Le 28 août 2023, une attaque informationnelle envers les armées françaises circule sur les réseaux sociaux. Le contenu : un faux document de 12 pages, présenté comme une « fuite » et détaillant les  préparatifs d’une prétendue opération militaire française contre la junte nigérienne. L’objectif de cette manipulation : attiser le sentiment antifrançais au Sahel, dans un climat tendu après le coup d’État du 26 juillet.

Une attaque informationnelle déployée en 24h chrono sur Facebook et Telegram

Il est 1h52, au cœur de la nuit, lorsqu’un premier post est partagé, sur Facebook. C’est la première apparition du faux document, présenté comme une « fuite », sur le compte de Simon Kere (20 000 abonnés). Mais l’impact est limité, avec seulement 15 repartages. 

Il faut attendre la fin de matinée pour voir la manœuvre se dessiner. D’abord un message repris sur la chaine Telegram (MOP-DPLA – mouvement panafricain des droits des peuples pour la libération de l’Afrique, section Côte d’Ivoire). Puis deux comptes Facebook influents : PEDRO HEBDO TV (113 000 abonnés) et Rabani Harouna (61 000 abonnés). 

La mécanique de la désinformation est en route : publier une fausse information puis amplifier sa diffusion à travers des relais d’influence. Dans l’après-midi, la chaîne Telegram La Dame de Sochi (61 000 abonnés) relaie le faux document, rapidement vu par plus de 11 000 personnes. L’activiste Bana Ibrahim (91 000 abonnés) viendra clôturer cette journée en relayant, à 20h30, la fausse information auprès de sa communauté Facebook.

La « fake news » s’est propagée en une journée auprès de plusieurs dizaines de milliers de personnes, sans jamais être reprise dans les grands médias nigériens. Plusieurs internautes ont dénoncé le faux document ou montré leur scepticisme. De leur côté, les cybercombattants français étaient à pied d’œuvre…

Décrypter une attaque informationnelle

Les cybercombattants spécialistes de la lutte informatique d’influence (L2I) scrutent jour et nuit les réseaux sociaux, sur les théâtres d’opération de l’armée française. Rapidement, ils détectent ces posts et analysent le document. Celui-ci présente plusieurs anomalies grossières : 

• Un document ne peut être à la fois « secret défense » et « diffusion restreinte ». Par ailleurs, la classification « secret défense » n’existe plus en France, depuis 2021.
• Le 1er REI, ou « régiment étranger d’infanterie » n’existe pas dans l’armée française.
• Les mercenaires sont interdits en France. 

L’ordre est beaucoup trop simplifié pour une opération d’une telle envergure, mais son niveau de rédaction trahit une connaissance certaine des procédures militaires.

Remonter à la source de l’attaque informationnelle

À partir de l’analyse du document et de ses métadonnées, les cybercombattants français sont capables de trouver des indices sur l’auteur potentiel. 

D’abord, les métadonnées révèlent une zone de création du document dans le fuseau GMT+4. Pas du tout celui du Niger (GTM+1). Sur ce fuseau se trouvent certaines régions administratives russes, notamment Volgograd.

Ensuite, le nom d’auteur Arnaud Y. est mentionné à deux reprises dans les métadonnées. Ce nom peut être réel mais peut aussi avoir été attribué pour brouiller les pistes ou cibler volontairement une autre personne. Arnaud Y., c’est un nom connu par l’armée française. Une personne du même nom a suivi la formation d’élève-officier, à titre étranger, dans l’une des écoles militaires. Une formation d’officier, en tout état de cause, suffisante pour savoir rédiger un ordre d’opération élémentaire…

Riposter, pour rétablir la vérité

Les cybercombattants ont remonté la trace de l’attaque : son origine, sa primo-diffusion, ses réseaux d’influence. Ils savent qu’il s’agit là d’un faux document grossier, diffusé pour nuire à l’armée française. La communauté des facts checkers va pouvoir être mobilisée pour rétablir la vérité auprès des populations locales.