Le dossier et ses éléments : authentifier l’opération du « Wagnergate »

Suite à l’arrestation de 33 mercenaires au Bélarus en juillet 2020, et disposant d’indications que cette arrestation était en fait le résultat de l’interruption d’une opération ukrainienne, Bellingcat a pris la décision de réaliser un documentaire sur les dessous de cette audacieuse tentative d’infiltration.

En août 2020, Bellingcat a ensuite découvert que plusieurs haut-gradés du GUR MOU (le renseignement militaire ukrainien), dont son directeur, ont été suspendus de leurs postes quelques jours à peine après le coup de filet de Minsk.

De manière inhabituelle pour Bellingcat, l’enquête sur le Wagnergate s’appuie sur de nombreuses sources qui ont demandé à ce que leurs noms ne soient pas révélés pour pouvoir parler de sujets classifiés ou, dans le cas des mercenaires russes, pour leur propre sécurité.

Les techniques d’information en sources ouvertes ce sont pendant révélées cruciales pour analyser les éléments fournis par ces sources.

Les anciens membres du GUR MOU

Bellingcat a sollicité deux anciens membres du GUR MOU pour leur demander un entretien dans le cadre du prochain film. Ils ont d’abord refusé, s’appuyant sur des considérations morales, légales, et de sécurité nationale.

Les semaines qui ont suivi ont vu une augmentation de l’intérêt du public pour cette affaire que les médias ukrainiens ont nommée le « Wagnergate ». Cet intérêt a été accompagné par de nombreux narratifs concurrents, dont certains sont apparus comme étant de véritables tentatives de désinformation venant aussi bien de sources russes qu’ukrainiennes.

Les chaînes de propagande russes ont présenté l’opération comme une tentative ratée du renseignement américain pour perturber les relations entre la Russie et le Bélarus. Dans cette version russe des événements, le rôle de l’Ukraine n’est que secondaire et trivial, et l’opération est décrite comme un échec total.

De leur côté, les partis politiques ukrainiens ont exploité l’affaire pour répondre à leurs agendas respectifs. Le Cabinet du président et les parlementaires affiliés ont nié l’implication ukrainienne dans l’opération qu’ils présentent comme une tromperie fomentée par les Russes. Les partis et médias d’opposition ont au contraire affirmé, sans preuve, que l’opération a tout simplement été sabotée par l’entourage du président.

C’est au milieu de cette tempête de désinformation, à l’automne 2020, que les anciens membres du GUR MOU ont finalement donné leur accord à Bellingcat pour parler des détails de l’opération. Pendant plusieurs jours d’entretiens approfondis, initialement réalisés uniquement pour avoir du contexte en raison de la sensibilité légale d’une discussion sur une opération secrète, ils ont fourni un récit détaillé de la chronologie et des préparatifs de la phase active de l’opération d’infiltration.

Enfin, suite à la publication par des médias ukrainiens d’enregistrements audios d’entretiens téléphoniques de recrutement (modifiés pour masquer la voix de « Sergei Petrovitch »), nous avons de nouveau sollicité ces mêmes sources pour leur demander les audios et les documents originaux ainsi que les photos envoyées par e-mail par les mercenaires au cours de leur procédure de recrutement. Nombre de ces documents avaient déjà été publiés. Nous avons ainsi reçu une large quantité de fichiers audios et de documents envoyés par les mercenaires.
En raison du potentiel conflit d’intérêt de la part des officiers du GUR MOU suspendus, les données qu’ils ont fournit nécessitait d’être évaluée et vérifiée avec un regard critique.

Vérifier les images et les fichiers PDF

Chaque dossier d’un mercenaire contenait trois sous-dossiers : les audios, les documents, et les formulaires (optionnels).

Le dossier Documents contenait des fichiers, généralement des copies numérisées ou des photos de documents, envoyés par les aspirants mercenaires. Le dossier Formulaires (бланк) contenait les documents de candidatures remplis à la demande de la CMP MAR.

Chaque document envoyé contenait toujours ses métadonnées originales, dont la date de création et de modification, et même dans certains cas des données de géolocalisation.

La photo de ce formulaire de candidature a été prise avec un Redmi Note 4, selon les métadonnées du fichier. La silhouette du téléphone est visible grâce à l’ombre projetée sur la feuille, et ses dimensions et ses angles arrondis correspondent bien à à un Redmi Note 4 (à droite). Le nom du fichier indique la date du 3 juin 2020 et les métadonnées indiquent la même date. Cette date est également inscrite au niveau de la signature sur le document lui-même. Le fichier est géolocalisée à « Maliivka », une ville située à 10 km de Donetsk, dans l’Est de l’Ukraine où la photo a été prise. L’adresse indiquée sur le dossier de candidature est à Donetsk, mais au cours d’un appel entre « Chaman » et « Sergei Petrovitch », on apprend que le mercenaire réside bien à Makiivka. Ce fichier représente un cas rare où chaque élément peut être corroboré et vérifié par sa correspondance avec d’autres éléments.

Bien que tous les fichiers des mercenaires ne contenaient pas tous le même niveau d’éléments cohérents permettant d’obtenir une vérification aussi solide, il n’existait aucun cas de données incohérentes ou dont il pouvait être prouvé qu’elles étaient inauthentiques dans les fichiers analysés par Bellingcat. Cela inclut les documents contenant les informations les plus fracassantes, alors que ce sont justement ceux-là qui avaient le plus de chances d’avoir été manipulés.

Vérifier les fichiers audios

Les archives que nous avons reçue contenaient 236 fichiers audios se rapportant à 72 mercenaires. Cet échantillon correspondait à 40 % de la totalité des mercenaires ayant transmis leurs informations à la fausse compagnie militaire privée, ainsi qu’à la totalité de ceux qui ont été arrêtés à Minsk par les services de sécurité bélarusses.

Les fichiers audios étaient au format .ogg et quelques uns au format .mp3. Les fichiers .ogg étaient en fait des versions encodés du format produit par le téléchargement des audios via l’application web de Whatsapp.

Les fichiers .ogg ne contenaient que peu de métadonnées, mais ces métadonnées indiquaient bien qu’ils avaient été créés sur WhatsApp. Les caractéristiques des bandes passantes audios des fichiers montrent que « Sergei Petrovitch » les enregistrait grâce à un micro disposé près de lui alors que son interlocuteur parlait sur une ligne téléphonique, ré-enregistrée à travers un haut-parleur. L’enregistrement n’était donc pas réalisé par le téléphone utilisé pour les appels mais par un autre appareil présent dans le bureau de « Sergei Petrovitch », possiblement une application de notes audios sur un autre téléphone, ou même directement comme messages vocaux WhatsApp sur l’autre téléphone. L’encodage du format WhatsApp n’a pas été réalisé à la même date que les appels téléphoniques. En réalité, la plupart des fichiers indiquent une date de modification au 1er juin 2020, ce qui peut s’expliquer par le fait qu’ils ont tous été envoyés et reçus par le premier téléphone via Whatsapp à cette date.

Métadonnées d’un fichier .ogg

Puisque les fichiers ont été ré-encodés, il est impossible d’établir la véritable date d’enregistrement. Il n’existe cependant aucune preuve de modification, de coupe ou de manipulation de ces audios, et la séquence des appels suit un schéma logique. Par exemple, dans les appels de « Chaman », chaque appel (numéroté) suit logiquement l’appel précédent.

Afin de confirmer l’authenticité des appels téléphoniques, Bellingcat a également appelé certains numéros de mercenaires dont les voix étaient connues grâce à la collection des audios. Les numéros ont été identifiés grâce à des applications qui révèlent les détenteurs d’un téléphone grâce à des données en sources ouvertes, grâce à des services d’agrégation comme GlazBoga, des applications de répertoire comme NumBuster ou GetContact, et aussi des applications de messagerie comme Telegram. Cette technique consistant à utiliser de multiples bases de données indépendantes en sources ouvertes dont le contenu est fourni par les utilisateurs a déjà été utilisé pour identifier de nombreux officiers du FSB impliqués dans l’empoisonnement d’Alexei Navalny, en 2020.

L’un des anciens mercenaires que nous avons appelé et qui faisait partie de ceux arrêtés à Minsk a accepté de nous parler et de raconter son histoire, à condition que son nom ne soit pas publié. Cela nous a permis de comparer sa voix avec celles des fichiers audios correspondant à son nom, et la voix et l’intonation étaient en effet identiques. Une comparaison plus exhaustive et sophistiquée n’a pas été jugée nécessaire vu que le mercenaire a également confirmé avoir eu trois appels téléphoniques avec celui qu’il prenait pour « Sergei Petrovitch ».

Vérifier le récit

La version des faits présentée par les anciens officiers du GUR MOU a largement été confirmée grâce à la vérification des appels téléphoniques et des documents collectés. Une autre partie a pu être vérifiée grâce à des faits objectifs disponibles en sources ouvertes.

Par exemple, la nouvelle réservation de billets d’avions pour les mercenaires, d’abord censés partir le 25 juillet puis finalement le 30 juillet 2020, a pu être authentifiée grâce à la base de données en ligne de réservation de Turkish Airlines. Les billets électroniques qui nous ont été fournis par les anciens officiers du GUR MOU contenaient les codes de réservation que chaque client reçoit quand il fait son achat. Ce qui nous a permis de faire une simple vérification sur la base de données en ligne de Turkish Airlines : dans chaque cas le nom complet du client est apparu. Au passage, cela permettait de confirmer la date de réservation (le 15 juillet 2020 pour les premiers billets, et le 24 juillet dans le cas des nouveaux tickets finalement reportés au 30 juillet), confirmant ainsi un peu plus le récit des anciens officiers du GUR MOU.

Capture d’écran des informations de vol comparées à celles disponible sur la base de données de Turskish Airlines.

Une autre partie de leur récit correspondait à celui fourni par les mercenaires que nous avons interrogés. Ils décrivent la même suite d’événements à partir des appels de recrutement – la mort de « Sergei Petrovitch », le changement de destination vers la Syrie et le Liban pour le Venezuela, les circonstances du voyages vers Minsk, y compris l’imprévu à la frontière, la nouvelle réservation des billets d’avion – jusqu’à leur arrestation à Minsk.

La seule partie du récit des anciens officiers du GUR MOU qui n’a pas pu être vérifiée de manière indépendante correspond à la réunion qui aurait eu lieu dans le Cabinet du président où la décision de reporter l’opération aurait été prise. Nous n’avons reçu ni démenti ni confirmation de la part du Cabinet du président ukrainien malgré nos multiples demandes.

Vassili Burba

Vassili Burba, l’ex-directeur du GUR MOU, a refusé de répondre aux questions de Bellingcat concernant les détails opérationnels. Il a cependant confirmé des informations dont Bellingcat disposait déjà grâce aux deux anciens officiers du GUR MOU concernant la réunion dans le Cabinet du président et notamment le report de l’opération. Puisque les deux seuls autres potentiels témoins de la scène, le directeur de Cabinet du président et Ruslan Baranetsky, ont refusé de nous répondre, Burba est la seule source de cette information. Elle n’a été confirmée que par ses deux anciens subordonnés qui ont assuré que Burba les en avaient tenus informés par téléphone juste après la supposée réunion.

Les mercenaires interrogés

Bellingcat a contacté l’un des hommes arrêtés à Minsk, comme expliqué plus haut, et qui est devenu un interlocuteur volontaire pour cette enquête. Il a donné son accord pour un entretien filmé (et anonymisé) à Moscou ainsi qu’à plus de dix entretiens téléphoniques afin de clarifier certains détails. Il a également partagé des documents, dont les billets d’avions et l’acte d’accusation du procureur et de la police bélarusses.

Cet individu nous a mis en relation avec un autre membre du groupe de mercenaires. Mais cette personne était beaucoup moins partante et n’a que peu contribué à l’enquête, fournissant seulement un entretien au sujet des opérations militaires de Wagner. Un troisième, à qui le premier mercenaire avait proposé un entretien filmé, s’est rétracté avant d’arriver devant la caméra et n’a pas pu être interrogé.

La motivation de cette source pour parler à Bellingcat n’est pas totalement claire. Elle peut en partie s’expliquer par son désir de corriger certaines erreurs contenues dans les premiers reportages sur le sujet (en l’occurrence, que les mercenaires capturés n’ont pas tous servis au sein de Wagner, et n’ont pas tous combattu dans le Donbass). Il a aussi expliqué avoir été déçu par Wagner et souhaiter partager son expérience. Il ne peut être exclu que ses motivations soient alignés avec les intérêts de la propagande russe. À la mi-août 2020, les autorités russes fournissent ouvertement un récit selon lequel les mercenaires ont été piégés par une opération d’infiltration lancée par un état étranger, certains médias d’état russes diffusant même des interviews d’anciens mercenaires détenues au Bélarus. La position du Kremlin semble admettre l’échec de ses services de contre-espionnage tout en minimisant la valeur des informations collectées par les renseignements ukrainiens, et attribue l’opération aux renseignements américains.

Ces possibles motivations ont été prises en compte pour vérifier les éléments fournis par le mercenaire. Sa description de la chronologie des événements et les documents qu’il a fourni semblent cohérents avec ceux obtenus grâce aux témoignages des anciens officiers du GUR MOU. Surtout, les billets d’avion ont été vérifiés grâce à la base de données en ligne de la Turkish Airlines. L’acte d’accusation a pu être vérifié grâce au groupe d’hacktivistes Cyber Partisans qui ont eu accès aux bases de données de la police bélarusse et ont pu extraire eux-mêmes un document à la formulation identique.

Un extrait de la base de données criminelles de la police bélarusse fourni par Belarus Cyber Partisans.

Le témoignage de cette source est néanmoins apparu douteux concernant la valeur des renseignements fournis à l’Ukraine, par lui et par les autres mercenaires, ainsi que sa description du professionnalisme des renseignements ukrainiens dans le contexte de cette opération. Il ne décrit en détail qu’un seul appel téléphonique avec « Sergei Petrovitch » au cours duquel aucune information sensible n’aurait été révélée concernant ses états de services, selon lui. Pourtant, Bellingcat a obtenu quatre enregistrements où il parle à son kurator de son rôle au sein du FSB pendant son déploiement dans l’Est de l’Ukraine en 2014.

Il a aussi dénigré la réussite des renseignements ukrainiens qui n’auraient réussi à attirer les mercenaires hors de Russie que grâce à une coïncidence : une autre campagne de recrutement par Rosneft au Venezuela, réelle celle-là, aurait eu lieu au même moment. Les services russes auraient simplement considéré par erreur que l’opération ukrainienne faisait partie de cette procédure légitime de recrutement et donc, selon lui, le succès des Ukrainiens ne serait du qu’à la chance.

Il a également affirmé que presque aucun mercenaire n’avait de réelle expérience du combat ou n’avait commis de crimes dans le Donbass, et que la plupart d’entre eux avaient simplement exagéré leur carrière militaire pour augmenter leurs chances d’être recrutées. Un récit contredit par les éléments fournis par les candidats eux-mêmes (avec des lettres de recommandation de leurs supérieurs et des médailles), et par des éléments découverts indépendamment sur leur rôle dans l’Est dans l’Ukraine.

La contribution de cette source s’est malgré tout révélée utile en fournissant des documents corroborant le récit des anciens officiers du GUR MOU. Elle a aussi révélé un élément inédit jusque là : les services de sécurité russes ont mis les mercenaires en quarantaine pendant deux semaines après leur rapatriement, une période au cours de laquelle ils ont été interrogés pour comprendre le contexte de l’opération ukrainienne.

Des sources du renseignement fournissent des éléments à la Commission d’enquête parlementaire

Deux semaines avant la publication du rapport intérimaire de la Commission d’enquête du Parlement ukrainien, s’intéressant en partie à la même affaire, Bellingcat a été contacté pour vérifier certains documents déclassifiés fournis à la Commission. Deux éléments suggéraient que les services russes ou bélarusses avaient connaissance de l’opération ukrainienne voire l’avaient infiltrée.

Le premier élément

Des données déclassifiées suggéraient que plusieurs mercenaires (qui n’ont finalement pas voyagé avec le premier groupe) avaient contacté le service fédéral de sécurité de la fédération de Russie, le FSB, en mai 2020, puis le renseignement militaire russe, le GRU, révélant des détails sur la campagne de recrutement en cours et exprimant des doutes sur sa légalité.

Cette théorie n’a pas pu être vérifiée ni démentie, car elle ne se basait que sur des éléments classifiés qui n’ont pas été rendus publics. Cependant, le narratif selon lequel au moins un des mercenaires a contacté les services de sécurité est cohérent avec la version des faits fournie par les anciens officiers du GUR MOU qui ont bien décrit le cas d’une recrue insatisfaite menaçant de se plaindre au FSB. Selon ces sources, cela n’a cependant pas conduit à une quelconque intervention des services russes, en partie grâce à l’ancien agent du GUR MOU compromis en Ukraine et recruté pour servir de référent au projet et renforcer sa légitimité.

D’autres candidats ont abandonné la procédure de recrutement bien qu’ils aient été approuvés, dont la cible à haute-valeur Dmitry Grigoryan, ainsi qu’Igor Tarakanov qui avait déjà eu ses billets d’avion et devait partir avec le premier groupe. Il est possible qu’ils aient abandonné à cause de suspicions quant à la légitimité ou la sécurité de l’opération de recrutement.

Le mercenaires interrogé a également déclaré qu’il avait contacté, comme d’autres l’ont potentiellement fait, son « référent » du FSB pour vérifier la légitimité du recrutement, mais qu’on lui aurait répondu que tout était en ordre. De son point de vue, cela s’explique par l’existence d’une autre campagne de recrutement très similaire, et réelle, pour fournir une protection à Rosneft au Venezuela à la même période, ce qui aurait pu mener à la confusion dans le service de contre-espionnage du FSB.

Aucune preuve d’une intervention des services russes pour déjouer l’opération n’a été découverte par Bellingcat, et les informations partagées avec la Commission n’en contenaient pas non plus.

Le deuxième élément

Le deuxième élément suggérait une possible infiltration de l’opération par les services bélarusses. Les documents déclassifiés censés le prouver comportait la supposée véritable identité d’une mercenaire disposant d’un passeport bélarusse, et affirmait qu’il s’agissait d’un agent bélarusse travaillant sous couverture.

Bellingcat, en utilisant des données fournies par Belarusian Cyber Partisans, a pu conclure que ces allégations étaient fausses et en a informé la Commission qui l’a pris en compte dans son rapport.

D’autres fuites d’origine inconnue

Au cours de son enquête, Bellingcat a analysé des documents publiés par des médias russes et ukrainiens qui se sont le plus souvent révélés authentiques.

Cependant, certaines fuites via différents canaux dont Bellingcat a eu connaissance se sont révélées fausses.

Dans un de ces cas, la nature du sujet et des informations suggéraient qu’un faux document avait pu être diffusé par un service de renseignement ukrainien, puisqu’il correspondant en partie à des éléments fournis à la Commission par les renseignements (une explication alternative serait qu’une même source non fiable ait fourni ces données aux renseignements ukrainiens).

Cette fuite anonyme comprenait de supposées preuves que le membre bélarusse du groupe de mercenaires, Andrei Bakounovitch, était en fait quelqu’un d’autre, et fournissait le nom de cette autre personne. (Bellingcat a choisi de ne pas publier ce nom qui appartient à une vraie personne n’ayant rien à voir avec l’affaire). Dans cette hypothèse, Bakounovitch était donc une fausse identité.

Pour le prouver, la source a transmis une photo de cet individu.

Cette « fuite » a pu être écartée comme étant fausse grâce à des informations fournies par le groupe d’hacktivistes Cyber Partisans. Une analyse des identités bélarusses correspondant à Vadim S. a montré que cet individu existe bien mais n’est pas celle dont il est question dans le document qui a fuité. Enfin, selon Cyber Partisans, le numéro d’identité indiqué sur le passeport n’existait pas dans la base de données et ne correspondait pas non plus aux règles concernant la création des documents d’identité au Bélarus.

Enfin, la photo de ce supposé passeport correspondait à celle d’un mercenaire déjà identifié, Pavel Samarin. Les motivations de la source de cette fausse fuite, la façon dont elle a été transmises aux renseignements ukrainiens et pourquoi ne sont pas connues.

Traduction en français par Élie Guckert.