LOS ANGELES – Ali Al-Ahmed est un critique chevronné du gouvernement saoudien. L’année dernière, il n’a donc pas été surpris de recevoir un message Twitter prétendant provenir d’une femme égyptienne vivant à Londres qui disait qu’elle aussi était une opposante à la cour saoudienne.

Mais M. Al-Ahmed, basé à Washington, se méfiait de la femme, qui se présentait sous le nom de Mona A. Rahman. «Sa photo était trop maquillée, comme la photo d’un modèle», a-t-il rappelé. Son arabe était imparfait. Et ses messages en arabe incluaient un caractère qui indiquait qu’elle tapait sur un clavier en langue farsi.

Elle lui a ensuite envoyé un article qui semblait provenir du site Web du Centre Belfer pour la science et les affaires internationales à Harvard, sur une évolution inattendue concernant la politique israélienne.

L’article était sur un site qui avait le logo exact, la couleur et la mise en page du site de Harvard. Mais l’adresse était «belfercenter.net» – et non la vraie adresse, «belfercenter.org». Et l’article, affirmant que le ministre de la Défense israélien avait été limogé parce qu’il serait un agent russe, était une fabrication totale.

M. Al-Ahmed a découvert ce qu’un nouveau rapport de Citizen Lab, un groupe de recherche de l’Université de Toronto, qualifie d’opération d’influence pro-iranienne qui utilise des sites Web et des réseaux sociaux très élaborés et similaires à d’autres existant, pour diffuser de faux articles en ligne et attaquer les adversaires de l’Iran. Une autre manœuvre innovante a été mise en place lors de l’opération : lorsque les reportages inventés ont été repris par les principaux organes de presse, les opérateurs ont rapidement pris les mesures qui s’imposaient pour rendre plus difficile le suivi permettant de remonter jusqu’à la fraude.

«Ils ont supprimé leurs fausses histoires une fois qu’ils ont réussi à se faire connaître», a déclaré Gabrielle Lim, chercheuse au Citizen Lab et auteure principale du rapport. « Cela rendait difficile pour les utilisateurs réguliers de comprendre ce qui se passait et masquait la source initiale de la désinformation. »

Mme Lim a qualifié l’opération «pro-iranienne» de «chaîne de montage de désinformation tentaculaire», opérationnelle depuis au moins 2016.

«Ils ont publié de fausses histoires sur des sites d’information clonés, puis les ont amplifiées par des préjugés négatifs bien ciblés sur Israël, l’Arabie saoudite et les États-Unis», a-t-elle déclaré. Ils ont également créé de fausses personnalités, telles que «Mona A. Rahman», qui ont visé M. Al-Ahmed et tenté de tromper les organes de presse légitimes en leur faisant publier leurs articles et même en leur faisant porter des signatures, a déclaré Mme Lim.

En reconnaissance de la production prolifique du groupe et de sa nature éphémère, le Citizen Lab l’a baptisé «Endless Mayfly» (éphémère sans fin), en référence aux insectes gangrenés et éphémères qui éclosent et pullulent chaque été. Citizen Lab a déclaré ne pas pouvoir affirmer avec certitude que l’opération avait été parrainée par le gouvernement iranien. Mais il a noté que Facebook et Twitter avaient supprimé des centaines de comptes liés à la même opération en août dernier et Facebook avait déclaré que ces comptes avaient des liens avec les médias iraniens.

Etienne Maynier, un autre auteur du rapport du Citizen Lab, a déclaré que les articles d’Endless Mayfly « faisaient souvent écho aux commentaires officiels et aux positions du gouvernement iranien ».

Le gouvernement iranien a nié tout lien avec le groupe.

« Ces affirmations ne sont qu’un élément de la campagne de propagande contre l’Iran », a déclaré Alireza Miryousefi, porte-parole de la mission iranienne aux Nations Unies. «La suggestion selon laquelle le gouvernement iranien – avec tous les efforts diplomatiques auxquels il est engagé au quotidien – est impliquée dans un stupide effort de « fausses nouvelles » en ligne est ridicule. Il est tout simplement absurde de lier toute personne qui n’est pas d’accord avec les politiques israéliennes ou saoudiennes au gouvernement iranien. « 

Raz Zimmt, expert de l’Iran à l’Institut d’études sur la sécurité nationale d’Israël, groupe de réflexion affilié à l’Université de Tel Aviv, et ancien officier du renseignement militaire israélien, a déclaré que l’Iran s’était tourné vers les cyberattaques et les campagnes d’influence en ligne, en partie à cause de la faiblesse de son armée. En outre, ces opérations difficiles à retracer permettent à l’Iran « de maintenir l’ambiguïté nécessaire pour réduire le risque de confrontation ouverte avec des adversaires qui maintiennent une supériorité militaire sur lui ».

Pour créer ses sites Web éphémères, le groupe Endless Mayfly a utilisé une tactique connue des opérations de phishing : le «typosquattage», dans laquelle un site Web est créé sous le nom d’une lettre ou deux extraites d’une institution bien connue. Endless Mayfly a utilisé «theguaradian.com» pour imiter «theguardian.com» et «theatlatnic.com» à la place de «theatlantic.com».

Les chercheurs du Citizen Lab ont détecté leur premier indice en avril 2017, après que les utilisateurs de Reddit aient remarqué un article sur le Brexit qui semblait provenir du journal britannique The Independent et qui venait en fait d’un site épelé différemment : «http://www.indepnedent.co/ . ”Mais plus tard, lorsque les lecteurs ont essayé de revenir à l’article, ils ont été envoyés sur le site officiel du journal. Les auteurs de l’article avaient supprimé le faux mais avaient modifié le lien pour renforcer l’impression qu’il provenait du site du vrai journal.

Au total, Citizen Lab a déclaré avoir identifié 73 domaines Web créés par le groupe, 135 ersatz d’articles qu’il avait postés et 11 fausses identités telles que Mona A. Rahman, souvent utilisées en guise de signature pour les faux articles. Certains reporters et chercheurs avaient déjà signalé que certains des articles étaient faux. Ils désignaient parfois la Russie comme le principal responsable. Mais l’opération globale n’a pas encore été intégralement décrite et liée aux intérêts iraniens.

Un tweet de «Mona A. Rahman».CréditCitizen Lab

Un tweet de «Mona A. Rahman».CréditCitizen Lab

Selon Citizen Lab, le groupe semble toujours être actif, bien que la plupart de ses activités aient été arrêtées. «En apparence, elles ressemblent à une campagne de publicité virale qui n’a pas été très fructueuse», a déclaré John Scott-Railton, chercheur principal à Citizen Lab.

Mais l’article fabriqué sur la politique israélienne a impressionné un ancien haut responsable des services de renseignements israéliens, qui a requis l’anonymat. Le faux article concocté par le groupe citait Tamir Pardo, un ancien directeur du Mossad, des services de renseignement israéliens, qui aurait déclaré lors d’une conférence à Harvard qu’Avigdor Lieberman, ministre de la Défense israélien, avait été limogé par le Premier ministre Benjamin Netanyahu après avoir découvert qu’il était une taupe russe.

L’article fabriqué a été diffusé le 14 novembre 2018 via un compte Twitter sous le pseudo de «Bina Melamed», un nom israélien commun.

En fait, M. Lieberman venait de démissionner pour protester contre le cessez-le-feu mettant fin aux combats à Gaza, et M. Pardo venait de parler au centre Belfer. Le reste de l’article était une invention. Mais l’ancien responsable israélien a déclaré avoir été frappé par la création du nouveau site Web de Harvard au lendemain de la nuit et par la « réaction ultra-rapide aux événements »en cours.

« Cela montre une compréhension admirable du monde en ligne », a déclaré le responsable. Quelques mois plus tard, une recherche sur le web sur le titre bidon donne encore quelques résultats.

Pour le critique saoudien à Washington, M. Al-Ahmed, l’étude du Citizen Lab a simplement souligné les dangers inhérents pour les militants en ligne. Dans ce qui semble avoir été une opération séparée l’année dernière, il a été contacté par une femme se faisant passer pour une journaliste de la BBC qui a demandé à l’interviewer. Elle aussi s’est révélée être un faux profil.

Sur la base de son expérience, M. Al-Ahmed a d’abord pensé que Mona A. Rahman pourrait être une opératrice saoudienne ayant pour objectif de le prendre au piège. Mais lorsqu’il a appris qu’il semblait s’agir d’une supercherie iranienne, il n’a pas été particulièrement surpris.

«J’ai été la cible de toutes sortes de choses», a-t-il déclaré. «Toutes sortes de gens viennent me courir après. Seules les méthodes changent.