Tutoriel OSINT: Comment démasquer la désinformation grâce aux métadonnées
On dit qu’une image vaut mille mots, cependant lors de campagnes de désinformation ces mots peuvent être des mensonges. Heureusement il existe un type de données grâce auxquelles les chercheurs en sources ouvertes (et vous !) peuvent déceler cette manipulation de l’information et par conséquent remettre en question le contexte d’une image. Ce sont les métadonnées. Nous allons d’abord voir leur utilité et comment y accéder avant d’analyser un cas pratique issu des tensions en Ukraine où elles ont permis de révéler de la désinformation.
Les métadonnées d’un fichier multimédia (EXIF) peuvent indiquer divers informations comme où et quand l’image ou la vidéo ont été prises, quel type d’appareil a été utilisé et parfois même les coordonnées GPS de cette capture. Certaines métadonnées indiquent aussi si le fichier a été modifié sur des logiciels de montage tels que Photoshop. Toutefois, la plupart des réseaux sociaux effacent les métadonnées des images qui s’y trouvent. On ne peut donc pas voir les métadonnées des photos ou vidéos publiées sur Facebook, Twitter ou Instagram.
Il existe de nombreux logiciels gratuits en ligne qui permettent d’extraire les métadonnées d’un fichier ou de l’URL d’une image, comme par exemple Jeffrey’s Image Metadata Viewer ou EXIFdata.
Pour extraire les métadonnées d’une image en ligne il suffit de faire un clique droit dessus, de sélectionner “Ouvrir l’image dans un nouvel onglet”, puis de copier l’URL de l’onglet que l’on viendra coller dans la barre à cet effet sur le site Jeffrey’s Image Metadata Viewer (Figure 1, flèche bleue). Pour extraire les métadonnées d’un fichier multimédia déjà téléchargé, cliquez sur “choisir le fichier” (Figure 1, flèche rouge), puis sélectionnez le fichier de votre choix parmi vos dossiers. Ensuite, dans un cas comme dans l’autre il faudra compléter le CAPTCHA, ce qui permettra de cliquer sur “View Image Data” (Figure 1, flèche verte).
On peut lire en Figure 2 le résultat pour le cas du Donetsk que nous allons voir ci-dessous. On y trouve la date de création (Figure 2, flèche bleue), l’outils d’édition utilisé (Figure 2, flèche rouge) et le système d’exploitation (Figure 2, flèche verte).
Pour les utilisateurs les plus avancés, il est également possible d’obtenir ces mêmes données grâce à un outil en ligne de commande nommé ExifTool (Figure 3). Retrouvez ici le tutoriel d’utilisation de cet utilitaire.
Maintenant que nous savons comment accéder aux métadonnées, un cas pratique va nous permettre de comprendre leur importance.
Depuis plusieurs semaines, l’est de l’Ukraine est en proie à de fortes tensions qui opposent le gouvernement ukrainien d’un côté et de l’autre les régions séparatistes de Donetsk et de Lougansk. Ces deux républiques autoproclamées bénéficient du soutien rapproché de la Russie.
Les accords de Minsk de 2015 avaient instauré un cessez-le-feu dans la région mais il a récemment été enfreint à plusieurs reprises par les deux camps. En effet, le vendredi 18 février les autorités séparatistes de Donetsk et de Lougansk ont annoncé qu’elles avaient subi le jour même une attaque et un sabotage ukrainiens. Les deux régions séparatistes ont répondu en initiant l’évacuation de leur population vers la région russe de Rostov.
Les annonces vidéo de l’évacuation du Donbass ont été diffusées sur des chaînes Telegram. Ainsi la vidéo d’annonce de Denis Pouchiline, dirigeant de la région de Donetsk, a été publiée sur sa chaîne @pushilindenis le 18 février à 16h04 heure locale. De même la vidéo où Léonid Passetchnik, dirigeant de la région de Lougansk, annonce l’évacuation de sa région a été publiée une heure plus tard sur la chaîne du Centre d’Information de Lougansk @LIC_LR.
À l’inverse des autres réseaux sociaux et applications de messagerie, Telegram n’efface pas les métadonnées des fichiers multimédias partagés sur sa plateforme. De nombreux chercheurs en sources ouvertes se sont donc empressés de vérifier les métadonnées de ces messages qui marquent une montée significative des tensions dans la région. L’extraction des métadonnées des deux vidéos a montré qu’elles ont toutes deux été créées le 16 février, soit deux jours avant les supposées attaques ukrainiennes qui motivaient l’évacuation.
Ces simples données ont ainsi révélé que les régions du Lougansk et du Donetsk allaient être évacuées quoi qu’il arrive deux jours avant la publication des annonces et que l’attaque ukrainienne n’a potentiellement jamais eu lieu ou était un coup monté.
Sur Twitter @olya_sydii et @krystoferivanov ont partagé cette découverte dans un thread publié le jour même ainsi qu’une vidéo montrant exactement comment accéder à ces métadonnées depuis un ordinateur équipé de Windows (Figure 4). L’interface est en Ukrainien mais on peut traduire la procédure de la manière suivante:
- Clique droit sur la vidéo;
- Sélectionnez “Save as” pour la télécharger ;
- Dans vos documents, clique droit sur la vidéo; sélectionnez “Propriétés” ;
- Dans la fenêtre des propriétés, sélectionnez l’onglet “Détails” ;
- La ligne “Média créé” vous indique la date de création de la vidéo.
Par conséquent les métadonnées sont des informations facilement accessibles qui permettent d’obtenir plus d’indications sur les médias qui nous sont présentés. Cependant il faut les examiner d’un œil critique car elles peuvent être éditées. Les métadonnées restent toutefois des informations importantes pour la recherche en sources ouvertes et elles sont à la portée de tous pour vérifier la véracité des informations consultées au quotidien.