Dans les forums de discussions, les internautes dialoguent, recherchent des conseils, font part de leurs connaissances sur un thème de leur choix.
   
Mais ces discussions inter-personnelles sont parfois loin d’être innocentes. Car ici mieux qu’ailleurs, naissent et prospèrent les rumeurs.
   
Des rumeurs qui sont l’ingrédient inévitable de toute discussion d’amateurs passionnés d’un sujet ? Hmm… Pas si sûr. Derrière une rumeur, se profile presque à coup sûr l’empreinte d’une société concurrente. Exemple.
   
L’affaire est actuelle, et l’action est en justice. Pour des raisons compréhensibles, les noms des protagonistes et ceux des entreprises concernées ne sont pas dévoilés.
   
Dans un forum de discussion publique, un internaute se met à attaquer vivement un produit. Il affirme que ce produit est mauvais. Bientôt, d’autres internautes se joignent à ce concert de reproches et font bloc autour du premier message.
   
Lorsque des utilisateurs du produit incriminé interviennent pour parler au contraire  des qualités du produit concerné, ils sont systématiquement pilonnés : traités d’incompétents ou de naïfs. Humiliés publiquement, ils désertent le forum.
   
Dans le même temps, les détracteurs du produit visé vantent à longueur de temps les mérites d’un produit concurrent. Ces détracteurs et leur leader envahissent littéralement le forum de discussion : leurs interventions représentent la moitié, voire les trois-quarts du nombre des messages du groupe.
   
S’agit-il d’une simple conversation passionnée de la part d’internautes ou bien sommes-nous en présence d’une manœuvre délibérée ?
   
Pour le déterminer, une enquête s’impose. Et grâce aux ressources d’Internet, le tableau de la situation va pouvoir s’éclairer.
   

PREMIERE ETAPE : RECHERCHE SUR L’AUTEUR DES MESSAGES

   
La première étape est d’en savoir plus sur l’auteur principal de l’attaque.
   
Pour cela, le plus simple est d’interroger les archives des forums de discussion sur le nom complet de l’auteur.

La requête sur Google Groups (groups.google.fr ou onglet Groupes, depuis l’interface www.google.fr) — qui contient les archives de tous les messages échangés sur Usenet depuis 1995 et d’une sélection depuis 1981 —  fait ressortir plusieurs centaines de messages.
   
La lecture de chaque message manifeste une constante : l’auteur vante systématiquement le produit concurrent. Jusque là, rien de spécial. L’homme peut tout simplement exprimer sa préférence avec la constance et la ferveur d’un “fan” de ce produit.
   
L’examen des messages archivés va toutefois apporter un sérieux bémol au sens de cette ferveur : en les épluchant un par un, on constate que l’auteur poste des messages à longueur de journée — pas seulement le soir, les week-ends et les jours fériés, mais aussi en pleine semaine —, sans discontinuer, tous les jours, du matin au soir.
   
Ce chronogramme a son importance.
   
Pour avoir autant de temps à consacrer aux interventions sur un forum de discussion, l’homme peut être soit au chômage, soit à la retraite, soit en service commandé.
   
Une lecture minutieuse de tous ses messages s’avère indispensable.
   
En les fouillant un à un, on en trouve plusieurs où l’auteur des attaques signe comme d’habitude de son nom, mais à plusieurs occasions, il a ajouté à sa signature le nom de la société distributrice du produit concurrent qu’il ne cesse de vanter. Les choses prennent alors une autre tournure.
   
Une nouvelle requête est lancée, sur les deux entités : le nom de l’auteur  et celui de la société.
   
Là, les éléments rapportés sont encore plus révélateurs : le nom de l’auteur couplé expressément à celui de la société apparaît à plusieurs reprises. Bien plus, à l’intérieur de certains messages, l’auteur informe publiquement qu’il travaille pour le support technique de cette société concurrente.
   
Désormais, l’affaire est claire : il s’agit d’une manœuvre en concurrence déloyale, destinée à saper la réputation du produit attaqué pour promouvoir le produit concurrent, vendu par la société à laquelle collabore l’auteur des attaques.
   
Une recherche complémentaire sur les sites spécifiques d’organes de presse, invisibles par une recherche via les moteurs classiques, apportera des éléments additionnels pour montrer qu’il s’agit d’une opération organisée.
   
De nombreux sites de presse (Libération, Le Monde, TF1, ZDNet...) offrent en effet à leurs lecteurs des forums de discussion, qui leur permettent de commenter une actualité. Mais ces forums nécessitent souvent une identification préalable, ou peuvent être construits autour d’une banque de données, et ne sont donc pas indexés par les robots des moteurs. Comme ils sont sur le Web, ils ne sont par ailleurs pas pris en compte par Google Groups.
   
La recherche sur les forums des titres de presse montre qu’à chaque fois qu’un article a parlé du produit cible, le même individu s’est introduit sur le forum de discussion du site de presse pour lancer ses attaques : il dénigre le produit et diffame la société qui le commercialise.
   
Les mêmes agissements sont observés notamment sur le site de TF1, qui est très fréquenté. Bien entendu, à aucun moment, l’auteur des messages ne signale qu’il soutient en réalité les intérêts d’une société concurrente. Non, il se fait tantôt passer pour amateur éclairé, tantôt pour un “expert indépendant” ( sic ! ).
   

SECONDE ETAPE : LA RECHERCHE SUR LES “COMPLICES”

   
Mais nous n’arrêtons pas là nos recherches, pour nous intéresser à présent aux “complices” qui entourent l’auteur principal des attaques dans le groupe de discussion.
   
Sont-ils entraînés dans l’opération à leur insu, mûs par leur admiration aveugle pour le leader du groupe ? Y-a-t-il autre chose que ce seul effet moutonnier ?
A voir.
   
Leur cas peut paraître a priori difficile à démêler, car les plus virulents d’entre eux interviennent dans le forum de discussion à l’abri de pseudonymes.
   
Mais ne nous laissons pas décourager par cet apparent obstacle. Cap sur les archives de Usenet, sur le moteur Google, avec une requête formulée sur le pseudonyme@adresse-email donnée par les compères.
   
Epluchage des éléments rapportés. C’est long, mais cela peut rapporter gros ! Car les protagonistes commettent des erreurs.
   
Et… Bonne pioche !
   
Les deux principaux comparses, qui se croyaient protégés par leur anonymat, ont laissé de petites traces qui vont permettre de remonter enfin à leur véritable identité.
   
Ainsi, l’un d’entre eux se fait trahir par ses anciens messages, postés dans d’autres forums de discussion. Un nom apparaît entre parenthèses accolé à son adresse sous pseudonyme. Une recherche spéciale portant sur ce nouvel élément apporte finalement la réponse : nom, prénom, société où il travaille, et coordonnées téléphoniques.
   
Même erreur de la part d’un autre comparse : un nom accolé à l’adresse email, mais aussi, dans le corps de certains de ses messages récents, une information sur le nom du serveur et l’adresse IP à partir desquels ont été émis plusieurs de ses messages.
   
L’en-tête complète de certains des messages comporte les indications précises sur le NNPT-Posting Host : l’adresse IP ou le nom de domaine, à l’intérieur du nom de domaine qui a été utilisé pour poster le message.
   
Une recherche sur l’adresse IP — grâce à Geektools (www.geektools.com/cgi-bin/proxy.cgi), qui interroge les différents serveurs Whois — est fructueuse : en lançant une requête sur les chiffres de l’adresse IP qui étaient inscrits dans de très rares messages, on obtient précisément le nom et l’adresse du propriétaire à qui est affecté le bloc d’adresses, à l’intérieur duquel se trouve notre fameuse IP. Il s’agit ici d’une célèbre institution américaine.
   
Ce serveur est-il le point d’origine ou bien a-t-il seulement servi de passerelle ?
   
C’est une recherche sur le métamoteur Query Server (www.queryserver.com), avec le nom de famille trouvé + le pseudonyme, qui donne la solution. Car là, bingo ! Le métamoteur fouille dans plusieurs moteurs de recherches à la fois, et ramène à la surface une pépite : un fichier identifié par All The Web.
   
Ce fichier contient l’annuaire d’un organisme, qui donne le nom complet, (prénom et nom) et l’adresse e-mail professionnelle de l’individu.
   
L’établissement en question se trouve à l’étranger, aux Etats-Unis, et son serveur dépend de celui de l’institution américaine.
   
Une recherche supplémentaire est lancée, sur le nom de l’organisation professionnelle + le nom trouvé. Rien.
   
Alors, tout bêtement, il faut visiter le site Web de l’établissement professionnel, et fouiller chaque recoin du site. C’est un site très riche, les recherches prennent du temps. Mais en ouvrant chaque page, chaque lien, c’est la récompense : voilà le service où travaille l’énergumène, sa fonction et son numéro de téléphone professionnel.
   
Non contents de cette trouvaille, nous relançons une autre série de requêtes sur Internet, en utilisant les classiques moteurs de recherche. En fouillant bien, il doit être possible de savoir où se trouve le pied-à-terre français de l’homme.
   
Différentes requêtes sont effectuées, en couplant le nom de famille et le pseudonyme. Nous finissons par trouver une page Web personnelle, page disparue mais qui est rapportée grâce à la très précieuse fonction “copie cachée” de Google.  C’est une vieille page, qui date de plus de cinq ans, où l’individu exprime ses opinions politiques. Dans un paragraphe, il cite la ville où il réside.
   
Nouvelle recherche, et voici son numéro de téléphone et son adresse en France. C’est fini, l’individu est “logé”.
   
Reste à cartographier les liens qui unissent entre eux tous ces protagonistes. La recherche lancée avec le moteur Kartoo ne donne rien.
   
Retour à la recherche classique sur différents moteurs de recherche, en indiquant les noms des trois principaux acteurs. Devinez ce que cela a donné ?
   
Bien sûr, un autre enquêteur aurait peut-être effectué une recherche différente, avec une autre méthodologie et d’autres outils.
Mais celle-ci est relativement simple, et elle a porté ses fruits à plusieurs reprises depuis.