*La campagne d'influence pro-russe Opération Surcharge, également appelée Matryoshka et Storm-1679, est connue pour se faire passer pour des médias, des universitaires et des forces de l'ordre. Son objectif est de modifier l'opinion publique sur la guerre en Ukraine et de semer la division dans les pays démocratiques. Les publications de l'opération identifient souvent plusieurs médias ou organismes de recherche, susceptibles de détourner leur attention d'autres enquêtes. Elle opère sur plusieurs plateformes, dont X, Telegram et Bluesky. * *Ce communiqué de l'ISD donne un aperçu des activités de l'opération Overload au cours du premier trimestre 2025, en se concentrant sur ses derniers récits et cibles. L'ISD a examiné un échantillon d'activités attribuées à l'opération Overload entre janvier et mars 2025. Nous avons constaté que sur 135 éléments de contenu, l'opération s'est fait passer pour plus de 80 organisations différentes. Dans la plupart des cas, elle l'a fait en utilisant abusivement leurs logos ou en manipulant les voix des personnes affiliées. La campagne d'usurpation d'identité à grande échelle de l'opération Overload est en cours et est capable de produire du contenu viral, de nuire à la réputation d'organisations de confiance et de distraire les personnes taguées dans ses publications. * #### Principales conclusions - L'opération Overload est une campagne persistante et à fort volume. Ses récits exploitent les controverses émergentes au sein des pays membres de l'OTAN et de l'Ukraine. Dans un échantillon de 135 éléments de contenu, nous avons constaté que l'opération ciblait 10 pays, en particulier l'Allemagne, la France et l'Ukraine. Français Son message était centré sur l'affaiblissement de l'effort de guerre de l'Ukraine et la déstabilisation des démocraties. - Cette dernière phase de l'opération a créé des vidéos conçues pour se faire passer pour des sources fiables, imitant plus de 80 organisations au cours des trois premiers mois de 2025. Les trois quarts de ces organisations étaient des médias, des universités ou des forces de l'ordre. De nombreuses vidéos incorporaient des images réelles et des voix générées par l'IA de journalistes, de professeurs et de policiers. - La plupart du contenu de l'opération a reçu un engagement limité, à l'exception d'une vidéo qui prétendait faussement que l'USAID avait payé des célébrités pour se rendre en Ukraine, qui a recueilli plus de 4 millions de vues. Tous les autres messages examinés ont recueilli peu d'attention de la part des utilisateurs réels et s'appuyaient fortement sur un réseau de robots pour générer des likes et des partages. Malgré sa portée limitée, le rendement élevé de l'opération a augmenté ses chances d'atteindre les utilisateurs, de distraire les organisations taguées dans les messages et de nuire à la réputation de ceux qu'elle a usurpés. L'ISD et d'autres organisations surveillent cette opération pour mesurer son impact, identifier les tendances et anticiper les futures campagnes. - L'ISD a analysé un échantillon des publications de l'opération sur X (anciennement Twitter) afin d'évaluer les schémas narratifs et tactiques, bien que l'opération ait souvent publié le même contenu sur plusieurs plateformes, dont Telegram et Bluesky. Parfois, X a supprimé du contenu avant que les analystes ne l'enregistrent et certaines publications ne correspondaient pas à la méthodologie utilisée pour faire apparaître du contenu, qui s'appuyait sur des recherches liées aux récits et aux pays couramment ciblés par les opérations d'information russes. #### Nouvelle année, mêmes tactiques. L'opération Overload est une opération d'information russe persistante et à fort volume. Elle se fait passer pour des sources fiables afin de semer la discorde, la confusion et la méfiance. Français L'opération crée et publie des vidéos qui semblent être des reportages d'actualité, utilise l'IA pour cloner les voix des experts, falsifie les titres des journaux et manipule les images. CheckFirst, Recorded Future, le Digital Forensics Research Lab et d'autres organisations ont détaillé les récits passés de l'opération et ses efforts pour submerger les journalistes et autres personnes de demandes de démystification via les médias sociaux et par courrier électronique. Ce bulletin d'information de l'ISD fait le point sur les campagnes menées par l'opération Overload au cours des trois premiers mois de 2025, en mettant en lumière de nouveaux messages et de nouvelles cibles. Au cours du premier trimestre de l'année, l'opération a publié au moins 135 contenus sur X. Elle ciblait 10 pays, publiés en 10 langues[1] et utilisait des logos ou des voix manipulées de personnes affiliées à plus de 80 organisations. Bien que ses cibles variaient, l'accent était clairement mis sur l'Allemagne, la France et l'Ukraine. Ses discours visaient à affaiblir le soutien des pays de l'OTAN à l'Ukraine et à perturber leur politique intérieure, notamment en diffusant des informations fausses ou trompeuses sur les élections, les hommes politiques et les politiques liées à l'économie, à l'éducation et aux soins de santé. Pour ce faire, l'opération s'est fréquemment fait passer pour des institutions établies ; Français plus des trois quarts de son contenu semblaient provenir de médias, d'universités ou des forces de l'ordre. Malgré ces efforts, Operation Overload n'a vu qu'une seule publication générer un engagement organique substantiel sur X. Cette publication, qui diffusait des mensonges sur le financement par l'USAID de voyages de célébrités en Ukraine, a généré plus de 4,2 millions de vues après avoir été partagée par un compte complotiste bien connu, puis amplifiée par d'autres comptes très médiatisés sans rapport avec la campagne. Bien qu'un tel niveau de viralité soit rare, l'opération pourrait connaître davantage de « moments marquants » à l'avenir. Elle présente également des défis uniques pour les personnes et les institutions usurpées, les obligeant à prendre des décisions prudentes quant à la manière de réagir. Le contenu publié précédemment continue de présenter des risques : environ 80 % des publications identifiées par ISD restent disponibles sur X, ce qui expose les utilisateurs à des contenus trompeurs et les personnes usurpées à un risque de préjudice pour leur réputation. #### Cibler l'Europe et l'Ukraine Operation Overload pivote d'un pays à l'autre pour exploiter les crises et les débats. Au cours de ces trois premiers mois, ISD a constaté que les trois quarts de son contenu étaient destinés à des publics en Ukraine et dans les États membres de l'UE, en particulier l'Allemagne et la France. L'Allemagne a été la cible la plus fréquente, reflétant l'intérêt de l'opération pour les élections fédérales du 23 février. L'organisation la plus usurpée – la chaîne de télévision internationale allemande Deutsche Welle (DW) – était également allemande. Cependant, la plupart des publications et vidéos faisant référence à des questions politiques allemandes l'ont été dans d'autres langues, suggérant une volonté de nuire à la réputation internationale de l'Allemagne ou de toucher un public allemand multilingue. La France était le deuxième pays le plus ciblé, et le président Emmanuel Macron a été cité plus souvent que tout autre homme politique. Operation Overload a fréquemment créé du contenu en français, avec environ un tiers de ses vidéos dans cette langue. Sans surprise, compte tenu de l'attention portée à de nombreuses opérations d'information récentes pro-russes, l'Ukraine était également dans le collimateur. Les comptes d'Operation Overload ciblaient régulièrement les publics européens et américains avec des contenus présentant le gouvernement ukrainien comme belliqueux et corrompu. Ces tendances montrent l'accent mis par Operation Overload sur des cibles géopolitiques à enjeux élevés, telles que les élections, les personnalités politiques importantes qui soutiennent l'Ukraine et l'Ukraine elle-même. Comme de nombreuses opérations d'information alignées sur la Russie, elle se concentre sur l'insertion de récits faux et trompeurs dans des conversations qui dominent déjà la presse internationale. #### Messages sur l'Ukraine et la politique européenne Les messages de l'Opération Surcharge variaient, mais la plupart se concentraient sur deux objectifs : saper le soutien de l'OTAN à l'Ukraine et créer un chaos politique. Près d'un tiers du contenu de l'Opération Surcharge cherchait à saper le soutien de l'OTAN à l'Ukraine. Les comptes diffusaient de fausses citations de sources fiables affirmant que l'Ukraine était un « provocateur insidieux » entraînant l'Europe dans la Troisième Guerre mondiale. L'opération accusait l'Ukraine d'avoir diffusé plus de 100 000 faux rapports et lancé des cyberattaques. Des responsables ukrainiens auraient fui le pays et utilisé l'aide étrangère pour acheter des manoirs. Des réfugiés ukrainiens résidant actuellement dans des pays de l'UE ont été accusés d'avoir commis des incendies criminels, des vols, du harcèlement et des maltraitances animales. Fin janvier, l'opération s'est concentrée sur les élections allemandes de février. L'opération visait à réduire la participation électorale au moyen de fausses menaces terroristes provenant d'agences de renseignement, dont le Service fédéral de renseignement allemand (BND), la CIA américaine, le MI6 (service de renseignement extérieur britannique) et le Mossad (service de renseignement national israélien). Ces publications diffusaient des rumeurs d'attentats terroristes dans les bureaux de vote et affirmaient que les forces de l'ordre allemandes n'étaient pas préparées à réagir. L'une d'elles affirmait que voter ne valait pas la peine de mourir, à moins de voter pour l'Alternative für Deutschland (AfD). L'opération accusait également des responsables politiques de la CSU et de la CDU – membres de l'actuelle coalition au pouvoir – de pédophilie et de corruption. L'opération Overload visait à semer la division au sein des membres de l'OTAN et entre eux. Une grande partie de son contenu visait à éroder le soutien national au président français Macron, le présentant comme impopulaire et inefficace. Certaines publications prônaient même son « destitution physique » et fabriquaient des informations sur des tentatives d'assassinat. L'opération visait également à creuser un fossé entre les États-Unis et l'Europe, notamment en diffusant des citations fabriquées de responsables politiques européens attaquant le président américain Donald Trump. Nombre des récits de l'Opération Overload sont trop extrêmes pour gagner du terrain. Des mensonges extravagants, tels que de faux complots d'assassinat et des accusations de pédophilie, ont rarement influencé les vraies conversations. Il arrive cependant que l'opération glisse des allégations plus subtiles, comme de fausses citations de responsables politiques européens critiquant le président Trump. Celles-ci sont plus difficiles à écarter immédiatement et présentent potentiellement un risque plus important pour le discours démocratique. #### Usurpation de sources fiables L'Opération Overload est spécialisée dans la création de vidéos semblant avoir été réalisées par des organisations de confiance. En trois mois, elle a utilisé des logos ou manipulé les voix de personnes associées à 81 organisations. Plus des trois quarts étaient des médias, des universités ou des forces de l'ordre, et il s'agissait le plus souvent de Français, de Britanniques ou d'Allemands. La plupart de ces vidéos ont été conçues pour ressembler à des reportages médiatiques en superposant le logo d'un média sur un clip vidéo contenant de fausses allégations. Au total, l'échantillon de contenu analysé par l'ISD utilisait les logos de 28 médias différents. DW était le média le plus imité (son image de marque apparaissait dans 15 vidéos différentes), suivi par la BBC, Sky News et Le Point. Environ 40 % des vidéos utilisaient des images apparemment réelles d'universitaires, de journalistes ou de forces de l'ordre sur les réseaux sociaux, auxquelles ils ajoutaient un son généré par l'IA pour donner l'impression qu'ils tenaient des propos faux ou provocateurs. Les voix des universitaires ont été reproduites environ quatre fois plus souvent que celles des personnes d'autres secteurs. Ils sont probablement choisis car ils sont considérés comme des experts faisant autorité, mais sont généralement méconnaissables pour le public. Cela confère une crédibilité perçue au contenu de l'opération et rend difficile l'identification des discours créés ou prolongés artificiellement. L'opération Overload a également diffusé des images truquées, notamment de faux titres d'actualité provenant d'au moins huit médias et de fausses images de graffitis pro-russes aux États-Unis et en Europe. Une photo montrait un graffiti sur un bâtiment en Californie, représentant le président ukrainien Volodymyr Zelensky déchirant le mot « USAID ». Cela visait apparemment à créer la fausse impression d'une opposition populaire à l'Ukraine dans l'État. Cette campagne d'usurpation d'identité à grande échelle fait avancer les récits de la Russie, érode la confiance du public dans les institutions et compromet la capacité du public à distinguer les informations fiables des contenus manipulés. #### Des nuisances multiples Bien que sa portée globale ait été limitée, Operation Overload illustre les différentes manières dont les campagnes d'information peuvent avoir un impact, allant de moments viraux isolés et d'atteintes à la réputation à la perturbation délibérée des communautés de recherche et de vérification des faits. Operation Overload a peiné à gagner du terrain sur X, à une exception notable près : une vidéo largement diffusée affirmant que l'USAID avait financé des voyages de célébrités en Ukraine. Après qu'un compte complotiste bien connu a partagé la vidéo, plusieurs personnalités l'ont amplifiée, lui permettant d'atteindre plus de 4,2 millions de vues. Cependant, la plupart des mentions « J'aime » et des partages du contenu de l'opération provenaient d'un vaste réseau de robots. L'analyse des interactions avec ces publications a montré que tous les engagements se produisaient dans la minute suivant leur mise en ligne, ce qui constitue un indicateur fort de l'activité des robots. Ce même réseau de robots, apparemment similaire, promeut également les cryptomonnaies et les publications pro-chinoises. L'agence gouvernementale française VIGINUM a signalé que l'opération Overload semble acheter des comptes X auprès d'une société appelée WebMasterMarket, démontrant ainsi comment les acteurs alignés sur l'État utilisent des services commerciaux, notamment des chatbots IA, des agences de relations publiques et des [hébergements fournisseurs. L'impact potentiel de l'Opération Surcharge ne se limite pas aux mesures d'engagement. Les médias dont les logos ont été appropriés et placés de manière inappropriée sur de faux rapports risquent de voir leur réputation ternie et de perdre la confiance du public. Les agences d'application de la loi usurpées pourraient avoir plus de mal à sensibiliser aux menaces futures si leurs logos sont associés à de fausses informations. Les universitaires dont les voix ont été manipulées pour faire l'éloge des terroristes, critiquer les vaccins ou attaquer les politiciens pourraient faire face à des réactions négatives ou à des menaces professionnelles. Au-delà de cela, chaque publication de l'Opération Surcharge a tagué des chercheurs, des médias et d'autres institutions pour les distraire avec des efforts de démystification supplémentaires. Cela est susceptible de détourner des ressources de la lutte contre des menaces en ligne plus urgentes ou plus crédibles. #### Conclusion : La surcharge entrante L'opération Overload continue de produire une quantité importante de contenu --- induisant en erreur les utilisateurs des médias sociaux, usurpant l'identité et sapant la confiance dans des organisations réputées, et distrayant les chercheurs. Comme le montrent les tendances récentes, la capacité multilingue de l'opération lui permet de cibler les controverses et événements géopolitiques émergents dans divers pays. Les élections, les politiciens de haut niveau et les développements liés à l'Ukraine resteront presque certainement dans sa ligne de mire. Cette compréhension des cibles et des tactiques de l'opération Overload devrait permettre aux plateformes de mieux surveiller et gérer son activité. Les plateformes sur lesquelles l'opération publie, telles que Telegram, X et Bluesky, devraient activement suivre et supprimer son contenu. Étant donné la tendance de l'opération Overload à publier des vidéos et des images identiques sur différentes plateformes, la coordination entre les équipes de confiance et de sécurité permettrait d'identifier et de supprimer plus rapidement le contenu, réduisant ainsi sa visibilité dans l'espace informationnel. Les chercheurs devraient également s'appuyer sur ces résultats pour sensibiliser le public aux publications particulièrement impactantes ou malveillantes de l'opération. Améliorer la compréhension des récits récurrents et des publications virales peut contribuer à se prémunir contre la manipulation. De plus, les organisations et les personnes usurpées par Operation Overload doivent être informées et avoir la possibilité de réagir comme elles l'entendent. Le risque que l'opération cause des dommages augmente à mesure que le contenu est partagé. Une surveillance supplémentaire est nécessaire pour suivre son évolution, évaluer son impact et permettre des réponses rapides. #### Notes de fin [1] L'opération Overload ciblait le Canada, le Danemark, la France, l'Allemagne, l'Italie, la Pologne, l'Espagne, l'Ukraine, le Royaume-Uni et les États-Unis. Elle a été publiée en arabe, anglais, français, allemand, indonésien, japonais, portugais, espagnol, turc et ukrainien.