Lorsque Evan Kohlmann, 24 ans, a déclaré au directeur de son groupe de recherche que des terroristes utilisaient des forums Internet pour orchestrer des attaques au début des années 2000, il a été accueilli avec un scepticisme intense.
Aussi étrange que cela puisse paraître avec le recul, Internet n’était pas le lieu où les enquêtes de renseignement se déroulaient à l’époque et cela – comme Kohlmann en vint rapidement à le réaliser – avait créé une sorte d’angle mort.
Au début du siècle, des terroristes liés à Al-Qaïda et à d’autres groupes extrémistes se sont lancés dans une longue histoire d’amour avec la Web profond – la zone d’Internet non indexée par les moteurs de recherche traditionnels.
Le Deep Web a donné aux extrémistes la capacité de communiquer à l’échelle mondiale, loin des regards indiscrets. Et le groupe de réflexion axé sur le terrorisme pour lequel Kohlmann travaillait ne voulait pas en entendre parler.
«Il me semblait que c’était vraiment l’avenir. Nous aurions donné notre bras pour ce genre d’informations et elles nous étaient simplement offertes sur un plateau d’argent », a déclaré Kohlmann TechRadar Pro. «Et il ne semblait pas que quiconque ait une bonne maîtrise de la question.»
C’est cette prise de conscience qui verra Kohlmann se tailler une expertise de niche qui en fera plus tard un atout inestimable pour les principales agences de renseignement du monde. Quand ils ont finalement abordé le problème, c’est.
Sommaire
Semer les graines
Kohlmann est arrivé à l’Université de Georgetown à Washington DC avec le rêve d’étudier la politique américaine, mais est rapidement devenu déçu par sa cohorte.
Au lieu d’un débat énergique et animé, il a trouvé un assortiment de camarades de classe bien connectés mais impartiaux, intéressés uniquement par «la chasse à la gloire et à la fortune», que Kohlmann trouvait «énervante et extrêmement ennuyeuse».
Dans un esprit de contrarianisme déterminé, il s’est lancé à la poursuite d’une expérience diamétralement opposée à la voie choisie par ses pairs de la haute société – et à une cause dans laquelle il vaut la peine d’investir.
Motivé par un intérêt pour l’Afghanistan déchiré par la guerre, qui à l’époque était sous la coupe des talibans, Kohlmann a entamé une période de recherche en ligne dont il n’a jamais émergé.
Ses premières découvertes étaient que le Web profond était une sorte de «Far West», dans lequel «il n’y avait pas beaucoup de forces de l’ordre et donc pas beaucoup de paranoïa à propos de la surveillance», a expliqué Kohlmann.
Avec un ami de longue date Josh Devon, maintenant co-fondateur de la société de renseignement sur les risques Flashpoint, Kohlmann a rejoint le groupe de réflexion susmentionné, où il a d’abord compris que les activités terroristes sur le Web justifiaient une enquête sérieuse. Mais pendant longtemps, il était quasiment seul dans cette opinion.
Finalement, cependant, il s’est retrouvé au bon endroit au bon moment. Quand Ahmed Ressam a été arrêté à Port Angeles, tentant d’entrer aux États-Unis avec les composants chimiques d’une bombe qu’il avait l’intention de planter à la veille du millénaire, le travail et l’expertise de Kohlmann ont été mis en lumière.
Presque du jour au lendemain, les responsables politiques américains n’ont pris que trop conscience d’une nouvelle menace qu’ils étaient mal équipés pour combattre. Et puis, tout à coup, un Kohlmann au visage frais s’est retrouvé à faire un briefing à la Maison Blanche.
Kohlmann – qui a passé notre conversation à rôder dans sa salle à manger vêtu d’un t-shirt, d’un short et d’une paire de tongs – pourrait certainement être considéré comme correspondant à l’archétype du génie informatique, mais un expert insiste sur le fait qu’il ne l’est pas.
Il a toujours eu un intérêt pour les ordinateurs et a passé du temps à coder des sites Web simples à l’adolescence, ce qui lui a donné quelques bases. Mais, néanmoins, il tenait à souligner qu’il n’a pas avoir besoin une richesse d’expertise pour accéder aux zones d’Internet fréquentées par les terroristes et criminels les plus dangereux du monde.
Interrogé sur les types d’outils qu’il utilise pour dissimuler son identité lors de ses recherches, Kohlmann a minimisé leur sophistication. «La vérité est que nous n’utilisons aucune méthode incroyablement innovante ou unique – nous utilisons les mêmes méthodes que [any other forum user], » il expliqua.
Selon Kohlmann, la meilleure façon d’attraper un terroriste est simplement d’agir comme tel. «Si des acteurs illicites utilisent le Tor réseau pour se connecter à un forum particulier afin d’anonymiser leur activité, nous devons alors utiliser Tor. S’ils utilisent un Procuration, alors nous devons utiliser un proxy. »
Ces deux services agissent comme un intermédiaire entre l’utilisateur et le Web, voilant l’adresse IP d’origine. Tor va jusqu’à acheminer le trafic de l’utilisateur via trois couches proxy distinctes – un nœud d’entrée, un relais intermédiaire et un nœud de sortie – pour une protection supplémentaire.
Le service de messagerie populaire Telegram est également extrêmement populaire auprès des acteurs illicites, nous a dit Kohlmann, avec des centaines de milliers de canaux invisibles utilisés par des groupes allant de l’Etat islamique et d’Al-Qaïda aux pirates informatiques russes et aux néo-nazis.
Lors de l’accès à ces communautés en ligne, la principale priorité de Kohlmann est de se fondre dans la foule et, pour ce faire, son trafic et son comportement doivent être indiscernables de ceux des autres.
«Si les techniques que vous utilisez pour vous anonymiser ou pour collecter des informations ne ressemblent pas à tout le reste, vous allez être banni. Dans le même ordre d’idées, si vous postez beaucoup de questions qui ne seraient pas posées par un acteur menaçant, vous perdrez votre compte. «
Armé d’un simple ensemble d’outils qui sont disponibles gratuitement pour tout le monde, Kohlmann est devenu extrêmement bien exercé dans l’art de «mimer et refléter». De cette façon, il évitait de contaminer le pot de miel d’informations dont lui et très peu d’autres savaient qu’il existait.
Activité terroriste sur le Web profond
Avec vingt ans d’expérience sur le Web profond dans sa poche arrière – et ayant travaillé aux côtés du FBI, de Scotland Yard et de nombreuses autres organisations de renseignement – Kohlmann est une source d’anecdotes qui ne se tarissent jamais.
Au cours de notre brève conversation, il a raconté des communications directes avec des militants chiites engagés dans un assaut contre l’ambassade américaine à Bagdad et un combattant de l’Etat islamique qui avait été gravement blessé au combat.
Pas plus tard que cet été, a-t-il déclaré, des militants en Irak ont annoncé à l’avance des attaques contre des diplomates étrangers via les chaînes Telegram, dans le but de démontrer leur crédibilité à leurs pairs. «Regardez, ça vient. Ça vient! » ils ont posté, quelques instants avant le lancement d’une fusée.
Kohlmann nous a parlé de relations entretenues avec certains des membres les plus influents de ces communautés terroristes en ligne au début des années 2000. Aux alentours du 11 septembre, par exemple, il a interviewé un ami proche d’Oussama Ben Laden et s’est envolé pour Londres pour rencontrer Abu Hamza al-Masri (connu sous le nom de «Crochet»), le religieux radical qui dirigeait la mosquée de Finsbury Park. responsable du bombardier de chaussures Richard Reid.
Il a également observé un médecin jordanien nommé Humam al-Balawi apparaître comme un acteur majeur sur les forums d’Al-Qaïda. Reconnaissant son influence et sa réputation, les services de renseignement jordaniens ont tenté de transformer al-Balawi, dont ils pensaient pouvoir exploiter le statut de père de famille.
Mais les Jordaniens avaient sous-estimé l’étendue de l’endoctrinement d’al-Balawi. Le médecin a commencé à publier des messages cryptiques sur les forums, suggérant que quelque chose de grave était sur le point de se produire, et peu de temps après, il s’est fait exploser lors d’une réunion avec son gestionnaire de la CIA.
Dans la plupart de ces cas, les acteurs terroristes avec lesquels Kohlmann communiquait n’avaient aucune compréhension de sa véritable identité – mais ce n’était pas toujours le cas.
Lors d’un incident particulièrement effrayant, un chef de file de la communauté d’Al-Qaïda – connu sous le nom de Terrorist007 – a publié un clip vidéo d’une interview que Kohlmann avait faite avec la BBC sur le forum.
Il l’avait fait comme une sorte de menace voilée, sachant parfaitement que Kohlmann se cachait (quoique anonymement) dans les tableaux d’affichage. C’était en 2005, au cours de laquelle Al-Qaïda avait pris l’habitude de publier des vidéos de leurs décapitations en ligne.
Qu’est-ce qui fait un terroriste?
Les terroristes, selon Kohlmann, ne poussent pas tous à partir du même arbre. En d’autres termes, tous n’ont pas été radicalisés par une vie de pauvreté et de violence, tous n’ont pas une éducation religieuse stricte et, certainement, tous ne sont pas originaires du Moyen-Orient.
Il existe cependant un archétype malheureux. Prenons l’exemple de Terrorist007; il a gravi les échelons pour devenir le webmaster d’Al-Qaïda en Irak, mais en réalité il n’était que le fils adolescent d’un diplomate marocain vivant à Londres.
Selon Kohlmann, il était «un perdant qui n’avait pas d’amis – un hacker de 400 livres vivant dans le sous-sol de sa mère – et pas exactement quelqu’un qui rentre dans la fourchette« je suis affamé et opprimé »».
De même, le médecin jordanien al-Balawi n’était qu’un « type ringard qui a été attiré dans ce monde alternatif bizarre, qui est devenu un personnage dans une existence en ligne et vivait complètement son fantasme. »
«Ce que vous regardez, ce sont des individus isolés qui n’ont pas beaucoup d’amis. [These types of people] sont attirés dans des scénarios dans lesquels leur vie réelle banale devient secondaire par rapport à l’existence qu’ils construisent en ligne. »
«L’idée de se sentir soudainement comme un super-héros a une allure. L’idée que vous deviendrez célèbre, peut-être infâme, a un attrait pour ces gens.
Le tableau qu’il dresse est effrayant, dans lequel la frontière entre un terroriste et un citoyen ordinaire est alarmante. Deux personnes avec le même cocktail enivrant de traits de caractère – pas insidieuses en elles-mêmes – prendront deux chemins totalement divergents, peut-être en fonction des coins particuliers d’Internet dans lesquels ils se trouvent.
Et les groupes terroristes sont pleinement conscients de ce fait. Daech, dit Kohlmann, a tellement réussi à radicaliser les gens en ligne en grande partie grâce à ses campagnes de propagande sophistiquées. Les matériels d’ISIS sont distribués en masse et dans une multitude de langues afin d’atteindre la plus large partie de la société possible.
L’arrivée de la technologie de chat en direct – et des applications telles que WhatsApp et Discord – a également eu un impact considérable sur les efforts de recrutement des groupes terroristes.
Sur les forums, cela peut prendre des heures ou des jours pour recevoir une réponse, mais avec le chat en direct, un membre d’ISIS peut répondre en quelques minutes; le marionnettiste peut tirer toutes les bonnes cordes en temps réel.
Ce n’est que ces dernières années, au lendemain des élections américaines de 2016 et du scandale de Cambridge Analytica, que tout le pouvoir d’Internet pour influencer l’opinion est entré dans la conscience publique, mais les groupes terroristes exploitent des vulnérabilités humaines similaires depuis des années.
Archiver le Web profond
Lorsqu’il s’agit de contrôler le Web profond, le problème se résume à une surcharge de données. Lorsque Kohlmann a commencé, sa petite équipe a pu enregistrer presque toutes les interactions qui ont eu lieu sur des forums terroristes, mais aujourd’hui c’est impossible.
Bien que la technologie qu’ils utilisent ne soit pas nécessairement très sophistiquée, les criminels et les terroristes sont protégés par le flot de communications en ligne. Sans une piste initiale pour guider les efforts de renseignement, l’identification des menaces réelles devient une question de trouver une aiguille dans la botte de foin.
Cependant, Kohlmann est optimiste qu’il existe une solution technologique pratique à ce problème. Il envisage un avenir proche dans lequel les améliorations des performances informatiques signifient que l’activité Web profonde peut être essentiellement archivée en temps réel (c’est-à-dire collectée, analysée et consultable), d’une manière qui pourrait permettre au renseignement d’intervenir avant qu’un incident ne se produise.
Pour illustrer son propos, il fait signe à l’attaque de Christchurch de mars 2019, au cours de laquelle un seul homme armé a tué 50 musulmans engagés dans la prière du vendredi. L’auteur, suprémaciste blanc Brenton Tarrant, avait publié un manifeste sur le tableau d’affichage en ligne 8chan avant l’attaque – et l’avait même envoyé au bureau de la Première ministre néo-zélandaise Jacinda Ardern.
Le «Saint Graal», dit Kohlmann, est de pouvoir identifier et agir sur les informations assez rapidement pour atténuer les dommages causés par une attaque, voire pour l’empêcher totalement.
«C’est notre espoir – et certainement notre objectif – de pouvoir informer à l’avance les gens d’une attaque si les signes avant-coureurs critiques sont là», nous a-t-il dit.
«C’est formidable de pouvoir participer aux enquêtes après coup et de mettre les responsables en prison, mais cela ne sauve pas des vies humaines. La prévention est l’objectif – c’est la prochaine frontière. »
