Incidents associés
Une enquête menée par le DFRLab et la société finlandaise CheckFirst a révélé que l’écosystème de sites Web russes connu sous le nom de « Pravda » a étendu son infrastructure au cours de l’année 2024. L’opération, précédemment surnommée « Portal Kombat », a évolué pour englober davantage de pays et blanchir du contenu dans davantage de langues en Europe, en Afrique et en Asie. L’analyse médico-légale du site Web a lié l’opération à la société informatique TigerWeb basée en Crimée, ainsi qu’à son propriétaire, qui partage des liens douteux avec le gouvernement de Crimée occupée soutenu par la Russie. L’écosystème Pravda comprend plusieurs centaines d’agrégateurs d’informations, ou portails, qui republient du contenu provenant de sources d’information russes, de médias sociaux et de chaînes Telegram. Depuis 2022, une nouvelle itération de sites Web comportant le mot « Pravda » – « la vérité » en russe – a émergé, ciblant principalement les publics ukrainiens et occidentaux. Les portails semblent être entièrement automatisés et ne proposent pas de contenu original, mais republient des vidéos et traduisent des publications dans le but d’atteindre un public plus large et de contourner les sanctions. Malgré son nom, l’écosystème Pravda n’a aucun lien avec les médias russes du même nom. Un rapport de février 2024 de l’organisme français de surveillance de la désinformation Viginum dévoile un ensemble de portails d’information non authentiques blanchissant des récits pro-Kremlin dans plusieurs villes d’Ukraine et traduits dans plusieurs langues européennes, dont l’anglais, l’allemand, le français, le portugais et l’espagnol. À l’époque, les opérateurs des nouveaux portails frauduleux utilisaient des domaines comprenant « pravda- » avec des codes de pays spécifiques à trait d’union. À l’approche des élections parlementaires européennes de 2024, l’écosystème Pravda a évolué et lancé de nouveaux domaines ciblant presque tous les pays membres de l’Union européenne, ainsi que les pays du Partenariat oriental européen. En outre, une série de multiples sites Web ont émergé ciblant les pays francophones de la région du Sahel en Afrique, qui a récemment connu une série de coups d’État. Des sites Web similaires ont été enregistrés à l’approche des élections parlementaires géorgiennes d’octobre 2024. Dans le cadre des efforts visant à regrouper tous les domaines sous un seul domaine (news-pravda[.]com), à l’automne 2024 et au début de 2025, le réseau a utilisé 140 sous-domaines ciblant plus de quatre-vingt-trois pays et régions du monde. Suite au rapport de Viginum de février 2024 [https://www.sgdsn.gouv.fr/files/files/20240212_NP_SGDSN_VIGINUM_PORTAL-KOMBAT-NETWORK_ENG_VF.pdf), et deux mois avant les élections parlementaires européennes de 2024, nous avons observé que l’écosystème a tenté à plusieurs reprises de créer des domaines spécifiques à un pays. En avril 2024, une première série de quatre domaines enregistrés le 26 avril 2024 ciblait les États baltes et la République de Moldavie. Français Contrairement aux premiers volets de la campagne, où les sites Web fonctionnaient dans les langues nationales nationales et officielles, ce sous-ensemble de quatre sites Web fonctionne en russe, dans une tentative probable de faire appel aux minorités russophones de ces pays. Les sites Web étaient également répartis sur deux adresses IP. Domaine Date d'enregistrement IP moldova-news.com 26/04/2024 108.162.192.67 latvia-news.com 26/04/2024 104.21.82.102 lithuania-news.com 26/04/2024 104.21.30.198 news-estonia.com 26/04/2024 108.162.192.67 Source : DNSLytics Le 3 août 2024, vingt et un nouveaux domaines sont apparus, ciblant des villes dans toute l'Ukraine. Français Les domaines fonctionnent en russe et apparaissent sur l'adresse IP 178.21.15.41, qui est hébergée par le registraire russe reg.ru et située dans la région de Moscou. Une capture d'écran montrant le registraire, les domaines hébergés et l'emplacement de l'adresse IP 178.21.15.41. (Source : @DFRLab via DNSLytics) Une capture d'écran montrant les vingt et un domaines de l'écosystème Pravda ciblant des villes à travers l'Ukraine. (Source : @DFRLab via host.io/archive) De même, deux mois avant les élections parlementaires géorgiennes d'octobre 2024, nous avons observé que deux nouveaux sites Web sont apparus ciblant la Géorgie et l'Arménie dans un délai de deux jours. À l'instar des sites Web ci-dessus, ce sous-ensemble fonctionne exclusivement en russe et utilise la même adresse IP que les sites Web news-estonia[.]com et moldova-news[.]com. Date d'enregistrement du domaine Adresse IP georgia-news.com 30/07/2024 108.162.192.67 news-armenia.com 28/07/2024 108.162.192.67 Source : DNSLytics À l'automne 2024, l'écosystème Pravda est revenu à un portail de domaine de premier niveau, news-pravda[.]com, qui redirige le trafic vers une série de soixante-trois sous-domaines se concentrant sur un nombre stupéfiant de quarante-neuf pays à travers le monde. Captures d'écran des scans d'URLScan.io montrant le domaine résolu des anciens sites Web de la Pravda, entourés de rouge, redirigeant vers le domaine de premier niveau news-pravda[.]com, entouré de bleu, avec un nouveau sous-domaine spécifique à la langue et au pays, entouré de vert. (Sources : @DFRLab via URLScan.io) Un domaine spécifique aux États-Unis, us.news-pravda[.]com, est apparu le 4 novembre 2024, un jour avant l'élection présidentielle américaine de 2024. Le 8 novembre, trois domaines supplémentaires sont apparus. Ces domaines ont commencé à cibler les États-Unis, l'UE, l'OTAN, le chancelier allemand Olaf Scholz, le président français Emmanuel Macron et le président élu Donald Trump. IP du domaine Première apparition usa.news-pravda.com 172.67.137.144 2024-11-04, 16:26 trump.news-pravda.com 104.21.62.172 2024-11-08, 20:32 macron.news-pravda.com 104.21.62.172 2024-11-08, 19:54 eu.news-pravda.com 104.21.62.172 2024-11-08, 22:26 nato.news-pravda.com 104.21.62.172 2024-11-08, 21:32 Source : DomainTools Entre le 3 décembre 2024 et le 8 janvier 2024, En 2025, vingt-huit nouveaux sous-domaines sont apparus, ciblant un large éventail de pays d’Europe, dont Malte, l’Islande, l’Irlande, les Balkans, la République serbe de Bosnie et le Monténégro. Ils produisaient du contenu dans des langues minoritaires telles que le catalan, le galicien, le basque, le gallois et l’écossais. D’autres sous-domaines ciblaient l’Afrique (Algérie, Mali, Sénégal, Cameroun, Guinée, Gambie, Érythrée, Égypte, Mauritanie, Nigéria, Tchad, Soudan du Sud et Soudan), le Caucase (Ossétie, Abkhazie) et les audiences néo-zélandaises parlant le maori. Plus récemment, le réseau a étendu sa portée pour se concentrer sur des pays d’Asie, notamment la Corée du Sud, la Corée du Nord, Taïwan, le Japon et Singapour. Notre enquête a également confirmé les conclusions de Viginum de 2024, reliant l’opération à une agence numérique basée en Crimée occupée par la Russie. Les enregistrements des premiers sites Web liés à Portal Kombat trouvés dans les archives Internet montrent qu’ils affichaient le logo d’une agence appelée Tiger Web. Le logo a été trouvé à deux reprises sur les pages archivées de crimea-news[.]com et sochi-news[.]com. De plus, nous avons identifié un cas d'avis laissé par le portail d'informations crimea-news[.]com sur le site Rating of Runet. L'avis, intitulé Лента новостей Крыма (« Fil d'actualité de Crimée »), connecte TigerWeb à un client russe. L'avis indique : « J'ai commandé la création d'un agrégateur d'informations sur la Crimée. Les gars sont agréables à parler et tous les commentaires que j'ai faits ont été pris en compte. [… ] » Une capture d'écran des avis laissés sur Рейтинг рунета (Rating of Runet) à propos de Tigerweb. Français Le carré vert est l'avis lié à crimea-news[.]com (Source : ratingruneta.ru/archive) L'analyse du Web a également confirmé les conclusions ci-dessus. Nous avons identifié que le site Web tigerweb[.]ru, qui appartient à l'agence, a partagé un code Google AdSense avec plusieurs sites Web qui ont diffusé des informations en russe entre 2016 et 2024 ciblant des villes à travers la Russie et l'Ukraine. Les sites Web identifiés dans ce sous-ensemble ciblaient les villes ukrainiennes de Volyn et Kharkiv en ukrainien. On soupçonne qu'il s'agit des premières itérations de l'opération Portal Kombat. Une capture d'écran montrant un code Google AdSense identique fonctionnant sur quatorze sites d'actualités, dont quatre ont publié du contenu en ukrainien (en bleu), avec un lien vers tigerweb[.]ru (en rouge). (Source : @DFRLab via DNSLytics) Les enregistrements DNS de 2015 montrent également que Tigerweb partageait une adresse IP avec le site Web uanews.crimea[.]ua, un autre portail d'actualités frauduleux qui partageait les mêmes schémas de site Web et le même contenu d'actualité que ceux signalés tout au long de 2016 jusqu'en 2024. D'autres sites Web découverts au cours de cette période incluent également des portails d'actualités ciblant les villes russes de Saratov, Krasnoïarsk, Sotchi et Oufa. Une capture d'écran des domaines hébergés sur l'adresse IP 77.120.105.80 en 2015 montrant à la fois le domaine de Tigerweb (en rouge) et le domaine d'un portail d'actualités frauduleux fonctionnant en langue (en bleu). (Source : @DFRLab via DNSLytics) Les origines de cette opération remontent aux activités du fondateur, Yevgeny Shevchenko. Dès 2011, Shevchenko a participé à la création de Crimea News – une initiative documentée sur son blog personnel – que nous considérons comme le précurseur ou Pravda v0 du réseau. Le site Web est un agrégateur d'actualités référençant plusieurs sources de contenu dans un seul site Web ; lenta[.]crimea[.]ua. La première création de TigerWeb en tant qu’« agence » a eu lieu en 2013, bien que l’organisation ne se soit officiellement enregistrée en Russie qu’en 2019. En 2014, les premières versions du réseau Pravda ont commencé à émerger, hébergées sur la même IP que tigerweb[.]ru. Par exemple, des sites Web tels que vladivostok-news[.]net et yaroslavl-news[.]net présentent des chevauchements importants, notamment dans l’utilisation d’un compte Google Analytics partagé (UA-47448818-*) comme en témoigne le code source archivé. Les premiers articles du réseau datent de mars 2014 sur crimea-news[.]com. Nous avons pu retracer les activités sur yaroslavl-news[.]net jusqu'en juillet 2014, ce qui démontre une fois de plus que ces sites Web étaient opérationnels bien avant la création des itérations ultérieures du réseau. L’analyse du site Web de Shevchenko fournit des preuves supplémentaires de l’utilisation du domaine « crimea[.]ua » pour héberger ses projets, sur la même adresse IP que d’autres éléments du réseau. En 2018, le nom de l’agence TigerWeb est réapparu dans les pieds de page de certains sites Web, tels que vladimir-news[.]net , renforçant ainsi l’implication persistante de l’agence sur de multiples plateformes. Au fil des ans, l’écosystème de Pravda a continué d’évoluer. L'enregistrement officiel de la société de TigerWeb en Russie a été achevé en 2019 et sa marque déposée a été enregistrée en 2020. De nouveaux sites Web adoptant l'apparence et la convivialité de la Pravda ont été enregistrés, tels que alchevsk-news[.]ru et dnr-news[.]ru, axés sur l'Ukraine et le Donbass. Des preuves issues d’Internet Archive démontrent que ces sites suivent les conventions de dénomination de domaine du réseau russe précédent. Le domaine dnr-news[.]ru, observé pour la première fois en 2015, ciblant la République populaire autoproclamée de Donetsk soutenue par la Russie, a connu des problèmes techniques en 2019. En 2022, dnr-news[.]ru est réapparu avec une esthétique Pravda nettement mise à jour, signalant un changement significatif dans la conception et la stratégie opérationnelle. Le site Web utilise désormais le thème ColorMag, un design moderne et réactif développé par ThemeGrill, reconnu pour son apparence élégante et ses fonctionnalités conviviales. Ce thème améliore non seulement l'attrait visuel du site, mais l'aligne également sur les normes européennes contemporaines des médias numériques, garantissant que la plateforme reste compétitive et accessible. Parallèlement à la refonte technique, le site Web a introduit en 2024 une nouvelle équipe éditoriale pour renforcer son engagement apparent en faveur d'un contenu de qualité, en nommant les rédacteurs Viktor Artemyev et Yuri Vlasenko, dont les noms figurent en évidence sur la page « À propos de nous » du site à côté des informations de contact. La présence de ces nouveaux rédacteurs suggère que l'opération essaie de paraître plus professionnelle et plus transparente. Il est important de noter qu'un lien technique relie le réseau « -news », développé principalement pour les publics russes et ukrainiens, au réseau Pravda. Les deux réseaux utilisent un système de gestion de contenu (CMS) pour gérer le contenu de leurs sites Web respectifs. Il est important de noter que pour afficher le contenu côté client, les deux types de sites Web utilisent une API interne identique sur les anciennes et les nouvelles versions des plateformes, utilisant le même point de terminaison et les mêmes paramètres. Cette uniformité dans l'utilisation de l'API suggère que l'équipe de développement derrière ces opérations a utilisé un cadre standardisé, unifiant efficacement les réseaux disparates sous une architecture technique unique. Afin d'essayer de déterminer les différents serveurs utilisés par Tigerweb, nous avons exécuté un script sur toutes les plages d'adresses IP REG.ru connues, y compris 176.99. *. *, 178.21.9. *, 185.38.18. *, 188.93.208.1. *, 188.93.213. *, 193.227.134. *, 194.67.64. *, 194.67.76. *, 194.67.77. *, 194.67.106. *, 213.189.199. *, 62.113.93. *, 176.99.4. *, 178.21.12. *, 185.38.18. *, 193.227.134. *, 194.67.106.* et 213.189.199. *. Le script a traité chaque adresse IP avec une réponse HTTP valide pour récupérer les détails du certificat SSL qui lui est associé. Quatre certificats associés à Tigerweb ont été découverts : IP Valeur du domaine du certificat SSL 176.99.4.13 « 176-99-4-13.tigerweb.ru ; www.176-99-4-13.tigerweb.ru » 176.99.4.42 « 176-99-4-42.tigerweb.ru ; www.176-99-4-42.tigerweb.ru » 176.99.6.16 « 176-99-6-16.tigerweb.ru ; www.176-99-6-16.tigerweb.ru » 176.99.6.116 « 176-99-6-116.tigerweb.ru ; www.176-99-6-116.tigerweb.ru » À plusieurs reprises, Shevchenko semble avoir travaillé avec le gouvernement de la République soutenu par la Russie Français de Crimée, depuis la prise de contrôle de la péninsule en mars 2014. En 2013, TigerWeb a lancé le site Internet crimea-news.com, qui faisait partie du réseau « topnews », une itération antérieure des agrégateurs d'informations qui se concentraient à l'origine sur les villes ukrainiennes. Selon les informations récupérées sur DomainTools, crimea-news.com et topnews.volyn.ua existaient sur la même adresse IP entre 2013 et 2016. Dans son rapport, Viginum souligne également que l'adresse e-mail topnewsua7@gmail[.]com apparaît sur les enregistrements archivés de plusieurs sites Web du réseau. Capture d'écran montrant topnews.volyn.ua et crimea-news.com hébergés sur l'adresse IP 77.120.105.277 depuis 2013. (Source @DFRLab via DomainTools) Sur le réseau social russe VK, la page associée à crimea-news.com est active depuis novembre 2013 et affiche également un classement « A+ », ce qui signifie qu'elle est approuvée par le régulateur russe des télécommunications Roskomnadzor. Selon le registre en ligne des pages et canaux approuvés de Roskomnadzor, la page affiliée du site sur Odnoklassniki (OK) et Telegram sont également approuvées. Capture d'écran de la page VK associée à crimea-news.com. (Source : @DFRLab via VK) Captures d'écran montrant l'enregistrement des pages de médias sociaux et de la chaîne Telegram affiliées à crimea-news.com. (Source : @DFRLab via Gosuslugi) Selon un CV en ligne publié sur namebook.club, Shevchenko a travaillé comme chef de projet entre 2015 et 2016 pour l'entreprise publique Krymtekhnologii (« Crimea Technology »). L’entreprise publique désormais privatisée a notamment créé le portail du gouvernement de Crimée soutenu par la Russie, ainsi que Russian Spring, qui diffuse des récits pro-Kremlin justifiant l’annexion de 2014. Krymtekhnologii est également responsable des appels d’offres publics de services informatiques. En 2014, le Conseil national de sécurité et de défense de l’Ukraine a émis interdit le site Web de l’entreprise, rtech.ru, et deux autres sites Web affiliés à la promotion de l’annexion illégale de la péninsule par la Russie. En 2018, l’Ukraine a introduit de nouvelles sanctions contre la société et son directeur, Aleskandr Ilich Uzbek. Les dirigeants de la société sont également soupçonnés de corruption et possèdent des entreprises immobilières dans toute la Crimée. L’un des cofondateurs de Krymtekhnologii, Arsen Sidakov, fait également partie d’une entreprise basée à Saint-Pétersbourg avec des liens vers l’oligarque russe Arkady Rotenberg, un partisan de longue date et financier de Poutine. Français Actuellement, TigerWeb travaille toujours pour des clients affiliés au gouvernement de Crimée soutenu par la Russie. En 2021, TigerWeb a créé un portail en ligne dédié au Centre républicain d'estimation (RCO en russe pour Республиканский Центр Оценки), une entreprise privée qui estime les prix des terrains et des biens immobiliers dans la région de Crimée. Un document de décembre 2022 publié sur le site Web du gouvernement d'occupation russe de la région ukrainienne de Zaporizhzhia a désigné le RCO pour « Services d'évaluation : A. Détermination de la valeur marchande de l'objet d'évaluation ; détermination de la valeur marchande du droit d'utilisation temporaire et de propriété de l'objet loué (loyer annuel du marché) ; B. Elaboration des plans d’étage des bâtiments, structures, locaux. » La proposition du RCO aurait été financée à hauteur de 1 350 millions de roubles, soit environ 15,2 millions de dollars américains. Le RCO indique également sur son site Internet qu’il fournirait des services similaires pour la région de Kherson sous occupation russe, bien que le DFRLab n’ait pas trouvé de documents corroborant cette affirmation. _Amaury Lesplingart est cofondateur et CTO de CheckFirst. _Amaury Lesplingart et Valentin Châtelet, « Le réseau russe dit « Pravda » s’étend dans le monde entier », Digital Forensic Research Lab (DFRLab), 24 février 2025, https://dfrlab.org/2025/02/24/russia-pravda-network-expands-worldwide/.