressions-recréations – combat d’attrition visant à lasser les plateformes –, de diversifier leurs débouchés, dans un mouvement qui ne s’est, début 2020, pas encore conclu. Citons par exemple Hoop Messenger, Nandbox, Conversations, Threema, Mewe, Pinngle, Wink, Bcm, Mastodon, Line, Twinme, etc.

Si l’atomisation était déjà établie en termes de stockage de contenus, et émergente dans une optique de dissémination, l’opération a confirmé cette dernière : la propagation se fait désormais en parallèle sur de multiples plateformes, où médias officiels et disséminateurs actifs ont établi des canaux simultanés. Le risque de suppression est ainsi réduit et les chances de survie d’au moins un canal sont accrues.

On note également une accentuation de l’utilisation segmentée des plateformes, certaines étant recommandées pour la diffusion de propagande (Tamtam, Riot, RocketChat, Hoop Messenger, Nanbox) et d’autres davantage mises en avant pour les communications personnelles (Threema, Conversations entre autres).

Les gains potentiels immédiats de l’opération 

Outre l’effet d’annonce médiatique et son impact psychologique, cette opération a engendré insécurité opérationnelle, a provoqué des « ruptures » de branding, une fragmentation de la djihadosphère et une consommation accrue de ressources.

Insécurité opérationnelle

Si le but de l’opération était de mettre à mal le confort dont l’EI bénéficiait sur Telegram, il est en partie atteint. Le sentiment d’insécurité en ligne qui préexistait à l’opération a été largement confirmé puis démultiplié, avec une méfiance grandissante vis-à-vis de Telegram mais aussi des plateformes alternatives, dont certaines ne disposent pas du même niveau de sécurité opérationnelle. A titre d’exemple, Tamtam est ainsi décrié pour son absence de second facteur d’authentification, ses liens supposés avec le gouvernement russe, BCM (Because Communication Matters, messagerie basée sur une technologie Blockchain) suscite la méfiance du fait de ses liens avec le gouvernement chinois.

Figure 1- Publication sur RocketChat d’un message d’avertissement concernant Tamtam (déc 2019)

Les responsables médias et sympathisants ont une approche hétérogène des questions de sécurité opérationnelle. En sortant de la zone de confort qu’était Telegram, certains peuvent être conduits à prendre des risques opérationnels, être poussés à la faute, à l’imprudence et à s’exposer (usage de plateformes au chiffrement moins fort notamment), avec à la clé une identification possible par les autorités. Ce sentiment d’instabilité est avivé par des suppressions régulières sur certaines plateformes adoptées par de nombreux sympathisants actifs (ces suppressions sont mêmes significatives sur Tamtam au cours de la semaine du 13 janvier 2020).

Rupture de branding

Suite à la suppression de chaînes et groupes et des recommandations de ‘camouflage’, certaines fondations médiatiques importantes ne se sont pas reconstituées sur Telegram, soit parce qu’elles n’y sont pas parvenues, soit par choix afin de ne pas être détectées. Cela crée une rupture dans la reconnaissance de leur marque (logo, nom) pour leurs abonnés, obligés d’identifier des marques de substitution auxquelles accorder leur confiance rapidement – même si certaines marques ont gagné en visibilité en publiant sur de multiples plateformes.

Parallèlement, dans la confusion qui a suivi l’opération, des média liés à l’EI signalent des usurpations de leur marque ou logo et la création de faux comptes dans le but de piéger les sympathisants via des liens malveillants, ce qui accroit encore le sentiment de vulnérabilité des pro-EI. Ces comptes bénéficiaient auparavant d’une relative longévité sur Telegram – l’éparpillement actuel peut avoir pour conséquence une précipitation des sympathisants à entrer en relation avec un compte lorsqu’ils discernent un logo connu.

Fragmentation de la djhadosphère

Sur les plateformes alternatives, le nombre de membres ou récipiendaires n’atteint pas le vivier de Telegram d’avant l’opération (souvent plusieurs centaines de membres par chaîne ou groupe). Cela témoigne d’une fragmentation de l’audience cible, et, potentiellement, d’une « errance » de ce public, non encore installé sur une plateforme donnée. Certains acteurs restent même isolés après la suppression de leur compte Telegram, demandent sur divers canaux (Tamtam, Riot, réseaux sociaux) une assistance pour renouer avec la mouvance ou retrouver un accès à la propagande.

Ce morcellement de l’audience a pour effet de réduire la portée de la communication de chacun au sein de la mouvance, ou de réduire son efficacité.

Consommation de ressources

L’opération est également parvenue à désorganiser au moins temporairement une mécanique de publication jusqu’alors routinière et bien rodée : publication initiale sur Telegram, occasionnelle sur Rocketchat ou autres, avec diffusion de listes de sites relais. Si la propagande officielle est détectable sur les principales plateformes alternatives, elle y est moins relayée que sur Telegram.  

D’autre part, reconstruire de manière continue et sans relâche comptes, chaînes, groupes, est consommateur de temps et de ressources : récupération (création ou obtention par des militants dédiés) de nouveaux numéros de téléphone, de comptes de réseaux sociaux, création ou obtention de nouveaux mails. De plus, la familiarisation aux nouvelles interfaces et fonctionnalités, l’identification des canaux de propagande sur les nouvelles plateformes constitue un coût d’entrée important pour les nouveaux entrants nouvellement intéressés par l’offre idéologique djihadiste. Tout cela s’avère chronophage, consommateur de ressources, et complique la rétention de l’audience, une forme de lassitude étant susceptible d’en gagner la frange la moins impliquée.

De plus, certaines des nouvelles plateformes ne disposent pas d’application desktop, ni de version web, ce qui contraint à consulter, poster et partager les contenus soit depuis un mobile (moins pratique pour les plus actifs et les plus prolixes), soit de télécharger un émulateur, ce qui constitue un coût d’entrée supplémentaire pour les moins motivés.

Dégât collatéral : la rupture du suivi

L’opération a ébranlé la djihadosphère mais a également perturbé le milieu des analystes suivant la propagande : nombreux sont les chercheurs, journalistes, analystes qui ont perdu leurs comptes (certains les ont par la suite récupérés). Si chercheurs et analystes se sont autorisés à protester publiquement, les autorités et services de renseignement d’Etats n’ayant pas pris part à l’opération n’ont fait aucune déclaration – la possibilité qu’ils aient également perdu des comptes, ou bien perdu de vue des comptes suivis, n’est pas à exclure.

Effets secondaires de l’opération – une extension de la fragmentation à toute la mouvance djihadiste, un risque de submersion pour les analystes et un risque de voir une partie de la propagande à nouveau accessible.

Une plus grande fragmentation

Alors que les autres groupes de la mouvances djihadistes ne semblaient pas visés par l’opération, au moins dans un premier temps, al-Qaïda, dans le sillage de l’EI, a également diversifié ses débouchées, créant entre autres des comptes sur Conversations, Threema, Riot, et un serveur sur Rocketchat, créé en novembre et comptant désormais plus de 580 membres. La présence d’al-Qaïda sur cette plateforme y fédère les publications des fondations médiatiques de la maison-mère et de ses filiales, fonctionnant habituellement de manière décentralisée. Cela contribue donc à unifier la marque al-Qaïda et offre aux sympathisants une vision globale des contenus. 

Figure 2: Annonce par al-Qaida d’un lancement de canaux sur Rocketchat, Conversation, Threema et Riot, 6 décembre 2019

Dans une même optique de diversification du risque, Hayat Tahrir al-Sham (HTS), groupe djihadiste syrien, a ouvert un canal sur Tamtam, développant ainsi sa capacité de résilience en cas de suppression sur Telegram. Malgré le manque de sécurité noté sur Rocketchat, des recommandations sont partagées en ligne de n’utiliser cette plateforme qu’avec un VPN (virtual private network) ou via le darkweb, à des seules fins de dissémination, et non pour échanger.

Ce mouvement d’atomisation est donc généralisé à la mouvance salafiste-djihadiste qui a pris position sur plus d’une quinzaine de plateformes. Si certaines fondations médiatiques ont opté une présence mutli-plateformes, d’autres ont choisi de se nicher au sein d’une plateforme unique. Le suivi exhaustif de la propagande devient donc plus complexe et plus fastidieux.  

Certaines des nouvelles plateformes peuvent, de plus, présenter des fonctionnalités inédites. Ainsi BCM, basée sur la technologie blockchain, offre la possibilité de mener des transactions en cryptomonnaie. Même si cette voie de financement demeure relativement marginale pour l’EI, l’étendue de ces nouvelles potentialités et de leurs usages par cette mouvance mérite d’être approfondie. 

Une résilience maintenue

Parallèlement à cette fragmentation, le processus de régénération est relativement aisé sur certaines plateformes. En effet si Tamtam a supprimé des canaux, et Riot des salons puis des comptes, il est néanmoins rapide de s’y rebâtir. Sur Tamtam, une fois un canal supprimé, son successeur peut être renommé à l’identique. Sur Riot, la création se fait sur nom et mot de passe et la récupération de canaux prend quelques minutes pour un compte nouvellement recréé. La résilience reste donc pour l’instant importante.

Le risque d’un confinement moindre

En diluant la concentration et le confinement relatif qui préexistait sur Telegram, le risque que ces contenus redeviennent accessibles augmente, parfois par simple recherche avec l’outil d’exploration, sur Tamtam et Riot par exemple (chaînes, groupes ou salons publics). Enfin, autre effet secondaire dû à la déconcentration : il devient moins aisé pour les autorités et pour les « vigilants » de repérer les liens vers les sites stockant les contenus (cloud drives, sites de partages de documents etc), qui étaient avant quasiment tous partagés sur Telegram. Ces contenus, nichés sur un très grand nombre de sites, sont donc susceptibles d’avoir une longévité plus longue.

Conclusion

L’opération lancée par Europol en novembre 2019 a altéré les schémas de dissémination des contenus djihadistes. Après avoir engendré une confusion certaine de l’appareil de propagande de l’EI, l’atomisation des flux semble s’être installée. Les plateformes utilisées, si elles sont encore inconnues de beaucoup et présentent divers types d’inconvénients offrent de multiples accès à ces contenus. La phase actuelle reste transitoire, et le succès de l’opération ne pourra être évalué qu’à long terme, à l’aune de l’accessibilité de la propagande à un public de plus en plus restreint. Les acteurs de l’opération ont estimé que le confinement de ces cyber-militants offert par Telegram était insuffisant. En faisant éclater ce vivier, les autorités pouvaient miser sur l’implication des grands réseaux sociaux et autres fournisseurs de service pour bloquer toute tentative d’intrusion ou d’expansion sur leurs plateformes, et accentuer l’isolement des djihadistes sur des plateformes inconnues. Le défi reste important : il s’agit désormais d’anticiper quelles seront les plateformes qui finiront par s’imposer. Il s’agit également de nouer de multiples partenariats avec les fournisseurs de services afin de contenir cette propagande et de la maintenir recluse sur plus d’une quinzaine de plateformes qui ont, ces dernières semaines, gagné en visibilité.


[1] Inside the Caliphate 8, vidéo de l’EI (al-Hayat Media Center), octobre 2018

Share
Ce contenu a été publié dans Analyses, avec comme mot(s)-clé(s) , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Une réponse à Affaiblie mais pas hors jeu : les récentes mutations de la propagande de l’Etat islamique

  1. MerAirDef dit :

    Il semblerait que cette opération a perturbé des opérations d’infiltration des services de sécurité…

    [Reply]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.