Doppelgänger : anatomie d'une opération d'ingérence documentée
C'est l'opération d'ingérence la mieux documentée de la décennie : de faux sites imitant Le Monde, Bild ou 20 Minutes, des centaines de domaines, des sanctions européennes et des saisies judiciaires américaines. Doppelgänger mérite d'être étudiée pièce par pièce, parce que sa mécanique — l'usurpation de crédibilité — vise aussi bien une entreprise qu'un média.
L'opération en une page
Fin septembre 2022, l'organisation de recherche EU DisinfoLab publie une enquête sur une campagne active depuis au moins mai 2022, qu'elle baptise « Doppelganger » : des clones de sites de médias établis — Bild, 20 Minutes, Ansa, The Guardian, entre autres — reproduisant leur maquette à l'identique sur des noms de domaine typosquattés, pour y publier de faux articles alignés sur les intérêts narratifs russes [1].
Le principe est d'une simplicité redoutable : plutôt que de construire la crédibilité d'une source nouvelle, on vole celle d'une source existante. Le lecteur croit lire son journal ; l'URL, presque identique, ne diffère que d'une extension ou d'une lettre.
Le mode opératoire, étape par étape
Les rapports publics convergent sur une chaîne en quatre temps. Un : enregistrement de domaines imitant des médias ou des institutions (typosquattage). Deux : production de contenus — articles, vidéos, fausses unes — copiant les codes éditoriaux de la cible. Trois : amplification par des réseaux de comptes coordonnés sur les réseaux sociaux, souvent relayée par de la publicité payante. Quatre : rotation permanente de l'infrastructure — les domaines saisis ou signalés sont remplacés, les redirections déplacées.
Ce dernier point explique la longévité de l'opération : Doppelgänger a survécu à sa révélation publique. La documentation n'a pas suffi à l'éteindre ; elle a déplacé son infrastructure.
La documentation française : le rapport RRN de VIGINUM
Le 13 juin 2023, VIGINUM publie son rapport sur la campagne qu'il désigne par « RRN », du nom d'un des sites du dispositif — c'est le versant français de Doppelgänger. Le service y recense 355 noms de domaine usurpant des médias (Le Monde, Le Parisien, Le Figaro notamment) et des sites gouvernementaux français, avec une analyse technique de l'infrastructure et des modes d'amplification [2].
Plusieurs médias usurpés, dont Le Monde et 20 Minutes, ont porté plainte. Le rapport constitue, avec l'enquête d'EU DisinfoLab, la meilleure étude de cas librement accessible en français sur une opération d'ingérence contemporaine : infrastructure, contenus, amplification, attribution — toute la chaîne y est reconstituée à partir de sources ouvertes.
Attribution et sanctions : une réponse en trois juridictions
Le 28 juillet 2023, le Conseil de l'Union européenne sanctionne sept personnes et cinq entités pour leur rôle dans la campagne, dont les sociétés russes Social Design Agency et Structura National Technologies, identifiées comme opératrices du dispositif [3].
Le 4 septembre 2024, le département de la Justice américain annonce la saisie de 32 noms de domaine liés à Doppelgänger, sur décision judiciaire, documents d'enquête à l'appui [4]. L'attribution publique, étayée et multi-juridictionnelle, est une des singularités de cette affaire : elle démontre que la reconstruction forensique d'une opération d'ingérence est possible — et opposable.
Ce que cette opération enseigne aux organisations
Première leçon : la crédibilité est un actif qui se vole. Ce qui a été fait à des rédactions peut l'être à une entreprise — faux communiqués, faux site presse, fausse page de résultats financiers. La surveillance des enregistrements de domaines proches de votre marque relève de la même hygiène que la surveillance de vos certificats et de vos noms de domaine expirés.
Deuxième leçon : le démenti seul ne détruit pas une infrastructure. Doppelgänger a été documentée, sanctionnée, saisie — et a continué en se déplaçant. Pour une organisation visée, l'objectif réaliste n'est pas de faire disparaître l'attaque mais d'en réduire la portée : signalement aux plateformes et aux registrars, information directe de vos parties prenantes, judiciarisation quand l'usurpation est caractérisée.
Troisième leçon : la détection précoce change tout. Les organisations qui ont le mieux traversé l'affaire sont celles qui ont vu les clones tôt et qualifié l'attaque vite — ce qui suppose une veille, une chaîne d'alerte et un décideur désigné avant l'incident.
Ce que vous pouvez faire lundi matin
- Mettre sous surveillance les variantes typosquattées de vos principaux noms de domaine (services de veille de domaines, alertes de registrar).
- Vérifier que quelqu'un, dans votre organisation, saurait à qui signaler un site clone : plateforme, registrar, dépôt de plainte — la procédure doit préexister à l'incident.
- Lire le rapport RRN de VIGINUM en comité sûreté ou communication : une heure de lecture, la mécanique complète d'une opération réelle.
- Décider dès maintenant qui qualifierait l'attaque et qui parlerait — l'improvisation des premières heures fait plus de dégâts que le clone lui-même.
Sources
- EU DisinfoLab, Doppelganger — Media Clones Serving Russian Propaganda, septembre 2022.www.disinfo.eu/doppelganger
- SGDSN / VIGINUM, RRN : une campagne numérique de manipulation de l'information complexe et persistante, 13 juin 2023 (rapport technique mis à jour le 19 juin 2023).www.sgdsn.gouv.fr/publications/maj-19062023-rrn-une-campagne-numerique-de-manipulation-de-linformation-complexe-et
- Conseil de l'Union européenne, communiqué « Information manipulation in Russia's war of aggression against Ukraine: EU lists seven individuals and five entities », 28 juillet 2023.www.consilium.europa.eu/en/press/press-releases/2023/07/28/information-manipulation-in-russia-s-war-of-aggression-against-ukraine-eu-lists-seven-individuals-and-five-entities/
- U.S. Department of Justice, communiqué sur la saisie de 32 noms de domaine liés à l'opération Doppelgänger, 4 septembre 2024.
Cet article est une ressource de sensibilisation. Il ne constitue ni un conseil juridique, ni un audit, ni une analyse adaptée à votre contexte particulier.
Anatomie forensique de campagnes réelles, détection et investigation en sources ouvertes, architecture de résilience : le parcours complet forme les décideurs sur des cas documentés, pas sur des scénarios théoriques.
Recevoir le dossier de la filière