Hacks, bots et chantage : comment les cybermercenaires secrets perturbent les élections
Principales conclusions
Les journalistes ont pu vérifier les affirmations de l’équipe Jorge d’accéder aux comptes de messagerie de cibles politiques importantes et de déployer des campagnes sur les réseaux sociaux orchestrées via de faux comptes.
L’équipe de Jorge semble s’être ingérée dans l’élection présidentielle kenyane de l’année dernière, qui a été en proie à la désinformation.
Le groupe secret comprend des personnes ayant de l’expérience dans les services de sécurité israéliens.
Partout dans le monde, des groupes ténébreux de cybermercenaires ont exploité la technologie numérique pour pirater les élections, employant leurs arts obscurs pour quiconque est prêt à payer des frais élevés pour renverser la démocratie.
Exposant ses stratégies secrètes au monde pour la première fois, un groupe d’experts israéliens en désinformation a proposé ses services à des journalistes se faisant passer pour des clients potentiels intéressés à perturber une élection africaine.
« C’est notre expérience… pour nuire à la logistique des opposants, pour les intimider, pour créer une atmosphère que personne n’ira aux élections », a déclaré un membre de l’équipe Jorge –– comme le groupe secret se réfère à lui-même –– lors d’un Appel vidéo de juillet 2022.
Dans plusieurs appels et une réunion en personne, les membres de l’équipe –– dirigée par un homme se faisant appeler «Jorge»–– ont décrit les services «d’intelligence et d’influence» qu’ils ont dit avoir déployés pour leurs clients. Ils ont affirmé avoir travaillé sur « 33 campagnes au niveau présidentiel » – dont 27 « réussies ».
Leurs tactiques incluent le piratage, la fabrication de matériel de chantage, la diffusion de désinformations, la diffusion de faux renseignements, la perturbation physique des élections et le déploiement de campagnes ciblées sur les réseaux sociaux.
Tal Hanan
Crédit : Photo d’un enregistrement sous couverture
« Jorge », dont le vrai nom est Tal Hanan.
Les journalistes ont pu vérifier que certaines de ces tactiques ont été utilisées. L’équipe Jorge semble avoir acquis un accès non autorisé aux comptes Telegram et Gmail de hauts fonctionnaires et déployé des campagnes de réseaux sociaux de botnet. Les preuves vues par les journalistes suggèrent que le groupe s’est mêlé d’au moins deux élections présidentielles.
Le tarif en vigueur pour une campagne présidentielle était de 15 millions d’euros, « Jorge » a informé les journalistes infiltrés, qui se faisaient passer pour des intermédiaires pour un client africain potentiel. Pour ce travail à court terme – avec seulement deux mois à perdre – l’équipe Jorge était prête à facturer un minimum de 6 millions d’euros. Les journalistes ont appris que l’argent pouvait facilement être transféré par des moyens cachés, peut-être en utilisant une organisation non gouvernementale française, un cabinet d’avocats à Dubaï ou des écoles islamiques.
« Nous aimons être dans les coulisses, et cela fait partie de notre pouvoir – que l’autre côté ne comprenne pas que nous existons », a déclaré « Jorge ».
Le pseudonyme –– un nom espagnol qui ne correspondait pas à son accent –– faisait partie d’une tentative de dissimulation de son identité et de sa localisation. L’écran du bureau de l’ordinateur qu’il a utilisé dans la présentation a sauté entre les fuseaux horaires et a montré un flux d’une caméra de circulation en Lituanie. Ses numéros de téléphone couvrent le monde : Indonésie, Ukraine, États-Unis et Israël.
Les journalistes ont finalement découvert que son vrai nom est Tal Hanan, un expert autoproclamé de la lutte contre le terrorisme qui a été cité dans les médias comme un spécialiste de la cybersécurité.
Hanan a nié tout acte répréhensible, mais n’a pas répondu aux questions détaillées.
🔗Se mettre à l’abri
L’enquête d’infiltration a conduit à une série de réunions enregistrées qui ont permis aux journalistes de pénétrer des aspects de l’industrie de la désinformation contre rémunération qui ne sont pas ouvertement annoncés.
En juillet et août 2022, les journalistes se sont fait passer pour des intermédiaires, faisant allusion à un client au Tchad. Le but : retarder l’élection d’octobre, peut-être indéfiniment, pour protéger ses intérêts économiques. Bien que l’élection au Tchad ait effectivement été retardée de deux ans, elle n’a pas été influencée par l’enquête secrète – les journalistes n’ont jamais contracté de services et ces conversations ont cessé en août.
Une réunion supplémentaire en personne avec l’équipe Jorge a eu lieu en Israël en décembre.
Les journalistes qui ont fait des reportages sous couverture sont Gur Meggido (TheMarker), Frédéric Métézeau (Radio France) et Omer Benjakob (Haaretz). Ils faisaient partie d’une enquête collaborative appelée Story Killers, coordonnée par Forbidden Stories et impliquant plus de 100 journalistes de 30 médias, dont l’OCCRP. Forbidden Stories est un consortium international de journalistes d’investigation qui poursuit le travail des journalistes qui ont été tués ou qui travaillent sous la menace.
Piratage au Kenya
Au cours de l’une des présentations Zoom enregistrées, Hanan a affiché un écran avec un compte Telegram et a cliqué sur les contacts et les conversations personnelles du conseiller politique kenyan Dennis Itumbi.
William Ruto avec Dennis Itumbi
Crédit : Capture d’écran de @dennisitumbi/Instagram.com
William Ruto (à gauche) avec Dennis Itumbi (au centre) peu après que Ruto a prêté serment en tant que président du Kenya en septembre 2022.
La démonstration en direct a eu lieu fin juillet 2022, à un moment critique de la campagne électorale présidentielle au Kenya. Itumbi était le stratège numérique de William Ruto, alors vice-président de la nation d’Afrique de l’Est, qui serait élu président dans quelques semaines. Les médias locaux décrivent Itumbi comme le « bras droit » de Ruto.
Hanan a montré la preuve que non seulement il pouvait lire les conversations et les fichiers personnels d’Itumbi – y compris un sondage interne lié à l’élection à venir – mais qu’il pouvait même se faire passer pour Itumbi en envoyant des messages depuis son compte. Hanan a ouvert une conversation récente qu’Itumbi a eue avec un éminent homme d’affaires kenyan et a envoyé un texte qui disait simplement : « 11 ».
Ce message n’avait aucun sens, conçu uniquement comme une démonstration de sa capacité à contrôler le compte. Mais l’équipe Jorge a affirmé avoir envoyé des messages falsifiés aux commandants militaires et aux ministres du gouvernement, le tout dans le but d’influencer les événements et de semer le chaos pour une cible de haut niveau.
« Généralement, j’attendrai qu’il le voie, puis je le supprimerai. Pourquoi? Parce que je veux créer la confusion », a déclaré Hanan.
Dans le cas de la démonstration d’Itumbi, Hanan a accidentellement supprimé le message texte uniquement pour l’expéditeur. Cela signifiait que les journalistes pouvaient contacter l’homme d’affaires qui l’avait reçu et vérifier que le message crypté avait bien été envoyé.
🔗Craquer les communications
« Je sais que dans certa ins pays, ils pensent que Telegram est très sûr », a déclaré Hanan dans une démo Zoom. « Alors, ici, je vais vous montrer à quel point c’est sûr… Donc c’est aussi un ministre d’un pays, je peux y aller [et] je peux vérifier tous ses appels. »
PLUS
L’ampleur de l’ingérence de l’équipe Jorge dans les élections kenyanes n’est pas claire, mais la désinformation – des deux côtés – a entaché le vote par ailleurs pacifique d’août 2022.
Des vidéos anonymes sont apparues sur les réseaux sociaux, alléguant un trucage des votes au sein de la commission électorale et accusant les puissances occidentales de renverser le vote.
Juste avant les élections, trois Vénézuéliens employés par la société qui a fourni le matériel de vote à la commission électorale ont été arrêtés à l’aéroport de Nairobi, prétendument avec du matériel électoral suspect. Même si la police kenyane aurait relâché les hommes le lendemain, l’histoire virale est devenue un sujet de débat houleux tout au long de la période électorale, formant la base des théories du complot affirmant que le vote était truqué.
« C’était probablement la campagne la plus sale de notre histoire et nous avons eu notre part de campagnes sales au Kenya », a déclaré John Githongo, journaliste et défenseur de la transparence qui a soutenu l’opposition, et a déposé un affidavit au nom d’un lanceur d’alerte qui a allégué le trucage des votes. . (OCCRP travaille avec son agence de presse The Elephant.)
« Ce qui est clair, c’est qu’il y a un certain nombre de blanchisseurs de réputation, de soi-disant sociétés de sécurité commerciales et politiques qui sont de plus en plus embauchées pour s’impliquer dans nos élections. Souvent, vous avez une tenue «d’arts noirs» présente dans plusieurs pays, ce qui a un impact négatif sur notre démocratie.
Depuis l’élection de Ruto, ses opposants ont déposé de nombreuses plaintes devant les tribunaux pour irrégularités électorales.
L’un est venu du lanceur d’alerte anonyme de Githongo, qui a affirmé qu’Itumbi – le stratège ciblé par l’équipe Jorge – avait orchestré une campagne de manipulation des bulletins de vote. Davis Chirchir était également nommé dans la plainte, qui était le chef de cabinet de Ruto lorsque Hanan a affiché son compte apparemment piraté. Mais le lanceur d’alerte et les preuves qu’il a fournies ont été discrédités.
En fin de compte, la Cour suprême du Kenya a rejeté non seulement les demandes du lanceur d’alerte, mais toutes les autres requêtes, et en septembre a confirmé les résultats des élections.
Puis, en janvier, un nouveau site Web de dénonciation est apparu, prétendant avoir de nouvelles preuves de fraude. Mais cela aussi porte les caractéristiques d’une campagne de désinformation.
Les experts en sécurité numérique n’ont pas été en mesure d’identifier qui a créé le nouveau site Web. Et il était impossible de dire l’origine des documents qui y étaient postés –– des résultats de sondages qui avaient été trafiqués pour montrer une supposée fraude –– parce que les métadonnées en avaient été effacées.
Cependant, des documents apparemment presque identiques avaient été envoyés des mois plus tôt à des journalistes, affirmant qu’ils prouvaient que l’élection kenyane avait été volée. Ces documents contenaient des métadonnées qui révélaient l’auteur : Henry Mien, PDG de la société de conseil Risk Africa Innovatis. Mien est un allié du chef de l’opposition Raila Odinga, selon deux sources de sa campagne. Il a également soutenu ouvertement Odinga et partagé des allégations de fraude anonymes sur les réseaux sociaux.
Même si les analystes ont déclaré que les documents étaient suspects, l’opposition au Kenya les a utilisés comme justification pour appeler à des manifestations. Quelques jours après la mise en ligne des documents, le candidat défait Odinga a organisé un rassemblement politique à Nairobi, où il a qualifié l’administration de Ruto d’« illégitime ». Il a exigé la démission de l’administration, âgée de cinq mois, et a déclaré que « la résistance commence aujourd’hui ».
Dennis Itumbi, Davis Chirchir, Raila Odinga et Henry Mien n’ont pas répondu aux demandes de commentaires.
Relations troubles
Alors que Hanan a déclaré aux journalistes qu’il travaillait sur une «élection africaine» –– et leur a montré la preuve que c’était au Kenya –– on ne sait pas qui l’a embauché. L’implication de l’équipe Jorge intervient après des années de désinformation ciblée dans la politique kenyane, ce qui rend particulièrement difficile de retracer un événement particulier ou un complot à un auteur spécifique.
Des rapports secrets ont révélé que la société de conseil politique en disgrâce Cambridge Analytica avait travaillé pour aider à élire l’ancien président Uhuru Kenyatta en 2013 et 2017. Cette dernière année, des courriels divulgués montrent que Hanan a offert ses services au Kenya à la société mère de Cambridge Analytica, SCL Group. L’offre initiale a été rejetée en raison de son prix, bien que la conversation semble s’être poursuivie.
Mais l’équipe Jorge a semblé s’impliquer dans la campagne 2022 d’Odinga. Kenyatta ne pouvait pas légalement briguer un autre mandat lors des élections d’août 2022, il s’est donc associé à son ancien rival Odinga pour tenter de battre Ruto – le candidat ciblé par Hanan lors de sa manif.
Les e-mails divulgués montrent également que Cambridge Analytica avait travaillé avec Hanan dans le passé.
Et en 2018, Brittany Kaiser, ancienne directrice du développement des programmes au SCL, a déclaré aux députés britanniques enquêtant sur le scandale de l’ingérence électorale de Cambridge Analytica qu’elle avait présenté l’ancien président nigérian et client du SCL, Goodluck Jonathan, à des consultants israéliens. Ces consultants avaient fait de la collecte de renseignements pour les gouvernements, a-t-elle dit, et fourni des services que SCL n’offrait pas officiellement.
Kaiser, qui a ensuite dénoncé les tactiques controversées de Cambridge Analytica, a déclaré qu’elle n’avait aucun rôle dans la prise de décision à SCL, que les consultants n’étaient pas chargés « d’entreprendre des activités illégales », et a nié toute suggestion selon laquelle elle aurait couru, toléré ou « sciemment ». collusion » dans toute illégalité.
Kenyatta n’a pas répondu à une demande de commentaire.
Bretagne Kaiser
Crédit : Gage Skidmore de Surprise, AZ, États-Unis d’Amérique, CC BY-SA 2.0, via Wikimedia Commons
Ancienne employée de SCL, Brittany Kaiser, qui a dénoncé Cambridge Analytica.
Emma Briant, experte en guerre de l’information et Cambridge Analytica, affirme que les entreprises de ce secteur « se bousculent régulièrement » pour déni et couverture juridique.
Cambridge Analytica faisait partie des 65 entreprises identifiées par le Computational Propaganda Project de l’Université d’Oxford qui ont ouvertement offert aux gouvernements leurs services pour influencer les élections. Mais il y en a une foule d’autres –– comme l’équipe Jorge –– qui préfèrent rester dans l’ombre.
Les accords qu’ils concluent sont « intentionnellement obscurcis et les relations sont assez secrètes », a déclaré Samantha Bradshaw, professeure adjointe à l’Université américaine de Washington, DC, qui a participé à cette recherche.
Boîte à outils technique
L’équipe Jorge a déclaré que les deux tiers des campagnes présidentielles auxquelles ils se sont mêlés se sont déroulées en Afrique, mais leur matériel promotionnel comprend également des pays d’Europe, d’Amérique latine, d’Asie du Sud-Est et des Caraïbes.
Le frère de Hanan, Zohar, a déclaré lors d’une réunion en décembre qu’il n’y a q ue trois emplois que l’équipe Jorge n’acceptera pas : Rien en Israël (« Nous ne voulons pas chier là où nous dormons. ») ; pas de politique au niveau des partis américains (ils prétendent avoir refusé une invitation à aider à élire l’ancien président américain Donald Trump) ; et « rien contre M. Poutine ».
Zohar Hanan
Crédit : Photo d’un enregistrement sous couverture
Zohar Hanan, le frère de Tal Hanan, également connu sous le nom de « Nick » dans l’équipe Jorge.
Lors des démonstrations aux journalistes infiltrés, Tal Hanan était impatient de montrer les outils technologiques que son équipe déploie pour aider les clients.
Il a publié un article avec des titres du Nigeria décrivant des attaques contre les lignes téléphoniques de l’opposition, dans le cadre de leur vidéo de vente « Team Jorge Presents: Intelligence on Demand ». Ces attaques submergent le réseau téléphonique.
« Nous voulons que certaines personnes soient réduites au silence, nous voulons que certaines personnes aient des problèmes de communication », a-t-il déclaré lors d’un appel où il a qualifié un jour d’élection de « jour J ». «Nous avons donc la capacité le jour J de désamorcer des centaines de téléphones… un chef de police spécifique ou des militaires qui ne sont pas en notre faveur. Tous les téléphones cesseront de fonctionner.
Et Hanan a affirmé avoir utilisé une tactique similaire contre les réseaux informatiques.
«Nous pouvons supprimer des sites Web, tout ce qui a une adresse IP, des serveurs. S’ils ont leurs propres serveurs, applications, parfois deux, trois agences de presse –– nous pouvons les retirer », s’est-il vanté.
Les capacités décrites par Hanan ressemblent au « déni de service distribué » ou aux attaques DDOS. Ces attaques impliquent généralement de submerger les systèmes d’une cible en les inondant de demandes, les forçant à produire une réponse de « déni de service » aux demandes légitimes.
Il a fait la une des journaux sur une telle attaque lors du référendum de 2014 en catalan. Les enquêteurs espagnols ont déclaré à l’OCCRP qu’ils n’avaient aucune preuve de l’implication de Hanan, mais ont déclaré que c’était plausible.
Capture d’écran de la présentation
Crédit : Capture d’écran de la présentation d’un enregistrement sous couverture
Présentation de l’équipe Jorge, montrant l’attaque DDOS lors du référendum de 2014.
La boîte à outils technologique de l’équipe Jorge comprend également « une plate-forme d’influence » appelée Advanced Impact Media Solutions , ou AIMS, que Hanan prétend avoir vendue aux services de renseignement de plus de 10 pays.
Le logiciel AIMS est conçu pour créer des avatars convaincants pour les campagnes sur les réseaux sociaux. Les avatars, ou robots, utilisent des photos volées de personnes réelles, fonctionnent sur n’importe quelle plate-forme de médias sociaux et peuvent être connectés à des comptes Amazon et Bitcoin fonctionnels. Ils semblent également avoir une présence en ligne de longue date, y compris des comptes Gmail et des commentaires banals sur des vidéos YouTube de célébrités, pour donner aux enquêteurs l’impression qu’ils sont de vraies personnes.
« Nous imitons le comportement humain », a déclaré Hanan aux journalistes infiltrés.
La plupart des comptes en ligne nécessitent une vérification du numéro de téléphone et de l’adresse e-mail pour empêcher les robots comme ceux déployés par AIMS. Mais il existe des sites Web spécialement conçus pour permettre des services de vérification par SMS uniques, pour 50 cents ou moins. De nombreux comptes –– tels que Gmail et WhatsApp –– peuvent être enregistrés avec des numéros de téléphone « vérifiés ». L’équipe Jorge semble utiliser un service appelé SMSpva.com pour la vérification des numéros de téléphone. SMSpva.com n’a pas répondu à une demande de commentaire.
AIMS s’appuie également sur des proxys résidentiels qui redirigent le trafic Internet des bots vers les maisons des gens afin qu’il apparaisse authentique afin d’éviter la détection et les fermetures par les plateformes de médias sociaux comme Twitter et Facebook. Il est donc difficile pour les plateformes de médias sociaux d’identifier une campagne de désinformation coordonnée.
L’analyse par les partenaires de reportage Le Monde et le Guardian a identifié des groupes d’avatars, y compris ceux vus dans les présentations de pitch de Hanan, qui semblent avoir été utilisés pour des campagnes Twitter coordonnées. Les journalistes ont trouvé plus de 1 700 comptes Twitter connectés à 21 campagnes liées à l’AIMS, dont les réseaux avaient produit des dizaines de milliers de tweets.
Lors de la réunion en personne de décembre avec des journalistes infiltrés, l’équipe Jorge a présenté une nouvelle capacité d’AIMS : des outils d’intelligence artificielle pour générer de fausses nouvelles en utilisant des mots clés, un ton et un sujet spécifiés.
« Un opérateur peut avoir environ 300 profils », a déclaré Zohar Hanan lors de la démonstration. « Ainsi, dans deux heures, tout le pays prononcera le message, le récit que je veux. »
🔗Activités Avatar
Une campagne d’avatar vue sur un ordinateur de l’équipe Jorge lors d’un argumentaire de vente s’est avérée avoir promu les activités d’Alexander Zingman, un homme d’affaires proche du président biélorusse autoritaire Aleksandr Lukashenko.
PLUS
Démasquer l’équipe Jorge
Les identités de l’équipe Jorge sont presque aussi mystérieuses que leurs tactiques. Mais les journalistes ont réussi à rassembler des informations de fond sur les membres du groupe clandestin. Certaines d’entre elles correspondent aux affirmations de l’équipe Jorge au sujet des membres de l’équipe lors d’appels avec des journalistes.
« Certains d’entre nous sont d’anciens responsables de l’information », a déclaré Mashy Meidan, qui s’appelait « Max ». « Certains d’entre nous sont d’anciens experts en information financière et en guerre. Certains d’entre nous travaillent avec les spécialistes de la guerre psychologique.
Plusieurs sources de sécurité israéliennes, qui ont parlé à TheMarker sous couvert d’anonymat, ont confirmé que Meidan avait travaillé avec le service de sécurité intérieure israélien Shabak. Ils ont dit qu’un autre membre de l’équipe, Shuki Friedman, avait également travaillé avec Shabak. Friedman n’a pas répondu à une demande de commentaire.
Yaakov Tzedek est un entrepreneur numérique répertorié comme co-fondateur de la société immobilière israélienne Proptech Investments. Ishay Shechter est « directeur de la stratégie » chez Goren Amir, une importante société de lobbying israélienne qui a travaillé avec des clients internationaux tels que Visa, Uber et IKEA.
Bien qu’ils aient participé à l’appel Zoom avec des journalistes infiltrés, Meidan et Shechter ont déclaré séparément qu’ils n’avaient jamais travaillé avec l’équipe Jorge ou Tal Hanan.
Le frère de Tal Hanan, Zohar, qui a été présenté comme le PDG de la société « Nick », est publiquement identifié comme un expert en polygraphie qui a travaillé avec une société israélienne appelée Sensority LTD, qui est maintenant en liquidation. Une autre société, Pangea IT, a racheté la technologie de Sensority, qui détecte le stress psychologique chez un sujet. Zohar a déclaré qu’il avait « travaillé toute ma vie conformément à la loi », mais n’a pas répondu à des questions spécifiques.
Tal Hanan a servi dans les forces spéciales israéliennes en tant qu’expert en explosifs, selon une biographie en ligne. Il est répertorié comme PDG d’au moins deux sociétés israéliennes, Tal Sol Energy et Demoman International Ltd., une société de renseignement inscrite dans un registre des société s de défense sur le site Internet du ministère israélien de la Défense.
Hanan a indiqué qu’il avait orchestré des opérations de lobbying aux États-Unis bien qu’il ne soit pas enregistré en tant qu ‘«agent étranger», comme l’exige la loi. Il a déclaré qu’il travaillait via des consultants et des entreprises déjà enregistrés, et a déclaré aux journalistes qu’il avait récemment créé une société de relations publiques appelée Axiomatics pour promouvoir l’équipe Jorge auprès des « groupes de pression existants ».
Dans les années qui ont suivi les attentats de septembre 2001 contre le World Trade Center à New York, Hanan s’est positionné comme un expert de la lutte contre le terrorisme. Il prétend avoir formé des organismes chargés de l’application de la loi, y compris des agences fédérales américaines, selon une page archivée de son site Web aujourd’hui disparu suicide-terrorism.com . En 2010, Hanan a été cité dans le Jerusalem Post en tant qu’expert en cybersécurité, commentant les capacités de piratage.
Lors d’appels avec des journalistes infiltrés, l’équipe Jorge a approfondi la technologie utilisée par le groupe pour faire basculer les élections. Ils ont ajouté qu’ils avaient six bureaux et employaient au moins 100 personnes, soulignant qu’ils s’appuyaient sur les antécédents de collègues ayant une expérience dans les services de renseignement. Cela pousse les activités de Team Jorge bien au-delà du domaine des stratégies de relations publiques qui sont couramment déployées lors des élections.
« C’est un travail de renseignement plus que tout. Ce n’est pas un travail de relations publiques. C’est un travail de renseignement », a souligné Hanan.
https://www.occrp.org/en/storykillers/hacks-bots-and-blackmail-how-secret-cyber-mercenaries-disrupt-elections