1. Contexte et Origine de l'Investigation
L’investigation commence en septembre 2024, avec la diffusion sur plusieurs comptes spécialisés dans la cybersécurité ou dans l’actualité des nouvelles technologies d’une vidéo montrant des dizaines de smartphones disposés en “batterie” sur un mur. La vidéo est rapidement relayée sur les réseaux sociaux, souvent accompagnée d’informations fausses ou partielles, comme des affirmations incorrectes la situant en Chine.
Notre premier travail a donc été d’authentifier cette vidéo et d’identifier l’entreprise derrière cette vidéo. Nous avons analysé les éléments présents dans cette vidéo pour confirmer. Sur le t-shirt de l’opérateur visible dans la vidéo, on distingue bien le logo et le nom de l’entreprise Min Software. Sur les différents réseaux sociaux de l’entreprise, on peut voir que les locaux présentés dans la vidéo sont bien ceux de l’entreprise. Enfin, nous avons trouvé les réseaux sociaux des employés de l’entreprise vietnamienne et notamment le compte Facebook du responsable marketing. Il indique que cette vidéo est la sienne dans une publication du 30 juin et s'enorgueillit du fait qu’elle a été republiée par des occidentaux un peu partout dans le monde. En commentaire de cette publication, il poste même une capture d’écran de l’intérieur de son téléphone afin de prouver que la vidéo originale est bien à lui.
Information confirmée par Reuters, qui dans un article le 15 juillet 2024 indiquait que la vidéo se situe bien au Vietnam dans les locaux de l’entreprise Min Software (https://www.reuters.com/fact-check/video-does-not-show-bot-farm-china-2024-07-15)/. L’agence de presse se base sur un communiqué de Min Software daté du 30 juin 2024 indiquant que l’entreprise est bien à l’origine de la vidéo et regrette qu’elle soit partagée et accompagnée de descriptions erronées.
2. Organisation et fonctionnement des Phone farms
Si l’entreprise se présente comme une simple “entreprise marketing”, nous avons très vite découvert qu’elle proposait principalement des services pour manipuler les réseaux sociaux et non, seulement, “des solutions d'automatisation” comme elle le prétend. En effet, ce que nous avons désigné, dans un souci de clarté, comme “Min Software” est un groupe organisé possédant plusieurs filiales et activités :
- Min Software désigne principalement la vente de logiciels d’automatisation pour les différents réseaux sociaux comme Instagram, Facebook ou TikTok. Certains de ces logiciels s’appellent également Max Care. Ces logiciels permettent de gérer des milliers de comptes en même temps afin de liker des publications, de commenter ou même d’envoyer des messages privés en masse ou de résoudre les Captcha automatiquement. Ces logiciels servent également d’émulateurs pour afficher sur un ordinateur les écrans des téléphones. Des activités prohibées par les plateformes.
- Max Phonefarm désigne la vente de matériel permettant d’installer une phone farm à domicile. L’entreprise vend ainsi des racks remplis de téléphones vidés de leur écran à des clients partout dans le monde. Plusieurs experts nous ont indiqué que les téléphones sont vidés de leur écran et de leur batterie pour éviter un risque de surchauffe mais aussi pour limiter au maximum la consommation d’électricité.
- Min Proxy désigne la vente de proxy qui permet de contourner les restrictions des plateformes en attribuant une adresse IP différente à chaque téléphone.
- Min Social ou Min Media désigne la vente de likes, de commentaires, de vues ou des followers. Ce sont les téléphones de Min ou de leurs associés qui répondent automatiquement à des commandes de clients comme nous l’avons fait avec la vidéo du chat Chouquette. Les plateformes luttent activement contre ces pratiques, provoquant régulièrement l'interruption des services de Min.
3. Défis Linguistiques et Recherche Multilingue
Un des défis de cette enquête a été de traiter la profusion d'informations en vietnamien à disposition sur les réseaux sociaux de l’entreprise. En effet, nous avons identifié près d’une quarantaine de comptes liés à Min Software sur différentes plateformes, qu’il s’agisse de pages officielles ou de profils d’employés de l’entreprise. Chacun de ces comptes partage en moyenne de deux à trois posts par jour et ce, depuis près de 3 ans.
Grâce à des outils de traduction disponibles en ligne, nous avons pu comprendre plusieurs éléments :
- Les captures d’écran des logiciels nous ont permis de comprendre le fonctionnement de ces outils, notamment les ordres donnés aux téléphones.
- Les photos des locaux nous ont permis d’identifier des clients venus du monde entier notamment du Cambodge, de Grèce ou de Biélorussie. Selon le photographe Jack Latham, qui a été sur place, certains clients seraient même allemands ou français.
- Les vidéos “tutoriels” nous ont permis de comprendre le fonctionnement d’une phone farm. Notamment, le fait que l’entreprise utilise de vrais téléphones pour éviter le contrôle des plateformes ou que les téléphones disposés sur les murs sont avant tout des modèles d’exposition à destination de leurs clients.
Pour confirmer ce que nous avions compris avec des outils de traduction parfois lacunaires avec la langue vietnamienne, nous avons fait appel une traductrice. Pour nous expliquer les termes informatiques et les terminologies très techniques propres à l’économie des phone farms, nous avons fait appel à plusieurs experts, parmi eux :
- Dang Nguyen, une chercheuse australienne à l’Institut royal de technologie de Melbourne d’origine vietnamienne qui travaille actuellement sur les phone farms au Vietnam et sur leurs implications sociales et sociétales.
- Ngô Minh Hiếu, un ancien hacker, connu pour avoir volé les données personnelles de millions d’américains avant d’être arrêté en 2013. Après avoir purgé une peine de sept ans, il est aujourd’hui expert en cybersécurité et consultant sur les problématiques de cybercriminalité auprès du gouvernement vietnamien. Il nous a permis, notamment, de comprendre comment l’économie des fermes de téléphones est profondément liée à l’économie du hacking.
- Jack Latham, un photographe et artiste gallois qui a photographié de nombreuses fermes de téléphones au Vietnam dont Min Software et en a fait un livre Beggar's Honey sorti en 2023.
Ces interlocuteurs nous ont également confirmé que l’économie des fermes de téléphones est florissante au Vietnam mais aussi dans d’autres pays d’Asie comme l’Indonésie, la Thaïlande, l’Inde ou le Bangladesh. En Chine, ces structures seraient encore plus vastes, mais le repli du pays depuis la crise du Covid-19 et l’isolement de son internet ont déplacé une partie de l'industrie vers ces pays voisins qui profitent des technologies chinoises.
4. Analyse des Comptes Utilisés
Les comptes utilisés par Min Software nous ont mis sur la piste des comptes piratés et des comptes créés de toutes pièces. Nous avons tenté de contacter les comptes qui apparaissent dans les captures d’écran de leurs logiciels. Ces comptes avaient l’air faux pour plusieurs raisons différentes. On y trouvait :
- Des publications répétitives comme des vidéos publiées chaque jour sur un profil TikTok pendant des semaines
- Pas ou peu d'interactions sur les profils après une certaine date.
- Des comptes avec des noms affichés vietnamiens ou occidentaux mais avec des noms d’utilisateur (les “@” non modifiables) philippins ou indonésiens.
D’après les captures d’écran de leur logiciel, nous avons même pu voir qu’une page Facebook gérée par Min appartenait à l’origine à une clown polonaise et que Min gérait la page à l’aide d’un profil volé à une dame aux Philippines.
4. L’achat/vente de comptes
En discutant avec nos différents interlocuteurs et en s’introduisant dans les groupes Facebook et chaînes Telegram liés à l’économie des phone farms, nous avons découvert un terme très utilisé au Vietnam : MMO pour Make Money Online. Ce terme recouvre une grande variété d’activités liées à internet qui flirtent bien souvent avec l’illégalité. Des activités facilitées par un internet et une électricité peu chers.
Parmi ces activités, nous avons découvert notamment le marché des faux profils dont ont besoin les fermes de téléphone, les hackers et bien d’autres acteurs de cette économie parallèle. Le MMO repose sur des acteurs spécialisés dans des domaines très précis.
C’est grâce à ce terme et à nos discussions avec des experts que nous avons découvert la terminologie des faux comptes au Vietnam :
- Clone pour les comptes créés de toutes pièces qui imitent ou non des utilisateurs déjà existants en volant tout leur contenu, d’où l’un des intérêts de passer ses comptes personnels en “privé”.
- Les comptes piratés souvent appelés VIA, il n’est jamais fait mention de piratage ou d’hacking lorsque ces comptes sont mentionnés mais simplement de comptes “très authentiques”, de comptes avec “un historique d’utilisation” ou de “2FA” donc des comptes avec deux facteurs d’authentification. Ces comptes sont souvent volés à des utilisateurs bien réels et des hackers vietnamiens ont même fait du vol de compte leur spécialité, notamment en récupérant les cookies des utilisateurs ou réclamant auprès de Facebook des groupes ou pages inactifs.
Nous avons également enquêté pendant de longues semaines sur des forums d’hacking comme blackhatworld.com mais aussi sur des forums Reddit (comme ici un utilisateur expliquant en commentaire ce que sont les clones : https://www.reddit.com/r/VietNam/comments/1b9qki3/is_this_for_reallife_vietnamese_click_farm/) pour comprendre cet univers, sa terminologie et ses acteurs.
4. Les comptes volés
C’est en enquêtant sur cette économie parallèle que nous avons trouvé le compte volé à une utilisatrice américaine. Cet homme au Vietnam ne fait pas que vendre des publicités, il vend des comptes Business Manager qui permettent de diffuser des pubs sur la plateforme Meta. Ces comptes Business Manager sont bien souvent volés à de vrais utilisateurs du monde entier.
C’est un autre domaine d’activité du MMO, lié aux fermes de téléphones puisque ces personnes utilisent parfois des centaines de comptes Business Manager hébergés sur des téléphones et gérés par les mêmes logiciels que ceux des fermes de téléphones.
En regardant dans la liste d’amis de ce compte volé manifestement à une utilisatrice américaine, nous avons trouvé le compte de son mari. Grâce à la liste d’amis de son mari, nous avons trouvé le nouveau compte de cette utilisatrice et sur ce nouveau compte, nous avons trouvé la fameuse publication dans laquelle elle explique s’être fait voler son ancien compte par un homme au Vietnam.
5. Telegram
C’est sur Telegram que les hackers et les vendeurs de faux comptes s’expriment le plus librement. Nous avons trouvé une dizaine de chaînes liées à cette économie sur la messagerie numérique. La première question était de savoir si ces chaînes de vente n’étaient pas des arnaques. En effet, les acteurs de cette économie sont très méfiants, il n’est pas rare que des hackers piratent d’autres hackers, comme nous l’a affirmé le gérant d’une de ses chaînes.
Pour vérifier si ces comptes étaient des vrais, il suffisait bien souvent de cliquer sur les URL des profils proposés à la vente. Certains comptes avaient été supprimés, d’autres étaient complètement transformés passant d’un utilisateur américain à un utilisateur vietnamien et d’autres avaient finalement été récupéré par les propriétaires légitimes qui indiquaient dans des publications avoir été piratés.
De clic en clic, nous avons découvert la chaîne de vente aux enchères, nous avons pu assister à la vente de plusieurs comptes piratés avec beaucoup d’abonnés. Nous avons signalé aux plateformes à chaque fois que nous le pouvions. La complexité avec cette chaîne Telegram étant que les messages étaient programmés pour disparaître après 24h. Heureusement, nous pouvions exporter “l’historique du chat”, une fonctionnalité proposée par Telegram qui permet de conserver des HTML de la conversation, des fichiers, des photos et des vidéos envoyés en temps réel.
En effectuant un travail de veille, nous avons découvert en direct la vente du compte de Marie s’Infiltre, humoriste française connue notamment pour ses happenings à divers évènements et ses caméras cachés. Le compte intéressait particulièrement les acheteurs car il était lié à un compte Business Manager avec moyen de paiement actif. En d’autres termes, l’acheteur pouvait utiliser le compte pour diffuser des pubs avec l’argent de Marie s’Infiltre.
Un autre détail intéressant pour d'éventuels hackers, ce sont les presque un million de followers de Marie s’Infiltre. Autant de potentielles victimes à pirater en se faisant passer pour l’humoriste. D’après notre traductrice vietnamienne, cette conversation réunissait des acheteurs chinois et vietnamiens. On peut le voir notamment car certains acheteurs ont des noms chinois et enchérissent en utilisant “m” pour million et non “tr”, l’abréviation du mot “triệu”, million en vietnamien.
6. Marie s’Infiltre
Le vendeur a publié les détails de la page de Marie s’Infiltre ce qui nous a permis de contacter le propriétaire de sa page très rapidement. Lorsque nous l’avons eu au téléphone, ce dernier nous a indiqué qu’il recevait depuis près de 24h d’étranges tentatives de connexion à ses comptes Meta.
Pour récupérer son compte, il faut signaler très vite à la plateforme ces demandes de connexion suspectes, effacer ses cookies et son historique de navigation et changer son mot de passe. Autant de conseils que nous avons transmis à la victime. Malheureusement, en effectuant un travail de veille sur la page de Marie s’Infiltre, nous avons pu voir qu’elle publiait d’étranges vidéos parfois publiées, dépubliées puis republiées seulement 24h après la fin des enchères.
Nous avons tenté de percer le mystère derrière ces bandes-annonces de films générés par Intelligence artificielle, sans succès. L’explication la plus plausible à ce jour serait que l’acheteur a tenté de faire ce qu’on appelle de l’engagement farming, c’est à dire générer beaucoup de réactions de la part des abonnés de Marie s’Infiltre pour gagner de l’argent comme expliqué dans un article de 404 media (voir chapitre Sources). C’est un des usages fréquents de ces faux comptes et de ces comptes volés : générer des revenus, notamment via la publicité.
7. La désinformation
Dès le début de l’enquête, nous avons aussi cherché à savoir si ces fermes de téléphones et cette économie des comptes volés très développées au Vietnam étaient liées à des campagnes de désinformation.
Nous avons trouvé des traces du Vietnam dans les Meta Quarterly Adversarial Threat Report qui sont des rapports faisant état des vastes opérations coordonnées ayant été identifiées par l’entreprise sur ces plateformes. C’est grâce à ces différents rapports que nous avons pu trouver des campagnes de désinformations ou de dénigrement liées au Vietnam et aux outils que nous avions identifiés : c’est notamment le cas du Qatar Plot. Nous avons ensuite consulté le rapport très complet de Sohan Dsouza et Marc Owen Jones sorti en juillet 2024. Cette campagne orchestrée sur Facebook, Instagram et X ciblait le Qatar en adaptant son discours selon les pays visé (Des campagnes anti-PSG en France ou anti-Harrods au Royaume-Uni, deux possessions du Qatar).
Les deux chercheurs et Meta ont ainsi trouvé des preuves liant cette opération à une entreprise vietnamienne, LT Media, à travers l'analyse des paiements publicitaires via les outils de transparence de Meta comme la Meta Ad Library. Impossible de savoir qui a commandité cette campagne mais la trace d’une entreprise vietnamienne apparaît à plusieurs reprises sur de nombreuses pages ayant permis de relayer les publications : LT Media, fondé par un certain Le Tinh Lee.
L’analyse de la Meta Ad Library permet par exemple de voir que le compte « Loket Stars 123 - Tiket Emas » est bénéficiaire et payeur de la publicité “Ne financez pas le Qatar” hébergé sur la page du même nom. Un imbroglio de pages, de financeurs et de bénéficiaires qui permet d’affirmer que des pages volées et des logiciels d’automatisation ont été utilisés dans le cadre de cette campagne.
Dernier détail intéressant, Marc Owen Jones nous a fourni les vidéos de la chaîne YouTube de LT Media aujourd’hui supprimée Sur cette chaîne remplie de tutoriels, nous pouvons voir dans certaines vidéos que l’un des logiciels utilisés est celui de Min Software !
Nous avons ensuite cherché dans la presse, nous avons découvert l’article de The Bureau of Investigative Journalism qui évoque cette campagne de désinformation anti-Ukraine au Royaume-Uni avec des faux followers du Vietnam. Selon les précisions de Meta dans cet article, cela “est cohérent avec l'utilisation de tactiques d'engagement inauthentiques pour faire paraître les pages plus populaires qu'elles ne le sont”.
Dans la presse, nous avons également trouvé un exemple en Moldavie où des pages pro-russes étaient à l’origine situées au Vietnam: https://www.wired.com/story/facebook-is-still-letting-russia-interfere-in-politics/ et avons appelé le responsable de cette découverte Andrei Rusu qui travaille pour une ONG Moldave qui lutte contre la désinformation: Watchdog.md.
Le dernier commentaire du sujet trouve son origine dans ce rapport annuel 2024 de la société de cybersécurité Imperva. Il révèle que près de 50 % du trafic Internet provient de sources non humaines. Les robots malveillants, en particulier, représenteraient aujourd'hui près d'un tiers de l'ensemble du trafic. Ces robots "malveillants" recoupent des réalités très diverses (faux comptes, logiciels d'automatisation etc.) mais révèlent l'artificialisation des interactions en ligne: https://www.imperva.com/resources/resource-library/reports/2024-bad-bot-report/
Sources :
- La Australian Strategic Policy Institute a également publié un rapport en 2021 s’intéressant à plusieurs études de cas de fermes de téléphones à travers l’Asie. Ils définissent l’économie des faux likes et des faux commentaires comme du influence-for-hire : https://www.aspi.org.au/report/influence-hire
- Concernant le prix de l’internet et de l’électricité au Vietnam :
- Les différents rapports de Meta qui évoquent le Vietnam et cités dans l’émission que l’on peut retrouver ici car les URLs des rapports ne fonctionnent pas : https://transparency.meta.com/fr-fr/metasecurity/threat-reporting/
- Celui du premier trimestre 2024 évoque Israël et les faux likes et faux commentaires issus du Vietnam.
- Celui du troisième trimestre 2024 évoque des fermes de téléphones au Vietnam et au Bangladesh
- Celui du deuxième trimestre 2023 évoque une campagne d’influence chinoise utilisant des faux followers qui viendraient de fermes de téléphones au Vietnam
- Celui d’Août 2024 s’intéresse au Qatar Plot
- Dans le dernier rapport de 2024, sorti début 2025 : on peut également voir qu’une opération d’influence russe a utilisé des pages basées aux Philippines et au Vietnam