De Marseille à Tel-Aviv, sur la piste de la campagne de désinformation contre LFI aux municipales

En enquêtant sur BlackCore, l’entité débusquée par les autorités françaises derrière l’opération d’ingérence contre des candidats insoumis, «Libé» et «Haaretz» ont mis au jour des outils en développement pour campagnes d’influence en ligne. Avant de remonter à deux entreprises basées en Israël.

ParAmaelle Guiton

Publié le 14/05/2026 à 19h15

L’inquiétude était réelle ; la vigilance, déployée à tous les niveaux. Car à vrai dire, dans les sphères régaliennes françaises, nul ne se demandait si la campagne des élections municipales de 2026 serait le théâtre de tentatives d’ingérence étrangère. Mais plutôt d’où elles viendraient, qui elles cibleraient, quand elles se produiraient, et avec quels résultats.

Et tentatives il y eut bien, comme en ont témoigné les bulletins publiés chaque semaine par le Réseau de coordination et de protection des élections (RCPE), mis sur pied fin janvier sous la houlette du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Des campagnes à la «faible» voire «très faible» visibilité ou à l’«audience limitée», certes, mais pas moins révélatrices de volontés de perturber le scrutin. Certaines ont été mises au débit d’écosystèmes liés à la Russie, le réseau Storm-1516 et la mouvance Matrioshka. Et puis, il y eut l’opération de désinformation dirigée contre La France insoumise et ses candidats. La plus significative, même si elle aussi est restée, heureusement, peu visible. Et la plus nébuleuse.

Pour l’heure, nul ne sait qui a voulu la faire advenir, et toutes les pistes sont ouvertes, domestiques ou extérieures : le ou les commanditaires n’ont pas été identifiés, indique à Libération un interlocuteur au sein du Comité opérationnel de lutte contre les manipulations de l’information, qui rassemble les services et les ministères engagés dans la bataille contre les fake news venues de l’étranger. Mais selon nos informations confirmées par plusieurs sources officielles, et comme l’a révélé Reuters mercredi 13 mai, les autorités françaises ont réussi à imputer tout ou partie de l’opération à une mystérieuse entité nommée «BlackCore». L’agence de presse britannique n’a pas pu établir qui se cache derrière cet acteur.

Or les investigations conduites par Libération et le quotidien israélien Haaretz, à partir de l’infrastructure numérique de BlackCore, ont mené vers un ensemble de pages web, liées à deux autres domaines, qui relèvent clairement de l’attirail, en construction, d’un opérateur de campagnes d’influence sur les réseaux sociaux. La piste, qui passe par des serveurs localisés en Israël, au Royaume-Uni ou en Lituanie, aboutit à un nom caché dans du code informatique, celui d’une entreprise basée à Tel-Aviv : Galacticos. Elle-même liée, par son dirigeant et ses actionnaires, à une autre société israélienne de technologie, SNI.

Les personnes, liées à ces deux sociétés ou en relation avec elles, que nous avons sollicitées et qui ont répondu affirment avec la dernière énergie qu’elles n’ont pas le moindre lien avec BlackCore, ni la moindre connaissance de son identité ou de ses activités. Reste que moins de deux heures après nos prises de contact, les sites web que nous avons découverts et qui nous ont menés de BlackCore à Galacticos s’étaient volatilisés.

1. Sites anonymes et faux comptes contre les Insoumis

C’est le Mondequi, le 9 mars, a révélé l’existence d’une campagne dirigée contre La France insoumise et ses candidats, menée à coups de sites web anonymes et de faux comptes sur les réseaux sociaux. La plupart sont aujourd’hui inactifs : après la publication de l’article, le ou les opérateurs se sont empressés de faire le ménage, et quelques faux profils survivants, sur Facebook en particulier, ont récemment disparu. Il reste néanmoins des traces de l’opération, dans la «Wayback Machine» de l’ONG américaine Internet Archive et sur le site archive.today, deux services très populaires d’archivage du Web.

A partir de février, deux candidats en particulier vont être ciblés. Le premier est le prétendant insoumis à la mairie de Marseille, Sébastien Delogu. Il se voit accuser de viol et de violences sur le blog d’une certaine «Sophie», tandis qu’un autre site prétend, pour moquer ses positions propalestiniennes, vendre un calendrier de photos de lui dénudé – manifestement générées par intelligence artificielle – au bénéfice de la population gazaouie. Le second est le Toulousain François Piquemal, objet d’une page web qui dénigre son bilan de conseiller municipal. Un quatrième site, «l’Alternative 2026», sous-titré «pour une France plus musulmane», affirme vouloir aider les «citoyens musulmans» à identifier les candidats à même de représenter leurs «intérêts» – y compris «l’extension de la prière» ou l’«application de la charia» – en listant exclusivement les têtes de liste insoumises.

D’emblée, le caractère manipulatoire et coordonné de l’affaire ne fait aucun doute. Les noms de domaine des quatre sites ont été enregistrés entre le 9 et le 19 février auprès d’un même bureau aux Bahamas. Du 9 au 16 mars, alors que le ou les opérateurs de la campagne nettoyaient leurs traces, trois des sites ont renvoyé vers une même adresse IP – qui identifie un équipement connecté au réseau : autrement dit, ici, vers le même serveur – chez un hébergeur américain ; le quatrième étant associé à une autre IP chez le même hébergeur.

Certaines des images utilisées sur ces sites ont été créées, tout ou partie, à l’aide de l’IA générative de Google, Gemini. La dernière phrase du texte consacré à dénigrer François Piquemal trahit l’usage de ChatGPT : «Si tu veux, je peux aussi te faire une version encore plus courte, une version punch pour réseaux sociaux, ou une version éditoriale plus institutionnelle.» Cette page web a été relayée sur Facebook par des profils qui apparaissaient localisés au Vietnam et/ou renseignés en langue thaïe.

«L’Alternative 2026» a été promue via l’achat d’un «contenu sponsorisé» sur le site de l’agence de presse américaine Associated Press ; un chroniqueur de Sud Radio s’y est laissé prendre. Quant à la mystérieuse «Sophie», dont le blog est rédigé dans un français parfois approximatif, son compte X est suivi par une petite dizaine de profils aux noms français et aux photos, là encore, générées par IA, comme en attestent des doigts surnuméraires ou manquants, des enseignes illisibles, ou une terrasse de café aux abords de la tour Eiffel qui se révèle inexistante. Autre particularité de ces faux comptes : en début d’année, ils ont relayé des messages postés par la branche française d’Elnet, une organisation pro-israélienne qui promeut les liens entre l’Etat hébreu et les pays européens, et est réputée proche du Premier ministre Benyamin Nétanyahou.

Le 12 mars, le RCPE – qui réunit le SGDSN, Viginum, le service de l’Etat chargé de repérer les manipulations de l’information venues de l’étranger, le ministère de l’Intérieur, l’Arcom et la Commission des comptes de campagne – qualifie officiellement l’opération d’«ingérence numérique étrangère». Une semaine plus tard, il annonce que Viginum a «identifié d’autres pages Facebook rattachées au même écosystème et ciblant cette fois un candidat à la mairie de Roubaix», en l’espèce David Guiraud. Les têtes de liste ciblées ont déposé plainte.

2. BlackCore, une «entreprise d’élite» fantôme

Derrière cette opération, donc, un nom a été débusqué par les services de l’Etat : BlackCore. Authentique société ou faux nez ? Curieux profil, en effet, que celui de cette entité qui revendique quinze ans d’expérience, des clients à l’international, un taux de succès de «100 %», mais semble n’avoir ni existence légale, ni réputation établie.

Sur un site web vitrine désormais hors ligne – il a disparu entre le 12 et le 13 mai alors que Reuters d’un côté, Libération et Haaretz de l’autre se rapprochaient de la publication de leurs enquêtes –, BlackCore se définit comme une «entreprise d’élite spécialisée dans l’influence, le cyber et les technologies, conçue pour l’ère moderne de la guerre de l’information», et à même d’accompagner «gouvernements» et «campagnes politiques» pour «façonner les récits». Elle affirme proposer des campagnes «à impact élevé» sur les réseaux sociaux, des «narratifs stratégiques» pour «influencer les perceptions», des «solutions de cybersécurité avancées».

Une autre page web rédigée en anglais et en hébreu, elle aussi aujourd’hui inaccessible, détaille le modèle de «campagne politique» que BlackCore affirme pouvoir déployer : une stratégie sur huit mois, 1 600 avatars – en clair, des faux profils – déployés sur les réseaux sociaux, dans des buts, notamment, d’«infiltration de groupes»sur Facebook, de «manipulation de tendances» sur TikTok et de «manipulation de sondages» sur Instagram ; jusqu’à un million de publications par mois en fin de campagne, du «récit positif» pour soutenir un candidat, et des «contre-narratifs» pour contrecarrer ses opposants. Sans compter les partenariats avec des influenceurs locaux ou du contenu placé dans des médias d’actualité ou de «loisirs».

Enfin, une dernière plaquette présente un «programme de formation» de quatre semaines, destiné aux artisans des campagnes de communication du gouvernement angolais, et prétendument proposé en février 2026. Au menu : storytelling, techniques de rédaction, gestion des campagnes sur les réseaux sociaux, planification, indicateurs de performance, etc.

Contactée par Reuters, Meta, la maison-mère de Facebook et Instagram, avait imputé à un seul acteur la campagne contre les insoumis et une «opération au bénéfice d’un gouvernement africain».S’agit-il de la même ? L’entreprise américaine n’a pas donné de précisions. Elle a, en tout cas, affirmé que l’activité malveillante en lien avec ce réseau qui a eu lieu sur ses plateformes provenait d’Israël.

La présence en ligne de BlackCore est étrangement récente, surtout au regard de l’ancienneté qu’elle revendique. Le nom de domaine blackcore.online a été acheté en août 2025 auprès d’un bureau d’enregistrement islandais ; le déclarant est anonyme. L’adresse web a d’abord dirigé vers les serveurs de Wix, une entreprise de logiciel et de cloud basée à Tel-Aviv, avant que le ou les administrateurs du site ne souscrivent aux services de l’Américain Cloudflare, dont le réseau protège entre 15 et 20% des sites web dans le monde. L’usage de l’hébreu, comme l’hébergement chez Wix, suggèrent qu’il pourrait s’agir d’une société israélienne, mais aucune entité à ce nom n’est immatriculée au registre national des entreprises. Le défunt site n’affichait ni adresse, ni numéro de téléphone, ni organigramme. Un fantôme.

3. Des morceaux d’une boîte à outils pour campagnes d’influence

Au total, Libération et Haaretz ont pu identifier huit sous-domaines associés au nom de domaine blackcore.online, récemment actifs ou non. Selon les données des plateformes de veille en cybersécurité, presque tous ont «pointé» vers des adresses IP de Cloudflare, sauf trois : deux ont laissé des traces sur des infrastructures d’hébergement de Google, et le dernier, sur un serveur, localisé à Londres, de l’hébergeur d’origine finlandaise UpCloud.

Or, de mars 2025 à mai 2026, seuls quatre domaines et leurs sous-domaines ont été hébergés sur ce serveur, qui apparaît dès lors administré, sinon par une même personne, du moins par un même groupe ou une même organisation. D’abord, le sous-domaine lié à BlackCore : proposals.blackcore.online ; ensuite, un étrange proposals.balckcore.com (faute incluse) ; enfin, plus d’une vingtaine de subdivisions de deux domaines, omrisystems.com et electric-marinade.com – dont un proposals.electric-marinade.com. Dans leur grande majorité, les préfixes sont identiques pour ces deux domaines et se révèlent, pour certains, très évocateurs aux yeux de spécialistes de l’influence, voire des manipulations de l’information : «avatar-data-generator», «agentforge», «fb-search» ou «socialtrigger».

La plupart des adresses liées à electric-marinade.com n’ont pas répondu, hormis une page d’accueil cryptique montrant une chaîne de montagnes, et une curieuse interface baptisée «SNI Defence System», qui se présente comme un accès à un «système du gouvernement américain» et paraît peu crédible. Les adresses liées à omrisystems.com nous ont, elles, menés vers une dizaine de pages web.

Dans cet ensemble, qui relève très manifestement de versions en cours de développement, nous avons découvert une page d’accès à un VPN (ou réseau privé virtuel), l’interface d’un outil de recherche de groupes Facebook, ainsi que des pages de connexion : à un outil de création d’agents IA ; à un système de stockage de fichiers ; à une application de gestion d’agents IA sur les réseaux sociaux ; à un outil de «construction»automatisée de «communautés» en ligne ; enfin, à un «générateur de données d’avatars». Autrement dit, des composantes d’une boîte à outils pour campagnes d’influence numériques.

4. Deux entreprises, un directeur, une même poignée d’actionnaires

Et puis, en examinant le code source du site avatar-data-generator.omrisystems.com, nous avons fait une découverte surprenante. La page elle-même est intitulée «Avatar Data Generator by Galacticos AI». Le logo est renseigné, lui aussi, comme celui de «Galacticos AI». Or ce nom correspond bel et bien à un nom de domaine existant, galacticos.ai, et à une société immatriculée au registre israélien des entreprises, Galacticos Ltd.

L’un des sous-domaines de galacticos.ai, fb.aoa.modules.galacticos.ai, rappelle deux autres adresses web, croisées juste avant dans notre «cluster» de futurs outils d’influence en ligne : fb.aoa.electric-marinade.com et fb.aoa.omrisystems.com. Et la page web liée à Galacticos, dont il reste trace dans la Wayback Machine, ressemble beaucoup à celle découverte parmi les subdivisions d’omrisystems.com.

Le nom de domaine galacticos.ai lui-même est enregistré depuis avril 2024 auprès d’un bureau allemand, Key-Systems. Les données disponibles renvoient vers le nom d’un déclarant, Guy Geyor, vers celui d’une entreprise, SNI, et vers une adresse dans la rue HaHashmonaim à Tel-Aviv. Guy Geyor, ancien candidat de téléréalité, influenceur et désormais entrepreneur de la tech, se présente sur son profil LinkedIn comme un «passionné de cyberdéfense, de renseignement et d’innovation», cofondateur d’une entreprise nommée «SNI Cyber».

Quant à la société Galacticos Ltd, créée en avril 2022 selon le registre des entreprises, elle est domiciliée au même numéro de la rue HaHashmonaim. L’adresse est également celle d’un cabinet d’avocats, Afik & Co, fondé par un spécialiste du droit des affaires, Doron Afik. Ce dernier se trouve être le directeur de Galacticos Ltd, et celui d’une autre entreprise, immatriculée sous le nom de SNI Digital.

Ces deux sociétés ont, en outre, des actionnaires communs. C’est le cas de Guy Geyor, mais aussi d’un homme qui se présente sur LinkedIn comme l’un des cofondateurs de SNI, sigle ici décliné en «Social Network Intelligence»: Nir Benita. Son CV affiche une succession de postes dans des entreprises de technologie depuis 2015, mais aussi, précédemment, dix ans de carrière au sein de la fameuse unité 8200 de l’armée israélienne, dédiée au cyberespionnage. Quant au site web de SNI renseigné sur LinkedIn, sni.ai, il n’existe plus mais il en reste trace dans la Wayback Machine. Une version de la page enregistrée en septembre 2024 s’intitule «Sni» ; la trace suivante, capturée en février 2025, s’appelle «Galacticos».

Enfin, une page du site web d’Afik & Coévoque une personnalité potentiellement liée à Galacticos. Le texte est un bref compte-rendu d’un «événement diplomatique» qui s’est tenu dans les bureaux du cabinet d’avocats en septembre 2025. Sur une photo apparaît l’ancien directeur général de l’agence nationale de cybersécurité israélienne, de 2018 à 2022, Yigal Unna. Dans la légende de l’image, il est présenté comme «M. Yigal Unna de Galacticos.AI».

5. «Aucune connaissance d’une entité nommée “BlackCore”»

Quels liens concrets, autres que la suite d’éléments techniques qui nous ont conduits de l’un aux autres, relient BlackCore, acteur identifié par les autorités françaises derrière la campagne contre les candidats insoumis, à Galacticos et SNI, les deux entreprises de technologie basées à Tel-Aviv ?

Selon une source de Haaretz proche de Galacticos, la société affirme avoir créé un produit qui génère des avatars destinés à des campagnes d’influence actives et à la surveillance des réseaux sociaux.

Mercredi 13 mai en début de soirée, Libération et Haaretz ont contacté Doron Afik, Guy Geyor, Nir Benita et Yigal Unna.

Dans une réponse écrite, l’ex-patron de la cybersécurité de l’Etat hébreu assure qu’il n’a pas, ni n’a jamais eu par le passé, «un quelconque rôle, officiel ou non officiel», dans Galacticos. Il y a deux ans, Doron Afik, qu’il connaît comme représentant de «nombreuses ambassades étrangères» avec lesquelles il «mène ou tente de mener des projets de cybersécurité», lui a demandé de l’aider à conseiller cette startup «dédiée à l’Osint [l’investigation en sources ouvertes] et aux réseaux sociaux, spécialisée dans la protection des marques commerciales». Confronté à une «forme d’improvisation» – dont l’absence de «PDG ou de directeur marketing à plein temps» –, il dit avoir «pris [s]es distances», n’avoir «plus eu aucun lien avec eux depuis au moins la fin de l’année dernière», et n’avoir jamais touché «le moindre centime» de la part de Galacticos. Et de conclure : «Par conséquent, malheureusement, je n’ai pas la moindre idée de la façon dont je pourrais répondre à vos questions.»

«Galacticos n’a aucune affiliation, aucun partenariat ni aucune connaissance d’une entité nommée “BlackCore”»,affirme de son côté Doron Afik, qui assure avoir découvert ce nom via notre sollicitation. «Bien que Galacticos dispose d’un produit en cours de développement, celui-ci n’est pas encore actif», poursuit-il, et la société n’a «jamais possédé, exploité ni utilisé un domaine nommé “electric-marinade”» (il ne mentionne pas l’autre domaine hébergé sur le même serveur, omrisystems.com). La réponse de l’avocat est «catégorique» : Galacticos n’a «aucun lien» avec les sujets évoqués dans nos questions.

Guy Geyor n’a pas répondu directement à Libération mais a échangé avec Haaretz. Il assure à notre partenaire que ni lui ni Galacticos «ne savent qui est BlackCore» : «Nous n’avons jamais eu aucune connexion avec eux. Nous n’avons aucune activité en France, et certainement pas d’activité politique.» L’influenceur a, en tout cas, pleinement connaissance de l’existence d’omrisystems.com, puisque c’est lui qui nous apprend que ce nom est un hommage à Omri Michaeli, un officier de Tsahal tué le 7 octobre 2023 alors qu’il tentait de défendre le kibboutz de Kfar Aza, théâtre d’un massacre perpétré par le Hamas, qui a fait dans ce village plus de 60 morts. Omrisystems, poursuit Geyor, est «le nom de domaine d’un système encore en développement»,qui «n’est pas utilisable, n’a été vendu à personne, et n’a jamais été exploité».

Nir Benita, pour l’heure, n’a répondu ni à Libération ni à Haaretz.

En tout état de cause, ce sont très manifestement nos prises de contact avec les personnes liées à Galacticos qui ont eu pour conséquence, en à peine deux heures, que tous les sites web du «cluster» que nous avions découvert durant nos investigations, hébergés sur un serveur qui a accueilli pendant plusieurs mois un sous-domaine lié à BlackCore, sont désormais inaccessibles.