L’ingérence numérique russe en Ukraine et dans les pays occidentaux se manifeste par la diffusion de narratifs négatifs pour influencer leurs opinions publiques, en réagissant à l’actualité et en discréditant leurs dirigeants et leurs institutions.
Viginum, service rattaché au Secrétariat général de la défense et de la sécurité nationale, le démontre dans un rapport rendu public à Paris en mai 2025.
Ciblage. Entre août 2023 et mars 2025, « Storm-1516 », mode opératoire informationnel russe, a attaqué l’Ukraine, les États-Unis, la Commission européenne, la France et l’Allemagne au cours de 77 opérations. L’Ukraine a été visée par 35 d’entre elles via le recyclage de narratifs employés par la Russie depuis la Révolution ukrainienne de Maïdan en février 2O14, qui avait entraîné la destitution du président pro-russe Viktor Ianoukovitch et l’annexion de la Crimée. Après le déclenchement de la nouvelle agression russe contre l’Ukraine en 2022, Storm-1516 cherche à la discréditer auprès des audiences occidentales, afin de saper le soutien des populations européennes à l’assistance fournie par leurs gouvernements. Par exemple, ses narratifs accusent l’Ukraine de complicité de terrorisme, en recrutant des membres de l’État islamique pour venir combattre chez elle, ou en organisant des entraînements communs entre des membres de l’organisation palestinienne Hamas (Gaza) et du bataillon Azov (volontaires ukrainiens nazis et ultra-nationalistes). Mais les 14 attaques les plus virulentes sont dirigées contre le président ukrainien Volodymyr Zelensky et ses proches, accusés de détourner l’aide financière occidentale à leur profit personnel. Pendant la période analysée par Viginum, 42 attaques informationnelles ciblent directement l’Occident par des narratifs adaptés à des contextes politiques variés pour affecter durablement les audiences européennes et nord-américaines. Ainsi avant les élections présidentielles aux États-Unis en 2024, les opérateurs de Storm-1516 propagent les théories conspirationnistes comme la mise sur écoutes d’une des propriétés du candidat républicain Donald Trump par le FBI, l’implication de l’ex-président démocrate Barack Obama dans la tentative d’assassinat de ce dernier le 13 juillet 2024 ou encore le financement de l’opposition russe par Washington. Entre avril et novembre 2024, 12 opérations informationnelles ciblent le processus électoral lui-même, dont certaines ont été attribuées au gouvernement russe par les autorités américaines. En Europe, Storm-1516 choisit des thématiques clivantes, liées à l’immigration, ou anxiogènes, relatives au terrorisme (menaces d’attentats du Hamas pendant les Jeux olympiques de Paris). En outre, 20 opérations ont visé les élections européennes de juin 2024, les élections législatives françaises anticipées de juillet 2024 et les élections fédérales allemandes de février 2025. Elles ont cherché à dénigrer un candidat à des élections nationales, soutenir des candidats de partis favorables à Moscou et au positionnement « antisystème » ou remettre en cause l’intégrité du scrutin. Dès le 26 mai 2024, , Storm-1516 a diffusé sur You Tube une vidéo accusant Ursula von der Leyen, présidente de la Commission européenne, d’avoir aidé une entreprise métallurgique russe à contourner les sanctions de l’Union européenne imposées à la Russie après son attaque contre l’Ukraine en février 2022. Cette vidéo, où apparaît une fausse activiste du parti écologiste allemand Die Grünen, a été amplifiée par des comptes à fortes audiences sur le réseau social X (ex-Twitter). La France est ciblée après l’annonce de la dissolution de l’Assemblée nationale le 9 juin 2024. Le 19 juin, les opérateurs de Storm-1516 enregistrent le nom de domaine « ensemble-24.fr» en usurpant l’identité graphique du site officiel de la coalition « Ensemble ». Le faux site « ensemble24.fr » propose aux électeurs une prime de 100 € en échange de leur voix, à condition d’envoyer leur numéro de sécurité sociale à une adresse officielle du parti Renaissance. L’Allemagne est ciblée dès la chute de la coalition du chancelier Olaf Scholz mi-novembre 2024, entraînant la dissolution du Bundestag et des élections législatives le 23 février 2025. Entre le 19 novembre 2024 et le 5 janvier 2025, plus d’une centaine de noms de domaines sont enregistrés et exploités par les opérateurs de Storm-1516.
Falsifications. Depuis février 2024, les opérateurs de Storm-1516 utilisent des outils capables de générer artificiellement des voix ou des images pour rendre crédibles les profils de « lanceurs d’alerte », en mettant en scène des individus à visage découvert, et pour usurper l’identité de personnalités politiques et d’internautes sans lien avec les narratifs. Selon la communauté américaine du renseignement, citée en mai 2024 par le quotidien New York Times, la vidéo accusant la CIA de conduire à Kiev des « fermes à trolls » (internautes, voire hackers, diffusant des messages provocateurs pour susciter une polémique), en faveur du candidat démocrate Joe Biden, contient une voix réalisée de manière synthétique. En octobre, des opérateurs de Storm-1516 publient un faux témoignage mettant en cause Timothy Walz, colistier de la candidate démocrate Kamala Harris. Le même mois et à partir d’un document d’un service de renseignement (SR) européen, le journal Washington Post révèle que le SR militaire russe GRU a aidé un opérateur de Storm-1516 à obtenir un serveur générateur de vidéos et de textes falsifiés par l’intelligence artificielle. Le 31 décembre, le ministère américain du Trésor corrobore cette information par l’annonce de sanctions à l’encontre de plusieurs opérateurs de Storm-1516. Pour rendre crédibles ses narratifs, Storm-1516 y inclut des montages photos et vidéos pour contrefaire logos de médias, affiches de films, registres publics, documents étatiques, factures, articles de presse ou captures d’écran de réseaux sociaux. Il en utilise pour prouver la prétendue existence de transactions compromettantes ou de malversations relatives à des personnalités politiques ukrainiennes. Dans la moitié de ses opérations, les opérateurs de Storm-1516 emploient des acteurs, recrutés en Russie et à l’étranger, pour enregistrer des voix en « off », jouer les lanceurs d’alerte ou intervenir dans une mise en scène.
Diffusion. En analysant 77 opérations informationnelles de Storm-1516, Viginum en a reconstitué les cinq étapes et les principaux vecteurs. La première étape porte sur la planification, qui inclut la conception des narratifs, le recrutement d’acteurs amateurs, la génération de vidéos falsifiées et le montage de photos, audios et vidéos. La deuxième étape ou primo-diffusion concerne les sites internet dédiés, les comptes de réseaux sociaux, les comptes de tierces personnes rémunérées, les comptes X liés au « projet Lakhta » (opération de manipulation et d’influence favorable à la Russie) et des comptes anonymes « jetables », créés pour les besoins d’une seule opération. Les opérateurs de Storm-1516 ont diffusé leurs contenus sur les plateformes You Tube, Instagram, Facebook, TikTok et Rumble mais dont peu de faux comptes, pourtant identifiés comme liés à lui, ont été suspendus. La troisième étape porte sur le « blanchiment » des narratifs, via des médias étrangers rémunérés et des comptes de réseaux sociaux rémunérés. La quatrième étape concerne l’amplification des informations fallacieuses sur de faux sites locaux, des comptes rémunérés, des comptes X liés au projet Lakhta, les chaînes Telegram et les influenceurs BJA et FCI. Les étapes 2, 3 et 4 sont réalisées sur le réseau d’influence russe CopyCop, qui utilise l’intelligence artificielle générative. La cinquième étape porte sur les reprises des contenus falsifiés par d’autres modes opératoires informationnels, le réseau diplomatique russe, les médias liés aux SR russes, les médias d’État russes, les médias biélorusses et les écosystèmes occidentaux favorables à la Russie.
Loïc Salmon
Défense : information falsifiée, internet et réseaux sociaux
Défense : la désinformation, la comprendre puis la contrer
Sécurité : la menace informationnelle visant les Jeux Olympiques et Paralympiques de Paris 2024
