Le 6 mai 2025, VIGINUM a levé le voile sur Storm-1516 — le mode opératoire informationnel le plus sophistiqué jamais documenté par les services français. 77 opérations de désinformation entre août 2023 et mars 2025. Deepfakes, faux documents, sites clonés. Objectif : miner le soutien occidental à l’Ukraine et déstabiliser les démocraties européennes. Mais ce n’est que la partie émergée de l’iceberg. Derrière Storm-1516 se cache un écosystème industriel de manipulation de l’information que nous allons décrypter — et vous apprendre à détecter.
L’écosystème de désinformation russe : les trois piliers
Storm-1516 : le bras armé du GRU
Storm-1516 n’est pas un groupe de hackers improvisés. Selon le rapport VIGINUM, ce mode opératoire est directement orchestré par le renseignement militaire russe (GRU), et plus précisément par l’unité 29155.
Entre août 2023 et mars 2025, VIGINUM a documenté :
| Métrique | Chiffre | Détail |
|---|---|---|
| Opérations documentées | 77 | Dont 42 ciblant des personnalités occidentales ou l’opposition russe |
| Élections ciblées | 4 | Européennes 2024, législatives FR 2024, présidentielle US 2024, fédérales DE 2025 |
| Pays visés | Multiples | France, Allemagne, UK, USA, Ukraine principalement |
Les cibles principales :
- L’Ukraine et Zelensky : accusations de corruption, détournement d’aide, recrutement de terroristes
- L’opposition russe en exil : décrédibilisation systématique
- Les dirigeants occidentaux : campagnes de dénigrement personnalisées
- Les processus électoraux : interférence documentée dans 4 scrutins majeurs
La Social Design Agency : l’usine à fake news
Si Storm-1516 est le bras armé, la Social Design Agency (SDA) est l’usine de production. Dirigée par Ilya Gambashidze — un Ukrainien né à Kiev, exilé en Russie — cette structure a été sanctionnée par les États-Unis, l’Union européenne et le Royaume-Uni.
Les chiffres sont vertigineux :
| Période | Production | Type de contenus |
|---|---|---|
| Janvier 2023 – Avril 2024 | ~140 000 contenus | Articles IA, mèmes, vidéos manipulées, deepfakes |
| Janvier – Avril 2024 | 39 899 contenus | 30 000+ posts, 4 600+ vidéos/mèmes, 1 500 articles |
| Impact revendiqué | 10 milliards | Points de contact avec l’audience mondiale |
| Commentaires générés | 57 millions | Automatisés et manuels combinés |
La SDA se félicite d’avoir créé un mème dénigrant Zelensky qui a été partagé par Elon Musk lui-même — 86 000 partages.
« La logique n’est pas fondée sur la crédibilité des contenus produits, mais sur l’empreinte médiatique laissée. Même un fact-checking est perçu comme une victoire, car il prolonge la visibilité du récit initial. »
— Ministère des Armées, Analyse SDA
Portal Kombat / Pravda Network : le réseau d’amplification
Le troisième pilier est le réseau Portal Kombat (aussi appelé Pravda.network), identifié par VIGINUM dès février 2024. Son échelle dépasse l’entendement :
| Métrique | Chiffre 2024 | Évolution 2025 |
|---|---|---|
| Sites web | ~150 domaines | 193+ sites actifs |
| Articles générés (2024) | 3,6 millions | +1 million (jan-avril 2025) |
| Vues cumulées (5 infox) | N/A | 55 millions (jan-avril 2025) |
| Pays ciblés | 12 | 49 pays, 50+ langues |
Le réseau comprend :
- Écosystème historique (depuis 2013) : ~150 sites ciblant Russie et Ukraine
- Écosystème -news.ru (depuis 2022) : 41 sites ciblant l’Ukraine russophone
- Écosystème Pravda (depuis juin 2023) : pravda-fr.com, pravda-de.com, pravda-en.com, etc.
Le mode opératoire : de la fabrication à la viralité
Étape 1 : Création du contenu
Storm-1516 utilise un arsenal diversifié de formats :
- Montages photo et vidéo : manipulation d’images réelles
- Faux reportages : imitation du style journalistique
- Deepfakes audio et vidéo : générés par IA générative
- Faux documents officiels : ordres militaires, rapports gouvernementaux falsifiés
- Vidéos avec acteurs amateurs : témoignages fabriqués
Exemple réel (26 janvier 2025) : Une vidéo prétendument publiée par le groupe djihadiste Hayat Tahrir al-Cham menaçait d’incendier Notre-Dame si la France ne libérait pas l’auteur de l’attentat de Nice. Totalement fabriquée.
Exemple réel (5 février 2025) : Une vidéo truquée affirmant que Zelensky avait racheté le « Nid d’Aigle » d’Hitler. Deepfake.
Étape 2 : Diffusion initiale (le « seeding »)
VIGINUM a identifié un processus quasi-professionnel :
- Comptes « jetables » : Première publication via des comptes anonymes créés pour l’occasion
- Comptes tiers rémunérés : Paiement d’influenceurs ou de comptes établis
- Réseau CopyCop : 293 sites liés techniquement, servant de relais initial
Parmi les acteurs identifiés : John Mark Dougan, un ancien policier américain exilé en Russie, directement payé par la SDA.
Étape 3 : « Blanchiment » de l’information
Les contenus sont ensuite repris par des médias de blanchiment — principalement implantés en Afrique et au Moyen-Orient — que VIGINUM estime « rémunérés par les opérateurs » de Storm-1516.
Ces sites donnent une apparence de légitimité aux faux contenus, qui peuvent alors être cités comme « sources » par d’autres médias.
Étape 4 : Amplification massive
VIGINUM a identifié 7 méthodes d’amplification distinctes :
- Comptes de médias d’État russes (RT, Sputnik)
- Comptes d’ambassades russes
- Réseaux d’autres opérations (Portal Kombat, RRN/Doppelgänger)
- Bots automatisés sur les réseaux sociaux
- Groupes dormants réactivés sur Telegram/VK
- Reprise « opportuniste ou inconsciente » par des médias légitimes
- Commentaires de masse sous les posts de médias et fact-checkers
Storm-1516 — Mode opératoire (rapport VIGINUM 2025) :
Mode opératoire informationnel russe orchestré par le GRU, responsable de 77 opérations entre août 2023 et mars 2025. Processus en 4 étapes : (1) création de contenus (deepfakes, faux documents, vidéos manipulées) ; (2) diffusion initiale via comptes jetables ou tiers rémunérés ; (3) blanchiment via médias complaisants en Afrique/Moyen-Orient ; (4) amplification via médias d’État, bots et reprises opportunistes. Cibles principales : Ukraine, dirigeants occidentaux, processus électoraux.
— VIGINUM/SGDSN, Rapport Storm-1516, mai 2025
La nouvelle menace : le « LLM Grooming »
Quand la désinformation infecte l’IA
En mars 2025, NewsGuard a révélé une dimension nouvelle et terrifiante de Portal Kombat : le réseau n’était pas seulement conçu pour tromper les humains — il visait à contaminer les bases d’entraînement des IA.
L’American Sunlight Project a baptisé cette tactique le « LLM Grooming » (conditionnement des grands modèles de langage).
Les résultats sont alarmants :
| Chatbot testé | Taux de répétition de la désinformation russe |
|---|---|
| Moyenne des 10 principaux chatbots | 33% des cas |
| Narratifs John Mark Dougan | 32% de citation |
| Fausses affirmations identifiées | 207 claims provablement faux |
Les chatbots testés incluent ChatGPT-4o, Microsoft Copilot, Claude d’Anthropic, Gemini de Google, Perplexity, Grok, et d’autres.
« En saturant les données d’entraînement de l’IA avec des jetons de désinformation, les opérations d’influence étrangère augmentent la probabilité que les modèles d’IA génèrent, citent et renforcent ces récits faux. »
— NewsGuard, Rapport Pravda Network, mars 2025
Pourquoi c’est grave
- Les utilisateurs font confiance aux IA : Ils les perçoivent comme plus neutres que les réseaux sociaux
- L’anthropomorphisme : Converser avec un chatbot ressemble à parler à un humain, ce qui renforce la crédibilité
- L’effet d’échelle : Une fausse information dans un LLM peut être répétée des millions de fois
Le concept ELMARQ : La Matrice de Détection FALSO™
Face à cette industrialisation de la désinformation, nous avons développé chez ELMARQ un cadre de détection que nous appelons la Matrice FALSO™.
Ce modèle s’appuie sur les caractéristiques techniques identifiées par VIGINUM, les services de renseignement et les chercheurs indépendants.
F — Format suspect
Les contenus de désinformation présentent souvent des anomalies de format :
- Deepfakes vidéo :
- Clignements d’yeux anormaux (trop rares ou trop réguliers)
- Bords flous autour du visage
- Désynchronisation lèvres/son
- Arrière-plan incohérent ou figé
- Texture de peau trop lisse ou trop uniforme
- Faux documents :
- Typographie incohérente
- Logos légèrement déformés
- Numéros de référence inventés
- Articles générés par IA :
- Phrases en cyrillique ou mal traduites (observé sur pravda-fr.com)
- Style homogène mais contenu contradictoire
- Absence de citations vérifiables
Outils de détection : Intel FakeCatcher (96% de précision), Reality Defender, Sensity AI (+900 000 incidents identifiés en 2025)
A — Amplification anormale
Un contenu de désinformation se propage différemment d’une information légitime :
- Viralité instantanée : Des milliers de partages en quelques heures sans source identifiable
- Commentaires de masse : Vagues de commentaires similaires sous les posts de médias légitimes (tactique « Matriochka »)
- Comptes relais suspects : Comptes créés récemment, activité anormalement élevée, noms génériques
- Coordination visible : Mêmes formulations dans plusieurs langues au même moment
L — Lacunes de sourçage
Les contenus de désinformation souffrent systématiquement de :
- Sources anonymes ou invérifiables : « Un officiel qui souhaite rester anonyme », « Des sources proches du dossier »
- Sites de blanchiment : Médias inconnus en Afrique, Moyen-Orient, Asie (liste VIGINUM disponible)
- Absence de confirmation croisée : Aucun média légitime ne reprend l’information
- Documents sans métadonnées : PDF sans auteur, date de création suspecte
S — Schéma narratif récurrent
Storm-1516 et la SDA utilisent des narratifs prévisibles :
| Cible | Narratifs types |
|---|---|
| Ukraine/Zelensky | Corruption, détournement d’aide, nazis, recrutement de terroristes, luxe ostentatoire |
| Occident | Déclin, hypocrisie, laboratoires secrets, manipulation des élections |
| Personnalités | Scandales sexuels, enrichissement illégal, liens avec l’extrême droite |
| France | Échec au Sahel, problèmes sociaux, JO catastrophiques, soutien à l’Ukraine coûteux |
O — Origine douteuse
Vérifier l’origine technique du contenu :
- Domaine du site : Les sites Portal Kombat utilisent des patterns identifiables (-news.ru, pravda-xx.com, news-pravda.com)
- Date de création du domaine : Sites créés récemment avant des événements majeurs
- Hébergement : Souvent en Russie ou dans des pays à faible coopération judiciaire
- Whois : Informations masquées ou fictives
La Matrice de Détection FALSO™ (concept ELMARQ) :
Cadre de détection de la désinformation en 5 critères : (F) Format suspect — anomalies deepfakes, documents falsifiés, traductions approximatives ; (A) Amplification anormale — viralité instantanée, commentaires de masse, comptes relais ; (L) Lacunes de sourçage — sources anonymes, médias de blanchiment, absence de confirmation ; (S) Schéma narratif récurrent — anti-Ukraine, anti-Occident, scandales personnels ; (O) Origine douteuse — domaines suspects, hébergement russe, création récente. Appliquer ces 5 filtres permet d’identifier la majorité des contenus issus des opérations Storm-1516, SDA et Portal Kombat.
— ELMARQ, Guide de résilience informationnelle, 2026
Les 7 réflexes de protection
Pour les citoyens
1. Ne jamais partager sans vérifier
Face à un contenu choquant ou « trop beau pour être vrai », appliquer la règle des 24h : attendre et chercher des confirmations.
2. Remonter à la source
Un article cite un « rapport officiel » ? Cherchez ce rapport sur le site officiel de l’institution concernée.
3. Utiliser les outils de vérification
- Recherche d’image inversée (Google Images, TinEye)
- Vérification de vidéo (InVID, YouTube DataViewer)
- Fact-checkers français (Les Décodeurs, CheckNews, AFP Factuel)
4. Se méfier des émotions fortes
La désinformation est conçue pour provoquer indignation, peur ou colère. Ces émotions désactivent l’esprit critique.
Pour les entreprises et institutions
5. Former les équipes
Sensibiliser collaborateurs et dirigeants aux techniques de désinformation. Les attaques réputationnelles peuvent cibler n’importe quelle organisation.
6. Monitorer sa e-réputation
Détecter rapidement les faux contenus vous concernant avant qu’ils ne se propagent.
7. Préparer une cellule de crise
Avoir un protocole de réponse en cas d’attaque informationnelle : détection, qualification, réponse, communication.
Ce que la France fait pour se défendre
L’arsenal institutionnel
- VIGINUM : Service de vigilance et protection contre les ingérences numériques étrangères (SGDSN)
- Ministère des Armées : Cellule de lutte contre la désinformation, exercices « Capture The Flag »
- Triangle de Weimar : Mécanisme d’alerte France-Allemagne-Pologne depuis février 2024
- Commission sénatoriale : Enquête sur les ingérences informationnelles
Les sanctions prises
La France, l’UE, les USA et le UK ont sanctionné :
- Ilya Gambashidze : Fondateur de la Social Design Agency
- Nikolai Tupikin : CEO de Structura
- Andrey Perla : Directeur de projet SDA
- Social Design Agency et Structura : Gel des avoirs
Ce que les dirigeants doivent retenir
Les 5 vérités de la guerre informationnelle
1. C’est industriel, pas artisanal
140 000 contenus en 18 mois. 3,6 millions d’articles. Ce n’est pas du bricolage — c’est une usine.
2. Les LLM sont contaminés
33% des réponses des chatbots répètent des narratifs russes. Vos équipes qui utilisent ChatGPT peuvent être exposées.
3. Le fact-checking est insuffisant
Les opérateurs considèrent un démenti comme une victoire : il prolonge la visibilité du récit.
4. Les élections sont des cibles prioritaires
4 scrutins majeurs ciblés en 18 mois. Les municipales et présidentielles françaises seront visées.
5. La résilience est collective
Citoyens, médias, plateformes, institutions : tout le monde doit jouer son rôle.
La question à se poser
« Sur les 5 critères de la Matrice FALSO — Format, Amplification, Lacunes, Schéma, Origine — avons-nous les outils pour détecter une attaque informationnelle contre notre organisation ? »
Le mot de la fin
La désinformation n’est plus un bruit de fond. C’est une arme stratégique permanente.
La question n’est pas « Serons-nous ciblés ? » mais « Quand serons-nous ciblés ? »
Et surtout : « Serons-nous prêts ? »
C’est exactement ce que la Matrice FALSO™ vous permet d’évaluer — et de renforcer.