- Temps de lecture : 12 min.
« Team Jorge » : Révélations sur les manipulations d’une officine de désinformation
Forbidden Stories révèle aujourd’hui l’existence d’une entreprise israélienne ultra-secrète impliquée dans la manipulation d’élections à grande échelle et le piratage de responsables politiques africains.
Par Cécile Andrzejewski
Traduit par : Annie Hylton
Ils ont contribué à l’enquête : Gur Meggido (The Marker), Omer Benjakob (Haaretz), Frédéric Métézeau (Radio France), Damien Leloup (Le Monde), Florian Reynaud (Le Monde), Christo Buschek (Paper Trail Media), Paul Lewis (The Guardian), Stephanie Kirchgaessner (The Guardian), Manisha Ganguly (The Guardian), Carole Cadwalladr (The Guardian), Roman Lehberger (Der Spiegel), Max Hoppenstedt (Der Spiegel), Marcel Rosenbach (Der Spiegel), Heiner Hoffmann (Der Spiegel), Fritz Zimmermann (Die Zeit), Kira Zalan (OCCRP), Antonio Baquero (OCCRP), Alina Tsogoeva (OCCRP), Khadija Sharife (OCCRP), Kristof Clerix (Knack).
Consultant technique : Donncha O Cearbhaill
“Les choses n’ont pas forcément besoin d’être vraies, du moment qu’elles sont crues. » Voilà une citation qui pourrait être attribuée à bien des philosophes, mais qui sort de la bouche d’un certain Alexander Nix. Si son nom vous paraît inconnu, celui de la société qu’il dirigeait le sera certainement un peu moins : Cambridge Analytica.
En 2018 éclate le scandale éponyme dévoilant comment l’entreprise britannique a recueilli puis analysé et utilisé les données personnelles de près de 87 millions d’utilisateurs de Facebook, à leur insu, à des fins de ciblage politique. La société, qui a vendu ses services dans une soixantaine d’États, du régime iranien à l’entreprise pétrolière nationale en Malaisie, est accusée d’avoir manipulé ou tenté de manipuler de nombreuses élections, contribuant à la victoire de Donald Trump en 2016 aux États-Unis et au vote en faveur du Brexit en Angleterre. À l’époque, l’affaire fait la une des journaux et le nom de Cambridge Analytica devient synonyme de désinformation partout dans le monde.
Pourtant, de ce scandale planétaire, tout n’a pas encore été révélé. Certains de ses acteurs, redoutés dans le milieu, sont parvenus à rester dans l’ombre. Notamment de mystérieux sous-traitants israéliens, experts en hacking et décrits par l’une des lanceuses d’alerte à l’origine du scandale comme « une équipe chargée des recherches sur les opposants ». Dans les témoignages anonymes publiés dans la presse britannique en 2018, d’anciens salariés décrivent des « hackers israéliens » débarquant dans les locaux de l’entreprise avec des clés USB chargés de mails privés d’hommes politiques piratés. « Les gens ont paniqué, ils ne voulaient rien avoir à faire avec ça », se souvient un ex-employé dans les colonnes du Guardian.
De ces mystérieux pirates, le scandale Cambridge Analytica a révélé l’existence et les méthodes. Mais de leur identité, rien n’a jamais été divulgué. Derrière ces « hackers israéliens », les employés de Cambridge Analytica désignent-ils d’ailleurs les mêmes personnes ou la même structure ? Aucun des articles consacrés à l’affaire, à l’époque des révélations, n’est parvenu à percer l’anonymat de ces sous-traitants de l’ombre très discrets, ni même mentionné une société en particulier. Lorsqu’il fait référence, dans un mail interne, à des « Israeli back ops », le patron de Cambridge Analytica n’a d’ailleurs ni nom de famille, ni nom de société. Il utilise seulement ce qui semble être un pseudo pour désigner le boss de cette structure ultra-secrète : « Jorge ».
Pendant plus de six mois, les journalistes d’investigation du consortium Forbidden Stories ont enquêté et suivi la piste de « Jorge ». Sur ce marché parallèle de la désinformation, des entreprises, officielles ou beaucoup plus souterraines, sont passées maîtresses dans l’art de manipuler la réalité et d’infuser des récits créés de toutes pièces.
En poursuivant le travail de Gauri Lankesh, journaliste indienne qui enquêtait sur la désinformation et « les usines à mensonges », assassinée en 2017, le projet « Story Killers » dévoile une industrie usant de toutes les armes à sa disposition pour manipuler les médias et l’opinion publique, aux dépens de l’information et de la démocratie.
Quatre ans après le scandale Cambridge Analytica, à l’été 2022, les journalistes du consortium Forbidden Stories ont retrouvé « Jorge ». Le « consultant » israélien aux méthodes douteuses utilise toujours le même pseudo et continue de vendre ses services d’influence et de manipulation au plus offrant. Ses outils se sont adaptés aux évolutions technologiques. L’intelligence artificielle écrit désormais des posts viraux à la demande. Et le piratage à distance de comptes Telegram a enrichi le catalogue du mystérieux entrepreneur.
Un potentiel client, intermédiaire d’un dirigeant africain, désireux de décaler, voire de faire annuler, des élections lui a justement demandé une démonstration. La mission est estimée à 6 millions d’euros par le consultant, toujours aussi mystérieux qu’à l’époque de Cambridge Analytica. Jamais, pendant plus de trois heures de discussion via Zoom, il ne montrera son visage ni ne dévoilera le nom de son entreprise. En revanche, « Jorge » en vante parfaitement les mérites.
Ce qu’il ignore, c’est que l’homme face à lui n’est pas du tout intermédiaire et travaille encore moins en Afrique. Il s’agit en fait d’un journaliste de Radio France, bientôt rejoint par des confrères de The Marker et Haaretz, des reporters membres du projet Story Killers, se faisant passer pour des clients.
« 33 campagnes présidentielles, dont 27 couronnées de succès »
Plusieurs rendez-vous ont eu lieu avec « Jorge », trois en ligne puis un dernier dans ses bureaux. L’occasion de discuter longuement avec l’ancien sous-traitant de Cambridge Analytica et d’assister à ses démonstrations en live. « Nous fournissons un service, principalement du renseignement et de l’influence. Ce sont nos compétences de base », explique-t-il en guise de préambule. En dehors de ces « capacités technologiques », « Jorge » peut aussi « construire un récit », qu’il s’agira ensuite de propager.
Le vendeur d’influence se vante d’avoir travaillé sur « 33 campagnes présidentielles, dont 27 ont été couronnées de succès » – une estimation difficilement vérifiable. Plus prudent que son bagout de vendeur ne le laisse paraître, il ne donne aucune indication précise permettant d’identifier ses clients, préférant se limiter à des anecdotes dignes de film d’espionnage et lister l’impressionnant éventail de ses services : catalogue de bots, propagation de fausses informations, hacking d’adversaires….
Visiblement très en confiance, l’homme va, malgré lui, livrer des informations sur quelques-unes de ses opérations secrètes. La première va d’ailleurs provoquer une tempête médiatique en France. Souvenez-vous, il y a deux semaines, au début du mois de février 2023, la presse se fait écho d’une enquête interne au sein de la chaîne BFM TV, dont une figure historique, Rachid M’Barki, est soupçonnée d’avoir passé à l’antenne des contenus non validés, dont l’origine semble alors très floue. Pour comprendre le point de départ de ce scandale, il faut revenir aux échanges entre « Jorge » et les journalistes infiltrés.
Protégez votre travail
Vous êtes journaliste et vous êtes menacé en raison de vos enquêtes ? Sécurisez vos informations auprès de Forbidden Stories.
Afin de vérifier l’authenticité de cette vidéo et d’autres, nous l’avons soumise à la direction de BFM TV courant janvier, qui a rapidement suspendu le journaliste et lancé un audit interne. « Dans la façon dont ces brèves sont allées à l’antenne et notamment ont été illustrées, le journaliste mis en cause se serait arrangé pour les demander en dernière minute, une fois que le rédacteur en chef était pris sur une autre tranche et après qu’il ait validé l’ensemble de son journal, précise Marc-Olivier Fogiel, le directeur général de la chaîne. J’ai un soupçon déontologique de me demander pourquoi ces brèves sont diffusées alors qu’elles n’ont pas de cohérence éditoriale avec le reste de la chaîne. » Face à lui, Rachid M’Barki fait valoir « son libre arbitre éditorial » et explique avoir suivi les consignes d’un intermédiaire, un certain Jean-Pierre Duthion. Consultant média et lobbyiste, Jean-Pierre Duthion n’est pas un inconnu dans le milieu des agences dites d’influence. L’une d’entre elles le qualifie notamment dans des notes internes auxquelles nous avons eu accès de « mercenaire » de la désinformation, « principalement motivé par le profit ». Contacté, il nous confirme avoir effectivement « travaillé sur la rétention de yachts russes à Monaco qui ont entraîné des pertes d’emplois au niveau local ». Il refuse de dévoiler le nom du commanditaire, arguant que ce genre de deal passe par une série d’intermédiaires, « ne sachant pas eux-mêmes qui est le client final ».
Il assure ne pas avoir payé Rachid M’Barki qui a certifié lui aussi, auprès de sa direction, ne pas avoir touché un euro pour passer ces brèves à l’antenne. D’après une source bien introduite dans le milieu, de telles prestations pourraient pourtant rapporter autour de 3 000€ à l’unité au journaliste complice. Par voie de presse, Rachid M’Barki, qui a refusé de répondre à nos questions, reconnait ne « pas avoir forcément suivi le cursus habituel de la rédaction ». Et se défend : « Peut-être que je me suis fait avoir, je n’avais pas l’impression que c’était le cas ou que je participais à une opération de je ne sais quoi sinon je ne l’aurais pas fait. »
La technologie pour propager des récits
L’exemple de BFM TV, censé illustrer sa puissance de frappe jusqu’aux chaînes d’info françaises, n’est pas le seul argument de vente que « Jorge » met en avant pendant ses entretiens avec les journalistes du consortium.
En plus de journalistes à sa solde, l’ancien sous-traitant de Cambridge Analytica dispose également, pour diffuser les histoires favorables à ses clients, d’une armée d’avatars enregistrés et pilotés sur une plateforme en ligne, des faux comptes que Forbidden Stories et ses partenaires ont pu vérifier. Cet outil, introuvable sur le web, porte un nom : AIMS pour « Advanced Impact Media Solutions » ; en français, « Solutions médiatiques à impact avancé ». En 2017, « Jorge » proposait déjà à Cambridge Analytica un « Système semi-automatique de création d’avatars et de déploiement de réseaux », accompagné d’une vidéo de démo montrant à quel point il lui était facile de créer des avatars en quelques secondes, avec des prénoms déterminés selon leur pays, sur une plateforme permettant de naviguer d’un compte à l’autre sans difficulté. En 2022, il dispose d’un catalogue de plus de 30 000 profils automatisés de personnes virtuelles possédant de comptes bien réels sur Facebook, Twitter, Instagram, Amazon, Bitcoin… Ces faux individus sont utilisés par Jorge pour poster en rafale des commentaires sur les réseaux sociaux, faire monter une polémique et même – selon lui – commander des sextoys sur Amazon, à l’instar de l’avatar nommée Shannon Aiken. Derrière le profil d’une jolie blonde, une arme redoutable qui aurait servi à envoyer un sulfureux colis au domicile d’un adversaire politique, laissant sa femme s’imaginer un adultère. « Après ça, on a fait fuiter l’histoire et le fait qu’il ne pouvait plus rentrer chez lui. La campagne s’est retournée. », prétend « Jorge ».
Soutenez-nous, nous enquêterons
Nous avons besoin de votre aide pour exposer ce que les ennemis de la presse cherchent à taire.
Hacker des ministres
Ce n’est pourtant pas là l’arme la plus terrifiante de « Jorge ». En temps réel, et pour les besoins de sa démonstration, il va prendre le contrôle de messageries privées de hauts responsables africains. « On est à l’intérieur », répète Jorge. Sous les yeux des journalistes sous couverture, deux adresses Gmail, drive et carnet d’adresses compris, ainsi qu’une ribambelle de comptes Telegram sont scrutés, fouillés, dépouillés. Un piratage sophistiqué, dont les véritables utilisateurs n’ont absolument aucune idée. Ils continuent d’ailleurs à utiliser leurs messageries en toute confiance, comme en attestent les appels passés et les messages reçus entre les différentes présentations faites aux journalistes infiltrés.
Pour convaincre ses (faux) clients de l’efficacité de l’opération de cyber espionnage, « Jorge » va alors lui-même envoyer des messages aux proches des victimes de son hack, depuis leurs messageries Telegram piratées. En clair, infiltré dans la messagerie d’une victime, il peut se faire passer pour elle auprès de ses contacts et leur écrire ce qui lui plait. Certainement trop confiant, Jorge commet alors une énorme erreur. Tandis qu’il supprime les messages envoyés lors de la démonstration sur le compte de sa victime et de ses contacts, il en oublie un.
Un destinataire, au moins, a donc gardé la trace de son opération. Nous l’avons retrouvé, ainsi que le message envoyé par « Jorge ». Et cette erreur nous a permis de confirmer qu’à l’été 2022, alors que l’élection présidentielle kenyane se prépare, le pirate israélien navigue sans difficulté entre les comptes de proches de William Ruto, le futur président. Deux de ses victimes – Denis Itumbi et Davis ChirChir, alors respectivement responsable de la stratégie numérique et chef de cabinet de Ruto – ont été accusées, à la suite des élections, d’avoir embauché des hackers pour manipuler les résultats de la présidentielle. Si l’accusation a été rejetée par la Cour Suprême, qui évoquera même des « preuves falsifiées », elle prend une toute autre dimension à l’aune des démonstrations de Jorge. Le hacker israélien se cache-t-il derrière cette tentative de manipulation de l’élection présidentielle kenyane ? À quoi son savoir-faire a-t-il pu servir ?
Jorge et sa galaxie
Il aura fallu des mois d’enquête au consortium pour retracer son parcours pour dessiner les contours de sa galaxie.
Dès les premiers jours de notre investigation, nos journalistes infiltrés ont eux-mêmes dû passer plusieurs entretiens avec des intermédiaires, avant de parvenir à le rencontrer. Un attelage d’anciens des renseignements, de communicants et d’experts en sécurité qui confirme l’étendue de ses activités et la nature de son business.
Selon la biographie disponible sur le site de son entreprise, Demoman, Tal Hanan a, lui, servi dans les forces spéciales israéliennes au sein d’une unité d’élite dédiée à la neutralisation d’engins explosifs. Sa carrière, tout comme son business, a ensuite cheminé de l’élimination d’explosifs au renseignement, au sens large. Et si « Jorge » est resté invisible pendant des années, Tal Hanan lui, intéresse au moins un service de renseignement européen depuis 2008, d’après une source policière. Pas pour des actions de désinformation, mais pour ses offres de services de sécurité douteux après des conférences sur le contre-terrorisme, le renseignement et le contre-espionnage. Selon la même source, il évoluerait à l’étroite « frontière séparant la sécurité privée des mercenaires ». Contacté par le consortium, Tal Hanan a simplement « nié tout acte répréhensible ».
En dehors des partenaires présents lors des rendez-vous avec les journalistes infiltrés, celui-ci s’est aussi doté d’un réseau à l’international au fil des années. D’après une enquête de Bloomberg, en 2006, alors en mission pour une banque panaméenne, il alerte un certain Martin Rodil, du FMI (Fonds monétaire international), de mouvements d’argent de PDVSA, la compagnie pétrolière de l’État vénézuélien, vers l’Iran, en violation des sanctions américaines. D’après la même enquête, Hanan propose alors à Rodil d’arrondir ses fins de mois en traquant l’argent pour lui. Un an plus tard, les deux comparses décident de partager leurs informations avec le gouvernement israélien et passent deux jours à répondre aux questions des services secrets. Ils fonderont ensuite la société Global Ressources Solutions, offrant renseignement, sécurité et intelligence financière, l’un y occupant le poste de président, l’autre celui de directeur. Martin Rodil se trouve aujourd’hui sous le coup d’une enquête en Espagne pour avoir extorqué d’anciens officiels vénézuéliens. Il n’a pas souhaité répondre à nos questions.
Autre ancien associé de choix mentionné par Tal Hanan au détour d’une conversation avec les journalistes : l’ancien secrétaire d’Etat adjoint du président américain George W. Bush, Roger Noriega qui a lui aussi travaillé avec Martin Rodil, dont il a même pris la défense dans la presse.
Contacté, cet ex-diplomate américain, en partie responsable de la ligne politique américaine très dure vis-à-vis du régime de Chavez, admet connaître Tal Hanan, mais ne pas avoir eu de « réelle conversation avec lui depuis six ou sept ans. Nous avions des clients communs liés au Vénézuela, mais je n’ai jamais fait d’affaires sérieuses avec lui. »
Un business connecté
Voilà pour les anciens collègues que nous avons pu retrouver. Pour ses services de manipulation, Tal Hanan a aussi recours aux outils les plus pointus du marché. Lors de ses démonstrations live, il présente par exemple des solutions offertes par TA9, une filiale de l’entreprise Rayzone– dont il a pris soin de gommer une partie du logo dans sa présentation. Contactée par Forbidden Stories, TA9 affirme n’avoir jamais eu relation d’affaires avec Tal Hanan ou ses associés et explique que des captures d’écran de ses produits sont aisément accessibles sur son site Internet ou lors de présentations en ligne.
Le groupe israélien Rayzone commercialise notamment des outils permettant la collecte de données personnelles et la localisation via Internet ou les réseaux téléphoniques. Pour cela, il s’appuierait notamment sur le réseau SS7, servant à orienter les appels et SMS des utilisateurs de téléphones leurs clients et à localiser leur appareil. Ce réseau, censé être réservé aux opérateurs de téléphonie, souffre de vulnérabilités permettant à des hackers d’accéder aux informations des propriétaires de téléphones portables. À plusieurs reprises, lors des rendez-vous avec ses faux clients, Tal Hanan évoque la possible exploitation de ces failles. Interrogée sur son offre de services, la société Rayzone ne mentionne qu’un produit, règlementé par le ministère israélien, « délivrant uniquement la localisation sans aucune capacité d’interception active ».
En s’appuyant sur les diapositives issues des brochures de TA9, la filiale de Rayzone en question, Tal Hanan cite également la « reconnaissance faciale », « l’interception du réseau mobile » ou « tout ce qu’on peut trouver dans n’importe quelle base de données » comme autant d’outils à sa disposition pour une surveillance des plus sophistiquées de ces cibles.
Petit détail, et non des moindres, selon le quotidien israélien Calcalist, David Avital, actionnaire d’une filiale de Rayzone hébergerait actuellement Tomás Zerón, l’ancien haut fonctionnaire mexicain, sous le coup d’un mandat d’arrêt international pour torture et disparition forcée, dont les avatars AIMS défendaient l’innocence. Une information récusée par son avocate Liora Turlevsky : « M. Zerón est en effet en Israël. Cependant, il n’a jamais vécu dans un appartement appartenant à David Avital. »
Hanan, Rodil, Noriega, Rayzone… Une galaxie dont les relations résument bien la porosité entre États et entreprises privées, renseignement, influence et cybersurveillance. Reste néanmoins une inconnue : comment Tal Hanan est-il rémunéré pour ses services ?
Les sommes en jeu sont conséquentes. Après des mois d’enquête, les journalistes du consortium ont mis la main sur une brochure envoyée à Cambridge Analytica en 2015. Un document d’un peu plus de trois pages, plutôt vague, intitulé « élections, renseignement et opérations spéciales » qui mentionne une expérience sur le terrain depuis 1999. Or, 1999 est aussi la date de création de l’entreprise Demoman, dont Tal Hanan est le PDG. Dans cette brochure, Hanan propose différentes options qui « se nourrissent et se renforcent mutuellement », alliant « intelligence stratégique », « perception publique », « guerre de l’information », « sécurité des communications » et « package spécial Jour J ». Il y vante son équipe constituée d’anciens des services de renseignement et des forces spéciales israéliennes, américaines, espagnoles, britanniques ou russes. L’équipe compte aussi des « experts des médias » connaissant « les meilleurs moyens de raconter une histoire, un message ou un scandale, et de créer les effets désirés ». Surtout, Tal Hanan y réclame 160 000 dollars pour une « phase initiale de recherche et de préparation » de huit semaines, plus 40 000 dollars de frais de déplacement. Un tarif beaucoup moins élevé que celui qu’il proposera à nos reporters en 2022 – six millions d’euros pour une campagne.
Ce n’est pourtant pas via Demoman, dont il est effectivement le PDG, que Tal Hanan peut commercialiser ses services de hacking. Et pour cause, l’entreprise est enregistrée auprès du Ministère de la Défense israélien. Or, au regard de la loi israélienne, de telles prestations sont parfaitement illégales. En effet, si une licence peut y être accordée à une entreprise pour vendre des logiciels espions à des États, en conformité avec leur propre législation, aucune n’autorise les services de piratage pour une campagne politique ou à des fins commerciales.
Lors des rendez-vous sous couverture, Tal Hanan avance néanmoins faire travailler une centaine d’employés, autour du globe. Si le nombre de salariés est impossible à confirmer, le site de Demoman annonce disposer de bureaux et des représentants en Israël, aux États-Unis, en Suisse, en Espagne, en Croatie, aux Philippines ou en Colombie. Des adresses sont également mentionnées au Mexique et en Ukraine, mais, selon les dires de Tal Hanan elles ont été fermées, à cause d’un ralentissement des affaires pour la première, de la guerre pour la seconde. Au cours du même rendez-vous, les frères Hanan avancent également utiliser leurs bots AIMS pour parier sur le marché des cryto-monnaies, et donc engranger des gains supplémentaires. Les affaires sont les affaires, dans cet obscur business, où les sous-traitants d’hier commercialisent désormais directement leur savoir-faire et où les nouvelles technologies servent décidément à tout.