Ce matin, Emmanuel Macron tient un conseil de défense, dont l'un des points à l'ordre du jour porte sur la "lutte contre les ingérences étrangères" à l'approche des élections municipales. Mais concrètement, comment s'organise cette surveillance du Net ?
Le jour même où il annonçait l'introduction du passe sanitaire, le 13 juillet 2021, Emmanuel Macron signait le décret créant l'agence Viginum, chargée principalement de lutter contre les ingérences étrangères. Cette coïncidence peut évidemment être interprétée de diverses manières.
Le rôle de Viginum est central dans la riposte aux guerres hybrides qui sont menées à la France, même si ce rôle est entouré d'une véritable opacité.
Ce qu'on sait d'elle...
L'agence VIGINUM est chargée de détecter les manœuvres d'influence étrangère :
- Détection des "fermes de bots" : Identification des comptes automatisés qui tenteraient de viraliser des rumeurs sur une supposée fraude électorale ou de discréditer certains candidats de manière coordonnée.
- Veille sur les "deepfakes" : Un dispositif de réaction rapide a été mis en place pour authentifier et signaler les contenus générés par intelligence artificielle (fausses vidéos ou audios de candidats) avant qu'ils ne polluent le débat public.
- Coopération avec les plateformes : Des accords ont été passés avec les grands réseaux sociaux pour garantir une modération prioritaire des contenus signalés par l'État comme relevant d'une ingérence étrangère avérée.
Les méthodes de travail de Viginum
Contrairement aux services de renseignement classiques, Viginum travaille exclusivement sur des données publiques (réseaux sociaux, forums, sites web).
Voici un point détaillé sur son fonctionnement et ses méthodes de détection :
1. La philosophie de détection : "Le comportement, pas le contenu"
C’est le point crucial : VIGINUM ne juge pas la véracité d'une opinion. Son rôle n'est pas de dire ce qui est "vrai" ou "faux", mais de détecter si une diffusion d'information est artificielle et pilotée par une puissance étrangère.
Les algorithmes recherchent des comportements inauthentiques coordonnés. Par exemple, si 500 comptes créés la même semaine publient exactement le même message à la même seconde, l'algorithme signale une anomalie, quel que soit le message.
Éric Verhaeghe
2. Le fonctionnement des algorithmes de détection
VIGINUM utilise des outils d'intelligence artificielle et d'analyse de données massives pour surveiller l'espace numérique :
- Analyse de graphes (Réseaux) : Les algorithmes cartographient les interactions entre comptes. Ils détectent les "bulles" où l'information tourne en boucle et identifient les comptes "pivots" qui impulsent une thématique.
- Traitement du langage naturel (NLP) : L'IA analyse les sémantiques pour regrouper les récits (narratifs). Elle permet de voir si une thématique précise (ex: "le Groenland est abandonné par l'Europe") est soudainement poussée par une multitude d'acteurs de manière non organique.
- Analyse temporelle : Les outils détectent les pics d'activité anormaux à des heures où les utilisateurs humains d'une zone géographique précise dorment habituellement.
- Empreintes techniques : Les algorithmes traquent les similitudes dans les métadonnées (utilisation des mêmes serveurs, mêmes structures de sites "miroirs", ou fautes de syntaxe identiques provenant de traductions automatiques).
Rédaction
3. Les 5 critères de caractérisation
Pour qu'une ingérence soit confirmée par l'agence, elle doit généralement répondre à cinq critères analysés par les algorithmes et validés par les experts :
- Élément étranger : Le contenu ou l'infrastructure a un lien direct ou indirect avec un État étranger.
- Caractère massif : Le volume de publications est trop important pour être le fait de quelques individus isolés.
- Artificialité : Utilisation massive de bots ou de comptes automatisés.
- Coordination : Les comptes agissent de concert selon un agenda précis.
- Intention de nuire : Le contenu vise à déstabiliser les institutions ou à polariser la société de manière excessive.
4. Le contrôle humain et légal
Les algorithmes ne sont qu'une première étape. Aucun signalement n'est automatisé vers le public ou les plateformes sans une analyse humaine approfondie.
- Comité de déontologie : L'agence est strictement encadrée par le Code de la sécurité intérieure (article L. 811-1-1). Un comité veille à ce que les algorithmes ne portent pas atteinte à la liberté d'expression ou à la vie privée des citoyens français.
- Attribution : Une fois l'ingérence détectée techniquement, le travail devient diplomatique et politique pour désigner l'auteur de l'attaque (comme ce fut le cas pour les opérations russes "RRN/Doppelgänger").
5. Évolution face à l'IA générative
Face aux Deepfakes (vidéos/audios truqués), VIGINUM renforce ses capacités de "détection de l'artifice" : des algorithmes capables d'identifier des micro-anomalies dans les pixels ou les fréquences vocales que l'œil ou l'oreille humaine ne perçoivent pas.
Coopération internationale
La coopération européenne est le deuxième pilier de la stratégie française en matière de lutte contre les ingérences. Face à des menaces qui ignorent les frontières, VIGINUM ne travaille jamais de manière isolée. Cette collaboration s'articule autour de plusieurs dispositifs clés :
1. Le Système d'Alerte Rapide (SAR / Rapid Alert System)
C'est le principal canal d'échange opérationnel entre les États membres de l'UE.
- Partage en temps réel : Lorsqu'une agence comme VIGINUM détecte une campagne de manipulation (par exemple, des sites miroirs diffusant de fausses informations sur l'énergie), elle émet une alerte via le SAR.
- Analyses croisées : Les agences homologues (comme le BSI en Allemagne ou le CNI en Espagne) vérifient si la même menace est observée sur leur territoire. Cela permet de confirmer si l'attaque est ciblée sur un pays ou si elle vise l'ensemble de l'Union européenne.
2. Le Service européen pour l'action extérieure (SEAE)
Le SEAE, via sa division spécialisée (la Task Force East StratCom), centralise l'expertise européenne sur les menaces hybrides.
- Standardisation : La France a largement contribué à imposer le cadre de travail de VIGINUM (axé sur le comportement technique) au niveau européen.
- Plateforme de données : Le SEAE gère une base de données partagée sur les "narratifs" de désinformation étrangère, permettant aux experts de chaque pays de reconnaître plus vite les modes opératoires déjà utilisés ailleurs.
3. Le rôle du Digital Services Act (DSA)
Ce règlement européen est un levier juridique majeur pour les agences de détection :
- Contrôle des plateformes : VIGINUM et ses homologues s'appuient sur le DSA pour exiger des grandes plateformes (X, Meta, TikTok) qu'elles agissent contre les contenus manipulés.
- Accès aux données : Le DSA facilite l'accès des chercheurs et des autorités aux données internes des réseaux sociaux, ce qui est indispensable pour que les algorithmes de détection de VIGINUM soient efficaces.
4. Le Centre d'excellence pour la lutte contre les menaces hybrides (Hybrid CoE)
Situé à Helsinki, ce centre réunit des pays de l'UE et de l'OTAN.
- Doctrine et entraînement : VIGINUM y participe pour élaborer des doctrines de réponse. C'est ici que sont pensés les scénarios de crises hybrides (mélangeant cyberattaques, pressions diplomatiques et désinformation) afin de préparer les gouvernements à réagir de manière coordonnée.
5. L'attribution politique conjointe
L'un des objectifs de cette coopération est de pouvoir "nommer l'agresseur" d'une seule voix.
- Poids diplomatique : Lorsqu'une ingérence est détectée, il est beaucoup plus puissant politiquement que l'annonce vienne de 27 pays simultanément plutôt que de la France seule. C'est ce qu'on appelle l'attribution conjointe, qui permet ensuite de prendre des sanctions européennes coordonnées contre les auteurs de l'attaque.
En pratique : Si lors du Conseil de défense de ce matin, des menaces spécifiques liées à la crise du Groenland ont été évoquées, il est quasi certain que VIGINUM a déjà partagé ses preuves techniques avec ses partenaires danois et allemands pour coordonner la réponse numérique.
