Daniel Guinier est expert en cybercriminalité et crimes financiers près la Cour Pénale Internationale de La Haye. À quelques jours des élections européennes, Rude Baguette a demandé à ce spécialiste ce qu’il pensait des risques de manipulation des scrutins notamment à cause des réseaux sociaux. Déstabilisation, chatbots et désinformations, qu’en est-il vraiment de ces risques ? Entretien.
En mars 2019, vous publiez un rapport intitulé « Réseaux sociaux : Paradoxe et convergence technologique », pour la revue Expertises. Pouvez-vous commencer par nous définir ce qu’est un bot ?
Dans mon étude, j’ai distingué les « bots classiques » des « bots sociaux ». Les deux sont utilisés. Les bots classiques sont exécutés par des machines compromises. Les botnets qu’ils constituent permettent de camoufler l’attaquant, mais aussi de diriger des actions malveillantes. Souvent, il est utilisé pour des attaques DDoS (https://www.rudebaguette.com/tag/attaque-ddos/), également pour une diffusion massive de spams, d’annonces, de codes malveillants… Les bots classiques se réfèrent à une adresse IP, et les botnets sociaux à un compte.
Les bots sociaux sont destinés à interagir en temps réel, en produisant du contenu de manière automatique. Avec eux, de nombreux profils seront créés, faisant croître le « botnet social », mais aussi des comptes existants seront compromis, et enfin des contenus, notamment faux, seront élaborés. Par exemple, publier une information qui n’est pas celle qu’aurait émise l’usager du compte (pénétration du compte).
Comment peut-on détecter s’il y a un humain derrière un profil ?
Jusqu’ici, le test de Turing était efficace, mais aujourd’hui, il ne résiste plus. On sait désormais comment se faire passer pour un humain. Des plateformes comme BotOrNot permettent d’analyser près d’un millier de critères pour déterminer statistiquement s’il s’agit d’un bot social ou d’un humain. Si l’on arrive à 40 %, par exemple, on peut considérer que c’est une vraie personne. Au-delà de 50 %, on peut penser que c’est un bot. Il faut ici pouvoir différencier des tweets humains de tweets robots.
Le logiciel étudie les comportements sur les réseaux, les écarts de temps entre les publications, la qualification des utilisateurs, ses contacts, le contenu lui-même, et d’autres critères qui permettent notamment d’analyser des éléments de type « sentiments ».
Quel est le rôle de l’intelligence artificielle ici ?
Malheureusement, avec l’IA, les bots sont confondus avec les humains et ne peuvent plus être détectables. Or, les enjeux géopolitiques, géoéconomiques, sont importants. Nous ne sommes plus sur des éléments « amateurs ».
L’IA va s’alimenter avec des composantes du big data de manière à pouvoir en temps réel capturer des contenus plausibles et actuels, dans tout ce qui est disponible en l’état. On va pouvoir créer des informations crédibles, évoluées et changeantes.
On se dirige vers une convergence technologique entre les bots classiques, les bots sociaux, l’IA, le big data… Ce qui peut causer des problèmes jusqu’à atteindre la démocratie.
Quelles sont les conséquences de cette convergence technologique ?
Si elle va conduire à objectifs négatifs, elle devrait aussi permettre d’apporter des points positifs, notamment au niveau de la détection, voire de la prédiction. Une bataille va s’engager les uns envers les autres. Et elle va se jouer, en grande partie, sur le terrain législatif.
En conclusion de mon rapport, j’explique que la « boîte de Pandore », conçue principalement par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) […] n’est peut-être encore qu’entrouverte… Les opérateurs et plateformes des réseaux sociaux, tout comme l’ensemble des bénéficiaires de ces technologies, ont un rôle très important à jouer en suivant une éthique rigoureuse et en assumant pleinement leurs responsabilités, sous le contrôle des États et des institutions.
Que préconisez-vous ?
Un enjeu essentiel est l’éducation. Il y a une nécessité d’acquérir une capacité de jugement pour développer un libre arbitre. Il faut expliquer ce qu’est le libre arbitre. Bien souvent, les jeunes en sont dépourvus, par manque d’expérience, de compétences, de savoir comment décortiquer une information… Cela requiert aussi du temps.
Mais quelques soit la coopération choisie, à partir du moment où sera lancée une fake news, elle va d’abord se répandre, dans Google, puis se retrouver en tête de pages, qui seront alors regardées massivement sur Internet. Si dans les cinq minutes, c’est en ligne, le mal est fait. On va demander de la retirer, avec la difficulté que rien ne disparaît vraiment d’Internet, car elles peuvent réapparaître ailleurs. Ensuite, on va la dépublier, mais en combien de temps ? Dans la journée ? Le lendemain ? Il va malheureusement falloir avoir plus d’imagination pour contrer ces manipulations.
Nous ne sommes plus sur un plan français, mais international. Les éléments extrémistes ont tout intérêt à s’allier, à la veille des élections européennes. Il y a des gens suffisamment motivés. C’est le même principe que la cybercriminalité : une motivation, une vulnérabilité en face, une cible. Aujourd’hui, on a l’idéologie politique qui s’est ajoutée par-dessus.
Dans votre rapport, vous revenez aussi sur les Macronleaks. Qu’en retenez-vous ?
Le cas des MacronLeaks est intéressant d’un point de vue de la désinformation. L’analyse sur 18 000 tweets de cette campagne a montré que seulement 18 % provenaient de « bots ». Les bots sociaux précédaient une cascade de désinformation attribuée à des tweets humains. Le phénomène s’est produit comme une apparition d’une certaine masse. Avec des réactions d’approbation ou de désapprobation visant à renforcer ou empêcher ce phénomène.
Qui se cache derrière ces vagues de tentatives de manipulation de l’information ?
Il peut y avoir des militants. Si l’on prend les élections de 2017 comme un ballon d’essai, on remarque qu’il y a eu beaucoup de réactions anglophones. Le problème actuellement c’est que les Russes veulent avoir une certaine influence, notamment en Europe, dans une optique de déstabilisation. Ici, on a des moyens plus importants car ce sont des moyens d’État.
Certains militants ont des compétences et peuvent développer à la fois des bots ordinaires ou des bots sociaux. Dans les darknet, on trouve des offres en mesure d’élaborer des bots sociaux « sur mesure ». Le kit Twitter Net Builder par exemple. On peut dénicher des kits qui permettent la création d’un botnet, un fichier exécutable d’infection, avec une commande de téléchargement de commentaires, etc. On peut fabriquer des fake news à tous petits moyens. Ou télécharger et utiliser ce genre de kit sans qualification particulière. Certains sont gratuits, d’autres pas. Il faut vraiment tenir compte de ces éléments-là car on observe de plus en plus d’attaques violentes.
Ces tentatives d’influence malveillantes sont-elles récentes ?
En 2019, on passe des défigurations de sites Internet ou les attaques DDoS à la fabrique de fake news. Pour porter préjudice à un candidat politique, à une entreprise… Ces techniques de déstabilisation sont illicites et relèvent de la cybercriminalité.
Tous les moyens sont bons dans la panoplie de l’influence. Certaines personnalités ou certains partis politiques pourraient l’utiliser pour se faire mieux voir : à commencer par entretenir de bonnes relations en pénétrant le tissu associatif d’un pays, les élus, les maires, etc. de manière licite.
La convergence technologique dont je parlais précédemment nous amène vers une industrialisation des fausses nouvelles, avec des éléments techniques, juridiques, pour pouvoir être légale. Warren Buffet disait : « Il faut vingt ans pour construire une réputation et cinq minutes pour la détruire. »
Comment peut-on se défendre contre ces tentatives de manipulation ?
Depuis 2016, 2017, l’évolution est très pernicieuse. Il est plus difficile de contrer une fake news que de la fabriquer. Le mode d’emploi est très simple : on regarde les informations accessibles par les moyens légaux, sur des entreprises ou des candidats. Ensuite, il peut y avoir de la corruption, du recours au renseignement par tous les moyens, même, quand on est dans des perspectives géostratégiques.
Aujourd’hui, certains experts de technique d’influence utilisent les biais cognitifs et les leviers d’influence, ce qui explique pourquoi les gens se laissent tromper malgré leur intelligence. On peut tous être amenés à y participer d’une manière ou d’une autre.
Ces campagnes de fake news influencent-elles vraiment le comportement — le vote par exemple — du public ?
C’est la capacité de jugement des gens qui est en jeu et permettra de savoir si oui ou non ils vont être influencés. Cela dépendra de leurs opinions, de leurs convictions… S’ils ont peu de libre arbitre et peu de convictions, ils risquent d’être plus influencés.
Quand je parle du cyberharcèlement à des jeunes, dans les écoles, je souligne bien que le fait de diffuser, de fabriquer ou de rediffuser des fake news fait qu’ils sont complices de ce harcèlement. En discutant avec eux, on se rend compte qu’ils savent très bien que c’est idiot, mais ils le font quand même. La loi est là pour faire comprendre que ce type de comportement peut amener n’importe qui au tribunal, que ce soit au civil ou au pénal.
Propos recueillis par Margaux Duquesne.