Christo Grozev, le 5 septembre 2022 dans les locaux de Sciences-Po à Paris

© Crédits photo : JULIEN DE ROSA / AFP

Christo Grozev, de Bellingcat : « Je peux être tué aujourd’hui »

Le site d’investigation international Bellingcat multiplie les scoops depuis 2014. Ses techniques d’enquêtes, essentiellement en ligne, percent les secrets les mieux gardés des services de renseignements. De passage à Paris, Christo Grozev, responsable des investigations sur la Russie, nous livre des éléments sur la méthode Bellingcat.

Temps de lecture : 12 min

Bête noire de la Russie, le site d’investigation Bellingcat a notamment révélé l’identité des deux agents du GRU (renseignement militaire russe) qui ont empoisonné Sergei et Yulia Skripal en mars 2018. Ou encore la responsabilité du FSB (service de sécurité russe) dans la tentative d’empoisonnement d’Alexei Navalny en 2020. Fin août, le site d’investigation racontait comment une espionne du GRU s’était infiltré dans des cercles très proches des bureaux de l’OTAN à Naples. Créé en 2014 par le britannique Eliot Higgins, et basée aux Pays-Bas, Bellingcat  s’est fait une spécialité de l’Open source investigation techniques (Osint). À partir de vidéos, de photos, de recherches inversées et surtout de bases de données, les enquêtrices et les enquêteurs ont mis au point des techniques qui défient les services de renseignements. Christo Grozev, devenu responsable des investigations sur la Russie, nous a accordé un entretien à l’occasion de son passage à Paris, en amont d'une conférence qu'il donnait à l’École de journalisme de Sciences Po.

 

Commençons par votre dernière enquête sur l’espionne du GRU en Italie : quel en a été le point de départ ?

À chaque investigation nous accumulons des connaissances sur le fonctionnement des services secrets. Au moment de l’empoisonnement des Skripal, nous avons découvert que les services secrets russes utilisent des passeports dont les numéros sont similaires et se suivent. Il arrive de temps à autre que des bases de données de voyage russe fuitent. Nous les analysons systématiquement, avec en tête les numéros de passeport, dans l’idée de trouver de nouveaux espions.

L’année dernière, nous avons mis la main sur une base de données venant de Biélorussie, renseignant les passages de la frontière biélorusse. Un élément a attiré mon attention : une femme avec un nom à consonance hispanique qui a passé treize fois la frontière, à chaque fois par train, durant des trajets Moscou – Paris, Moscou – Nice, Moscou – Milan. Nous avons élaboré quelques hypothèses, notamment qu’il pouvait juste s’agir d’une coïncidence. Et puis j’ai trouvé son nom dans deux autres bases de données : une en France et une au Pérou. On pouvait y voir que ses demandes de passeport avaient été refusées, faute d’acte de naissance satisfaisant. C’était en soi assez suspect, mais nous avons ensuite découvert qu’elle avait déjà eu trois passeports russes, tous avec des numéros similaires. Le doute n’était plus permis.

Combien de temps avez-vous passé sur cette enquête ?

C’est l’une de nos enquêtes les plus longues. Nous avons commencé en novembre 2021. Cinq personnes ont travaillé dessus. J’y ai consacré 20 %, peut-être 25 % de mon temps, certaines personnes moitié moins. Les données n’ont pas coûté cher : la plupart des renseignements étaient en source ouverte.

En résumé, c’est comme s’enfoncer dans une forêt de données, trouver un petit caillou, et tenter de voir s’il y a une piste ?

Tout à fait. Nous préférons travailler comme cela. Il ne s’agit pas d’une source, encore moins d’une source trompeuse. C’est de la donnée, parfaite dans le cas présent, et la donnée ne ment jamais. La plupart du temps les tuyaux sont faux, ou alors erronés, mais la personne qui les fournit croit réellement à leur authenticité. On peut passer beaucoup de temps à tenter de vérifier la solidité d’un renseignement. Avec les données, vous ne perdez pas de temps, vous avez de toute façon quelque chose à vous mettre sous la dent. Avec un renseignement peu fiable, nous aurions juste perdu trois semaines de travail.

« S'il y a trop de partenaires, c’est un cauchemar à coordonner au moment de la publication : personne ne veut être le deuxième à sortir l’info »

Vous n’avez pas travaillé seul sur cette enquête, des journalistes extérieurs à Bellingcat ont participé. Quand décidez-vous de collaborations ?

Nous faisons appel à des collègues d’autres medias lorsque nous avons besoin de travail de terrain dans d’autres pays. Dans le cas présent, il fallait procéder à certaines vérifications en Allemagne et en Italie. C’est pourquoi des collègues du Spiegel et de la Repubblica ont participé. Ça ne nous dérange pas d’inclure de nombreux partenaires dans nos enquêtes. Bellingcat est une entreprise caritative, nous ne nous préoccupons pas du nombre de pages vues et des scoops. Nos partenaires ne nous aident pas tant à trouver des choses qu’à les vérifier et les valider.

Cependant, tout devient compliqué si vous avez trop de partenaires. C’est un cauchemar à coordonner au moment de la publication. Personne ne veut être le deuxième à sortir l’info. Certains medias, les plus prudents, demandent un peu plus de temps de vérification, alors que d’autres sont prêts à foncer. Ce sont des situations très stressantes, voire tendues, avec des noms d’oiseaux qui peuvent fuser.

L’enquête sur l’empoisonnement de Navalny en est un parfait exemple. Cinq médias étaient sur le coup, et il y avait une version télévisée de l’enquête. CNN voulait la diffuser en début de soirée aux États-Unis. L’horaire nous intéressait aussi, mais pour l’Europe. Comme nous sommes l’enquêteur principal, nous pouvons imposer une décision, mais nous préférons trouver des compromis. Le plus important, c’est d’avoir une enquête diffusée le plus massivement possible. Et dans le cas de l’affaire Navalny, la solution était d’avoir un petit reportage d’Anderson Cooper en direct sur CNN puis, plus tard dans la matinée, sortir la grande enquête.

Avez-vous des partenaires dans le monde entier ?

Tout dépend des sujets que nous couvrons. Nous avons des partenariats dans la plupart des pays de l’Union européenne. En France, par exemple, nous préparons plusieurs dossiers avec Le Monde, mais ce n’est pas exclusif comme ça l’est avec le Spiegel, journal avec lequel nous avons déjà travaillé huit fois, si je me souviens bien.

Qu’entendez-vous par « partenaire exclusif » ?

Pour tout ce qui touche à l’espionnage en Allemagne, nous avons partagé tellement de données avec le Spiegel, une enquête en entraînant une autre, qu’il nous est compliqué de travailler avec d’autres.

Comment définissez-vous Bellingcat ? Est-ce un média ?

Nous occupons une niche, un vide laissé par les souverainetés nationales. Je m’explique. Si un crime est commis par un État sur son propre territoire, il n’y a jamais d’enquête, car le pays en question est le seul à pouvoir en mener, et il ne le fait jamais. Et il y a les crimes transnationaux, pour lesquels les enquêtes reposent sur des échanges d’informations et des demandes juridiques. Mais vous comprenez bien que si l’un des États est l’auteur du crime, comme la Russie, sur son territoire ou ailleurs, tout cela est bien plus complexe. Nous avons pris part à une investigation sur le meurtre, en 2019, d’un demandeur d’asile à Berlin. La Russie donnait du bullshit à la police allemande. Nous savions que si nous ne trouvions pas d’informations solides et réelles, l’enquête ne pourrait pas avancer. Et nous avons enquêté sur l’empoisonnement d’Alexei Navalny parce que personne ne l’aurait fait en Russie.

« Notre plus gros donateur est la loterie des Pays-Bas »

Quel est le budget de Bellingcat pour de telles enquêtes ?

Nous avons un budget annuel de presque deux millions de dollars. Un tiers provient de formations à nos méthodes, dispensées à des journalistes du monde entier. Le reste vient de donations. Notre plus gros donateur est la loterie des Pays-Bas. En fait, les Néerlandais nous apprécient particulièrement depuis notre travail sur le vol Malaysia Airlines 17 [vol MH17 abattu au-dessus de l’Ukraine quelques-heures après avoir décollé d’Amsterdam le 17 juillet 2014, avec 283 passagers à bord, dont 193 citoyens des Pays-Bas. Bellingcat a démontré qu'un lance-missile russe utilisé par les forces séparatistes avait tiré sur l'appareil,  NDLR]. La somme versée par la loterie représente à peu-près 15 % de notre budget annuel, et nous avons de nombreuses donations en provenance des Pays-Bas. Les sommes versées tournent en moyenne entre 4 000 et 5 000 dollars. Par ailleurs, nous sommes nombreux à travailler comme bénévoles. Moi-même, je n’ai commencé à être rémunéré pour mon travail à Bellingcat que l’année dernière.

Combien de gens travaillent à Bellingcat ?

Il y a trente employés, dont vingt dédiés à la recherche et dix sur des fonctions de support. Et le reste, une quarantaine de personnes, sont bénévoles. Nous sommes donc un peu moins de cent.

Et vous échangez vos informations, vos contacts, vos techniques, entre vous ?

Il n’y absolument aucune rivalité. Pendant de nombreuses années, toutes nos enquêtes étaient publiées sous le nom de « bellingcat investigation team », ce que nous ne faisons plus par soucis de transparence. Dans l’idéal, nous devrions tout partager dans une base de données commune. Mais une grande partie de ces données n’est pas structurée, ce sont des tableurs en pagaille, des photos dans un dossier. Pas évident à partager. Mais par exemple, chacun sait qu’en cas de recherches sur la Russie, on peut m’appeler et j’aiderai. Pour vous donner une idée de notre méthode, j’ai un dossier intitulé « Marioupol », ma toute première enquête. Mais ce dossier en contient 144 autres, chacun contenant une enquête à part, avec les données correspondantes.

Vous avez chacun des spécialités et vous vous entraidez si vous rencontrez une difficulté ?

Tout à fait. Faire appel à d’autres personnes est essentiel, qu’elles soient à l’intérieur ou à l’extérieur de Bellingcat. Si je n’arrive pas à observer les détails d’une photo, je la mets sur notre Slack et l’un de nous en Allemagne sera capable, comme dans la série télévisée Les Experts, de la rendre lisible. Si nous voulons vérifier un angle de vue, une trajectoire, nous pouvons consulter un ingénieur qui peut calculer tout ça. Ce sont des bénévoles loyaux, qui ont un travail à côté.

Et parfois nous devons externaliser, tout particulièrement s’il y a besoin d’expertises très précises, ou s’il est impossible de vérifier par nous-mêmes. Revenons à l’empoisonnement de Navalny : une fois que nous avions identifié les agents et retracé tout leur parcours en Russie sur dix années, nous avons publié les données et lancé un appel : « s’il vous plaît, dites-nous ce que vous pensez qu’ils ont fait à chaque endroit où ils se sont arrêtés ». Nous avons reçu 8 000 tuyaux, avec six bonnes enquêtes à la clé, et aussi beaucoup de fausses pistes bien sûr, mais le crowdsourcing fonctionne.

Parlons un peu de vous. Vous avez dirigé et possédé des médias pendant de nombreuses années. Quelles ont été vos motivations pour rejoindre Bellingcat ?

En 2014, lorsque la guerre a éclaté en Ukraine, je ne m’intéressais encore qu’à l’aspect purement médiatique des choses, c’était ma petite zone de confort. J’avais habité et travaillé en Russie et en Ukraine, et la militarisation de l’information était de plus en plus flagrante. Cette année-là, la Russie a transformé tous ses médias d’État en instruments de propagande, pas à destination de sa propre population, mais vers les Ukrainiens. Le sujet m'intéressait beaucoup, j’ai commencé à écrire un blog là-dessus. Et puis il y a eu, justement, le vol MH17. Pour moi, il était très difficile de dire qui mentait dans cette affaire : les Ukrainiens ou les séparatistes, soutenus par la Russie ? Les services secrets ukrainiens ont très vite publié des appels interceptés juste après que l’avion a été abattu. Ça avait l’air trop beau pour être vrai ! Donc j’ai décidé d’appeler un des numéros rendus publics et je suis tombé sur une personne, avec la même voix, un Russe en l’occurrence, avec qui j’ai discuté trente minutes. Personne n’avait eu l’idée d’appeler avant moi. À partir de ce moment-là, j’ai commencé à travailler sur tous les sujets, je ne me suis jamais arrêté.

Il faut donc une bonne dose de culot, de créativité, mais aussi des connaissances dans le domaine du renseignement pour réussir de telles enquêtes ?

Vous pouvez trouver toutes ces informations et ces techniques facilement. Il faut juste savoir qu’il est possible de trouver ce que vous cherchez, sans quoi vous ne commencez pas à chercher. C’est une des raisons de notre transparence, pour que des jeunes journalistes comprennent qu’ils peuvent le faire. D’une part les outils existent, d’autre part les mauvais acteurs font des erreurs. Ils laissent des miettes derrière eux, et il est possible de les suivre. Ensuite, tout est une question de temps.

Quels sont vos outils de prédilection ?

Pour tout ce qui touche à la Russie, nous utilisons un moteur de recherche nommé Yandex, qui a pendant longtemps été bien meilleur que Google pour la reconnaissance faciale. Je crois que l’option a été désactivée à cause de nos enquêtes. Yandex est aussi très efficace pour extraire du texte provenant d’images. Si vous entrez une plaque d’immatriculation dans le moteur de recherche, il peut vous sortir une photo de la voiture correspondante, avec les numéros apparents.

Nous procédons très souvent à des recherches inversées de nom et de numéro de téléphone sur un certain nombre de bots et d’applications. Dans le cadre d’une enquête, dès que je récupère un numéro de téléphone, je l’ajoute à mes applications de messagerie, en commençant par Viber, qui est très populaire en Russie. Et très souvent, le nom et la photo de la personne s’affichent automatiquement. Je fais la même chose sur Whatsapp, puis je passe à Telegram où j’utilise les bots [il est possible, par ce biais, d’acheter certains types d’informations en Russie et dans les pays de l’ex-Union soviétique, NDLR], afin de vérifier quelles sont les données rattachées au numéro, ou même celles des gens qui l’ont dans leur répertoire. Ensuite, je regarde l’ensemble des données accumulées au fil des ans et je recherche le nom identifié. Nous finissons toujours par une étape de reconnaissance faciale, en utilisant Asura, un logiciel de Microsoft, ou des outils de recherche inversée de visages, comme « FindClone » pour la Russie et « Pimeyes », qui est le seul à coûter un peu d’argent chaque mois.

Nous sommes efficaces sans dépenser beaucoup d’argent, c’est pourquoi depuis six, sept ans, les services de renseignement ont ouvert leurs départements de recherche en sources ouvertes. Ils ne veulent pas employer des espions, alors qu’ils peuvent trouver les renseignements de cette façon.

« Pour l’empoisonnement des Skripal en 2018, il nous avait fallu trois mois d’enquête. Aujourd’hui, il me faudrait trois jours »

Avec l’expérience accumulée, y a-t-il des enquêtes que vous mèneriez différemment aujourd’hui ?

À l’époque de l’empoisonnement des Skripal en 2018, il nous avait fallu trois mois d’enquête. Aujourd’hui, il me faudrait trois jours. Plus vous avez d’expérience, plus vous pouvez comprendre le contexte, les motivations des acteurs. C’est un peu comme un puzzle : vous accumulez des pièces, vous les agencez, et au bout d’un moment tout a beaucoup plus de sens. Vous connaissez le niveau de compétence des groupes, vous savez si leurs erreurs en sont ou pas, et si elles peuvent vous aider dans le futur. Mais dans le même temps, nos ennemis s’améliorent eux aussi, pour cacher, voire empoisonner des données.

Empoisonner des données ? C’est-à-dire ?

Il s’agit de mettre en ligne, volontairement, de fausses données. Dans le cas de données cachées ou manquantes, vous voyez vite ce qui ne va pas en faisant des comparaisons avec des documents que vous possédez. Les agences de renseignements l’ont compris et ont commencé à remplacer des données qu’ils ne voulaient pas voir tomber entre nos mains par de fausses données. Ça peut être, par exemple, remplacer une photo sur un passeport, et ça nous complique la tâche. Eux et nous bougeons en parallèle, notre travail les énerve et ils peuvent devenir très retors. Les sources sont la cible d’attaques, des vendeurs de données sont kidnappés et torturés.

Vous avez peur pour votre vie et celle de vos collègues de Bellingcat ?

Non, je n’ai pas peur. Je sais que nous sommes en danger. Je peux être tué aujourd’hui. Mais je pense aussi que nos adversaires ont commis l’erreur de faire de nous leurs ennemis explicites. Il va leur être difficile de se cacher s’ils nous tuent. J’aurais bien plus peur s’ils étaient silencieux à notre sujet ! Et je pense que nous les effrayons nous aussi.

On vous accuse parfois d’être des marionnettes du MI6 ou de la CIA. Que pensez-vous de ces accusations, et que répondez-vous ?

Ça n’a pas de sens. Tout d’abord les services secrets détestent rendre des données publiques, c’est une perte d’influence et de contrôle pour eux. Leur but est d’en savoir plus que les autres, afin d’avoir un plus gros budget l’année suivante. Si vraiment nous étions en lien avec les services, les sanctions gouvernementales viseraient les bonnes personnes du premier coup, ou alors corrigeraient le tir après nos révélations. Or ce n’est pas le cas. D’autant que nous avons été la cible de nombreuses cyber-attaques, réussies ou non, depuis 2014. S’il y avait quoi que ce soit qui puisse nous relier à une agence occidentale, croyez bien que tout aurait déjà été publié.

Certaines agences de renseignement doivent rêver de travailler avec vous…

Oui, mais notre force est d’en rester le plus loin possible.

L’invasion de l’Ukraine par la Russie a-t-elle modifié vos méthodes, vos conditions de travail, la complexité de vos missions ?

Nous sommes devenus une organisation indésirable en Russie à peu près au même moment, nous forçant à rompre tous liens avec reporters, lanceurs d’alerte et revendeurs de données. Nous ne pouvions pas les mettre en danger plus longtemps. Tout est donc devenu plus compliqué, et en même temps… il y a eu de nombreuses fuites depuis le début de la guerre, avec l’apparition de données qui n’existaient pas jusque-là. C’est dû sans doute au mécontentement d’une partie de la population russe, surtout chez les plus jeunes. Mais il reste très difficile de savoir ce qu’il se passe réellement sur la ligne de front, les deux côtés menant des opérations de propagande. Elles sont de très bonne qualité du côté ukrainien, car faites sur le terrain, par des milliers de personnes. Du côté de la Russie, ce sont des gens, bien moins nombreux, qui s’en occupent dans des bureaux. Soyons encore plus vigilants que par le passé.

Ne passez pas à côté de nos analyses

Pour ne rien rater de l’analyse des médias par nos experts,
abonnez-vous gratuitement aux alertes La Revue des médias.

Retrouvez-nous sur vos réseaux sociaux favoris

À lire également