L’OSINT dans l’analyse des conflits armés : le cas de la présence militaire russe en Biélorussie
Depuis avril 2022, des exercices militaires conjoints entre la Russie et la Biélorussie sont en cours, mais leur durée n’a cessé de se prolonger. Dans cet article, nous allons explorer l’application de l’OSINT dans l’analyse de la présence militaire russe en Biélorussie. Nous allons nous intéresser à deux aspects clés : le transport d’armes entre la Russie et les différentes zones d’entraînement, ainsi que les informations laissées en ligne par les soldats russes présents dans ces zones.
Les exercices militaires conjoints entre la Russie et la Biélorussie ont été annoncés pour être temporaire, mais malgré les multiples promesses de les terminer, leur fin a été reportée à plusieurs reprises. Selon le Projet Hajun, une initiative du journaliste biélorusse Anton Motolko, proche de l’opposition, la durée totale de ces exercices a été prolongée de 49 semaines jusqu’à présent, moment où nous écrivons cet article. Ils se poursuivent toujours.
Nous allons présenter plusieurs techniques permettant de collecter des informations pertinentes sur ces entraînements militaires. Comme annoncé précédemment, nous avons traité le cas sous deux axes. Tout d’abord, nous allons traiter du transport d’armes entre la Russie et les zones d’entraînement, puis dans un second temps, nous nous intéresserons aux profils des soldats russes identifiés dans ces zones d’entraînement.
La traque des convois d'armes russes en Biélorussie
Dans un contexte géopolitique sensible, la collecte d’informations précises et fiables est essentielle pour comprendre les enjeux et les conflits en cours. C’est dans ce cadre que nous avons mené une analyse OSINT approfondie sur le transport d’armes par trains entre la Russie et les zones d’entraînement en Biélorussie.
Notre travail a débuté par la mise en place d’une carte interactive qui nous a permis de localiser les différentes vidéos et informations relatives au transport d’armes par trains. L’OSINT appliqué à la géopolitique est avant tout un travail communautaire. Nous avons recueilli ces données auprès des différentes communautés et acteurs de la sphère OSINT, dont Geoconfirmed, Centre for Information Resilience, avec leur initiative Eyes On Russia, et Projet Hajun.
L’authenticité et la fiabilité de ces informations ont été vérifiées avant d’être intégrées à notre carte. Cette carte interactive nous a permis de visualiser clairement les zones où le transport d’armes a été observé et de suivre leur trajectoire.
En complément de ces données, nous avons mené des recherches approfondies sur les réseaux sociaux pour trouver d’autres vidéos non géolocalisées. Grâce à diverses techniques de GEOINT, nous avons réussi à les positionner avec précision sur notre carte interactive.
Sur cette carte, les zones d’entraînement militaire conjoint sont représentées en bleu foncé, tandis que les trains militaires russes géolocalisés sont marqués en rouge. Cette visualisation permet de mettre en évidence les zones où ont lieu les exercices militaires ainsi que les itinéraires empruntés par les trains transportant des armes et des équipements militaires vers ces zones. Cette représentation cartographique est un outil essentiel pour mieux visualiser les mouvements des forces armées russes en Biélorussie.
Largement utilisée dans le cadre de la guerre en Ukraine, aussi bien par les internautes que par les forces militaires, l’exploitation de l’intelligence géospatiale (GEOINT) ou l’intelligence d’imagerie (IMINT) peut apporter de nombreuses informations. Dans les mois précédant le début de l’invasion, de nombreuses images sur les réseaux sociaux montraient des convois de véhicules ou de trains se dirigeant vers la frontière ukrainienne, de plus les images satellites montraient elles aussi un amoncellement d’équipements militaires dans les bases russes à proximité de la frontière, prémices de l’invasion à venir. Encore aujourd’hui les mouvements d’équipement sont largement relayés sur les réseaux sociaux, notamment en Biélorussie. Nous avons choisi deux vidéos pour illustrer différents moyens de géolocaliser un train transportant de l’équipement russe.
Tout d’abord, la description de la vidéo indique que le train va de Minsk à Brest, dans l’ouest du pays. À première vue, cette vidéo semble difficilement exploitable étant donnés son cadrage et la luminosité. Un seul et unique indice va permettre de nous éclairer, le nom de l’arrêt de bus visible brièvement. Dès lors, les recherches vont s’orienter vers les moteurs de recherche, c’est là que le contexte de la vidéo va jouer. En effet, les lettres MOCT désignent une multitude de choses dans les pays russophones, d’où l’importance d’y associer les mots « bus » et « Biélorussie ». Ensuite, il est nécessaire de bien analyser la concordance des résultats de recherche et ne pas partir sur la première venue, c’est après plusieurs liens que l’on tombe sur un itinéraire de bus correspondant à nos recherches, avec un arrêt du nom que l’on cherche, près d’une voie ferrée. On passe ensuite dans la phase de confirmation avec Yandex pour vérifier l’emplacement de visuel.
Dans le cas présent, la description de la vidéo indique le nom d’une gare, Brest-Yuzhny. Le but est de vérifier une information que l’on possède déjà. Cela reste le même principe pour déterminer un emplacement inconnu, à savoir prendre des éléments de repères suffisamment distinctifs de la vidéo pour retrouver et comparer leurs positions sur une imagerie satellite, Street View ou encore une photo. Dans cet exemple, les éléments étaient nombreux (parfois ils se limitent à un simple coin de mur ou quelques arbres), on peut voir la variété d’éléments identifiables : Un pont, une tour, des lignes électriques, un toit, la végétation ou encore la direction des rails, tout cela permettant d’effectivement confirmer la localisation de la vidéo.
L’analyse de la carte révèle la présence de quatre axes principaux entre la Russie et les zones d’entraînement utilisés pour le transport d’armement. Parmi ces axes, nous pouvons clairement identifier la ville de Smolensk en Russie comme un point-clé pour ces acheminements vers les zones d’entraînement en Biélorussie.
Deux lignes ferroviaires partent de Smolensk et sont utilisées pour le transport d’armes vers la Biélorussie. Ces lignes jouent un rôle important dans le mouvement logistique des équipements militaires entre les deux pays.
Cette observation confirme l’importance de la ville de Smolensk dans le déploiement de la présence militaire russe en Biélorussie. En comprenant ces axes de transport, il devient possible de mieux appréhender les flux logistiques et les itinéraires empruntés par les convois militaires russes.
Il convient de souligner que l’identification de ces axes comme point-clé repose sur l’analyse des données disponibles et peut être complétée par d’autres sources d’information. Cependant, ces informations géographiques permettent d’apporter un éclairage important sur les voies utilisées pour le transport d’armes entre la Russie et la Biélorussie, renforçant ainsi notre compréhension de la présence militaire russe dans la région.
Au-delà de la géolocalisation, l’autre information exploitable sur ces vidéos de convois d’équipements est d’identifier quels équipements sont transportés. Sur cette vidéo on peut reconnaitre un véhicule de transport blindé Ural Tornado-U dans sa version avec un poste d’arme sur le toit, un lanceur BM-21 Grad, un transport de troupe de type BTR et enfin un véhicule de commandement blindé R-149MA1, reconnaissable ici à sa forme et à son camouflage.
Identifier les équipements convoyés peut également donner des indications sur « l’état de santé » de l’armement engagé, courant mars des vidéos de tanks T-54 et T-55, construits dans les années 1940-1950, transiter vers l’Ukraine, signe du manque d’équipement plus moderne disponible.
Identifier et distinguer ces véhicules militaires, avec toutes leurs variantes, demande soit beaucoup de temps, soit de solides connaissances militaires, des comptes Twitter s’y sont spécialisés comme « Ukraine Weapon Tracker » ou encore « Oryx« , qui répertorie image à l’appui l’ensemble des équipements terrestres, maritimes, aériens qui sont détruits ou capturés dans les deux camps.
En utilisant d’autres outils, nous avons également pu détecter de l’activité au sein de ces camps d’entraînement. L’un de ces outils est la Global Fire Map de la NASA, qui utilise des données satellitaires pour cartographier les feux de forêts à travers le monde.
La Global Fire Maps est très utile pour détecter l’activité dans les zones d’entraînement militaire. En effet, cet outil développé par la NASA permet de détecter les incendies actifs et les anomalies thermiques, qui peuvent être utilisées pour repérer les lancements de missiles, les combats d’artillerie lourde et les explosions. Il a été initialement développé pour suivre les incendies de forêt, il est de plus en plus utilisé pour suivre l’activité dans les zones de conflit.
Nous avons remarqué que certaines zones d’entraînement militaire présentaient des activités de feux, probablement dû à des explosions d’obus lors d’entrainements, indiquant ainsi la présence de soldats en formation sur le terrain. Cette observation a permis de renforcer nos analyses et de mieux comprendre les activités se déroulant dans ces zones d’entraînement.
Par exemple, en analysant les données de la Global Fire Map, nous avons observé une forte activité dans le camp d’entraînement de Brest entre septembre et octobre 2022. Les informations recueillies suggèrent une augmentation de l’activité militaire dans cette zone.
En revanche, pendant les mois de juillet et août 2022, nous avons détecté une activité plus faible dans le camp d’entraînement de Brest. Cela pourrait indiquer une pause temporaire dans les exercices ou une diminution de l’intensité des opérations militaires à cette période.
Profils des soldats russes en Biélorussie
Pour la suite de notre démonstration, nous avons recalibré notre analyse non plus sur le plan global et stratégique, mais sur le plan individuel par la traque de soldats russes présents en Biélorussie et par l’exploitation de leurs données en ligne.
Notre point de départ dans cette seconde partie de notre enquête a été un outil fais-maison, Geogramint, développé par notre cofondateur Alb310. Cet outil exploite l’API de Telegram et plus particulièrement sa fonction Nearby, qui permet en temps normal de découvrir tous les utilisateurs de cette fonction, présents dans des périmètres prédéfinis autour de soi (500m, 1.000m, 2.000m, …).
Geogramint usurpe les coordonnées GPS rentrées par son utilisateur et permet en temps réel de répertorier ces profils à partir de n’importe quel point dans le monde.
La fonction étant très populaire dans les pays russophones, en ce qu’elle sert entre autres à entrer en contact avec des vendeurs de drogues et des prostituées, elle s’est avérée particulièrement utile en Biélorussie.
Grâce à l’étude du réseau logistique russe, nous avons pu retenir quatre bases militaires biélorusses utilisées par les hommes de Moscou. Nous avons entré les coordonnées GPS sur Geogramint, avons extrait l’ensemble des profils d’utilisateurs identifiés, et avons isolé tous les profils à connotation militaire, regroupés dans la diapositive ci-dessus.
L’individu présenté ci-dessus a ainsi été repéré dans les 500m autour de la base de Lepyel, où il était actif la nuit précédant notre présentation au Forum International de la Cybersécurité. Les données extraites ont permis d’obtenir une photo de deux hommes dont l’un en treillis, un prénom ainsi qu’un pseudo trahissant la composition exacte d’une adresse gmail. Passée dans Epieos, cette adresse e-mail a permis d’obtenir un nom complet en caractères latins, que nous avons translittéré en caractères cyrilliques pour la suite de nos recherches.
À la recherche de ce nom en caractères cyrilliques sur Google, sans balise particulière, les premiers résultats ont déjà permis d’identifier trois réseaux sociaux en son nom. Nous avons pu confirmer le lien entre chacun d’eux et notre utilisateur Telegram par différents biais: notamment par identification faciale et par similarité des localisations (villes voisines).
Sûrs de la pertinence de nos résultats, nous avons ainsi approfondi notre analyse des réseaux sociaux de la cible. Le profil Instagram de son frère les présente, lui et notre sujet, posant notamment en treillis dans une ambiance célébratoire, chacun devant l’emblème d’un corps d’armée russe différent (forces de défense aérienne pour le frère, troupes ferroviaires pour notre sujet).
Forts de cette information, et à l’étude d’autres photos publiées par le frère où notre sujet apparaît, nous relevons un blason en très faible définition sur le treillis de ce dernier. Nous partons donc sur l’internet russe à la recherche de sites amateurs répertoriant les différents régiments et bataillons ainsi que leurs emblèmes, et nous concentrons sur les troupes ferroviaires. Sur ce site internet, nous arrivons ainsi à la conclusion que le 576e bataillon séparé de mécanisation ferroviaire était stationné, cette nuit-là, à Lepyel en Biélorussie.
Nous relevons également à titre accessoire que de son côté, le frère a posé devant des systèmes Buk-M2 et pourrait légitimement en manipuler dans le cadre de son service auprès des forces de défense aérienne. Une veille sur ce type d’individu pourrait permettre de plus rapides enquêtes sur des incidents tel que celui du vol MH17, abattu par l’un de ces missiles en 2014.
Le deuxième sujet que nous avons retenu pour notre présentation est un homme localisé dans les 2000m autour de la base biélorusse d’Obuz-Lesnovsky, cette fois encore la nuit précédant le FIC. L’idée de cette seconde démonstration a simplement été d’exposer la quantité d’informations pouvant être extraites d’une photo de profil en faible résolution: d’une part un blason présentant le drapeau bulgare ainsi que le drapeau russe au sein d’un coeur, supposant l’origine de cet homme, et d’autre part le nom de Kipish apparaissant en cyrillique sur son torse, confirmé ensuite dans son pseudonyme Telegram.
Le dernier sujet retenu était un profil présentant deux hommes en treillis, cette fois arborant le camouflage biélorusse, et identifié dans un rayon de 2000m autour de la base de Lepyel. La recherche du nom extrait par Geogramint, translittéré cette fois du cyrillique au latin, a permis de retrouver un profil Instagram. Sans lien évident, nous avons dû procéder à une analyse approfondie des caractéristiques faciales des deux hommes pour les comparer à celles de l’utilisateur Instagram. Comme bien souvent dans ce genre de situation, c’est la forme de l’oreille, distinctive qui plus est, qui a permis de confirmer que la même personne se trouvait derrière les deux comptes.
L’analyse de ses abonnements a permis d’identifier tout un lot d’autres profils de militaires se suivant les uns les autres, dont un officier manifestement gradé. Un autre de ces profils a même grossièrement procédé à une publication de ses documents militaires, dont l’analyse poussée permettrait à son tour d’identifier le régiment biélorusse stationné ici.
Propos conclusif
C’est ainsi que se conclut notre démonstration, représentative d’intérêts auxquels peut subvenir l’OSINT en temps de guerre ou de crise, autant en ciblant le plan global qu’individuel. Les résultats obtenus amènent naturellement à associer ces techniques au renseignement militaire, mais celles-ci peuvent aussi se révéler – et se révèlent déjà – profondément décisives dans la lutte contre la désinformation ou dans la recherche de preuves de crimes de guerre.
Cette présentation, faite pour la première fois devant le public du FIC, est également pour les fondateurs du Projet Fox la consécration de trois années d’application des techniques de renseignement en sources ouvertes aux crises et aux conflits à travers le globe.