Par Freddie Ponton pour 21st Century Wire, le 13 juin 2026
La plupart des gens vivant hors de France n'ont toujours aucune idée de ce qu' est BlackCore.
Ils ignorent que BlackCore n'est ni une ferme à trolls ni une poignée de consultants malhonnêtes, mais le nom commercial d'une machine d'influence industrielle composée d'anciens membres des services du renseignement militaires israélien, d'un cabinet d'avocats de Tel Aviv, de sociétés écrans britanniques, d'un serveur londonien et d'outils d'IA conçus pour créer des identités fictives sur les réseaux sociaux et inonder les élections de récits factices. Ils ignorent également que ce même écosystème, dans sa dimension défensive, vend des services de détection de désinformation aux gouvernements occidentaux et compte désormais un ancien directeur de la CIA au sein de son conseil d'administration.
L'histoire qui suit porte sur les opérations d'influence transnationales (présumées) de BlackCore, qui utilisent des réseaux d'avatars et la désinformation et s'étendent au-delà de la France à New York, en Écosse, en Angola et eu Togo. Tout commence par ce qui s'est passé en France, puis la piste suit les rapports de l'État français, une enquête conjointe de Haaretz et de Libération qui a révélé de nouveaux détails, les registres d'entreprises en Israël et au Royaume-Uni, les documents déposés auprès de la SEC aux États-Unis et les traces numériques que BlackCore et ses partenaires n'ont pas réussi à effacer. Elle montre comment une campagne de dénigrement visant trois candidats municipaux met désormais en lumière un écosystème mondial de guerre de l'information israélien qui touche de nombreux pays et villes à travers le monde, le Département d'État américain et le bureau de Benjamin Netanyahu.
Cette enquête ne se contente pas de répéter ce que Haaretz, Libération, Reuters ou Viginum ont déjà mis sur la table. Elle révèle la phase "Sadaqah Palestine" mise en œuvre par BlackCore pour infiltrer les cercles pro-palestiniens avant de les attaquer, la structure fiduciaire Benguy et les documents de la SEC qui montrent comment des sociétés peuvent dissimuler leurs véritables intérêts derrière le cabinet d'avocats Afik, les carrières au sein de l' Unité 8200 et du Shin Bet qui se cachent derrière l'usine à avatars de Galacticos, et le double jeu mené par Cyabra, Cygun, Ram Ben Barak et Mike Pompeo vendeurs d'outils de détection exploitant les mêmes techniques utilisées pour les attaques.
La première série d'articles s'est contentée d'effleurer les faits. BlackCore a été désignée comme la société à l'origine de sites web anonymes et de faux comptes ciblant des candidats de La France Insoumise, et Viginum, le service de l'État français créé en 2021 pour surveiller les ingérences numériques étrangères contre les intérêts français, a confirmé enquêter sur une opération étrangère. Puis l'affaire a été rapidement oubliée. Le dossier Haaretz-Libération l'a ramené sur le devant de la scène et l'a propulsé sur la scène internationale, en reliant l'opération à des infrastructures techniques situées à Londres et à un réseau d'entreprises au 103, rue HaHashmonaim à Tel Aviv.
LIRE LA SUITE : BlackCore (1re partie) : les cyber-mercenaires israéliens dans les élections françaises
Notre enquête va encore plus loin. Elle montre que le serveur londonien hébergeant les outils de BlackCore était ancré dans une société écran britannique, SNI Ltd, dissoute par radiation d'office deux ans avant l'opération française, mais qui a continué à servir d'infrastructure active pour l'ingérence électorale étrangère.
Elle montre que la société israélienne à l'origine du système d'avatars, Galacticos Ltd, partage une adresse et un administrateur fiduciaire avec Benguy Escrow Company Ltd, une structure fiduciaire utilisée pour détenir des actions pour le compte d'autrui et gérée par le même avocat qui sert de prête-nom à Galacticos. Une des personnalités techniques clés de Galacticos, Nir Benita, expert en cyberespionnage a oeuvré une dizaine d'années en tant officier au sein de l' Unité 8200, l'unité centrale de renseignement d'origine électromagnétique et de cyber-renseignement d'Israël, et que son parcours post-militaire passe directement par l'IA et les technologies de renseignement avant de le mener au sein de cette usine à influence.
L'enquête cartographie ensuite l'image miroir : Cyabra, une société de renseignement sur les menaces sociales basée à Tel Aviv et désormais cotée au Nasdaq sous le symbole CYAB, vend des outils d'IA permettant de détecter les faux profils et les campagnes de désinformation pour le compte de gouvernements et d'entreprises. Elle a été fondée par des vétérans de l'Unité 8200 et de la guerre de l'information de l'armée israélienne qui, selon leurs propres dires et ceux de connaisseurs du secteur, ont mis en place des réseaux de faux profils avant de développer les outils permettant de les repérer. Parmi ses conseillers principaux figure l'ancien directeur adjoint du Mossad, Ram Ben Barak, qui a dirigé le ministère des Affaires stratégiques, l'unité gouvernementale israélienne chargée de coordonner les campagnes contre l'activisme pro-palestinien international et le BDS, et son conseil d'administration compte désormais Mike Pompeo, ancien directeur de la CIA. Yigal Unna, ancien chef de la Direction nationale israélienne du cyberespace au sein du bureau du Premier ministre et, auparavant responsable des opérations de cyber-renseignement et de renseignement d'origine électromagnétique du Shin Bet, a été sollicité pour conseiller Galacticos. Il a démissionné et siège désormais au conseil consultatif de Cyabra tout en dirigeant Cygun, son cabinet de conseil privé, dans les mêmes régions où BlackCore a été accusé d'opérer.
IMAGE : Nir Benita, ancien membre de l'Unité 8200 des Forces de défense israéliennes (FDI), et figurant comme détenteur d'options/actionnaire de Galacticos en mai 2026 (Source © en.checkid.co.il)
Pris ensemble, ces éléments nous permettent d'affirmer clairement ce que les précédents reportages ne faisaient qu'évoquer. BlackCore n'est pas une agence de diffamation indépendante opérant en vase clos. C'est le produit d'un écosystème structuré de guerre de l'information israélien qui s'appuie sur un vivier de talents unique, un pipeline doctrinal issu de l'Unité 8200 et d'unités apparentées, ainsi qu'une architecture d'entreprises et de fiducies conçue pour dissimuler le commanditaire ultime derrière des avocats et des comptes séquestres. D'un côté se trouvent des outils d'IA et les usines à avatars utilisés pour traquer et perturber les élections dans les pays dont les politiciens critiquent la politique israélienne. De l'autre, se trouvent des détecteurs d'IA vendus aux gouvernements sous couvert de protection de la démocratie, gérés par les mêmes anciens élèves et supervisés par la même élite de la sécurité.
IMAGE : Yigal Unna, ancien directeur général de la Direction nationale israélienne du cyber (INCD), Israël (Source © cygun.co.il)
Coup dur aux élections municipales françaises
L'histoire commence dans des villes qui font rarement la une de l'actualité internationale. Marseille. Toulouse. Roubaix. Lors des municipales françaises de 2026, trois candidats de La France Insoumise se présentaient dans des circonscriptions devenues des lignes de front dans la guerre sociale que traverse le pays au sujet de Gaza, de la Palestine et de ce que peut encore signifier de se dire personnalité politique de gauche en France.
Les trois cibles étaient Sébastien Delogu à Marseille, François Piquemal à Toulouse et David Guiraud à Roubaix. Tous trois s'étaient exprimés haut et fort sur la Palestine. Tous trois avaient des positions déplaisant à certains milieux à Paris, Bruxelles et Tel-Aviv. Et tous trois se sont retrouvés pris, en plein milieu d'une élection qu'ils étaient tout à fait le droit de disputer sur le fond, sous une avalanche de diffamation qu'aucun rival local n'avait les ressources ni les compétences techniques pour produire.
C'était une opération orchestrée. Des sites anonymes sont apparus avec des noms évoquant des projets locaux de surveillance citoyenne ou des fuites citoyennes. Ils contenaient des allégations détaillées d'agressions sexuelles, de corruption, de fraude fiscale, de comptes cachés et de complices criminels non identifiés. Des images pornographiques de type "deepfake" ont été glissées dans le flux. Des mots de passe et de prétendues données fiscales ont été divulgués. L'ensemble a ensuite été diffusé sur les réseaux sociaux via des grappes de comptes humains à première vue mais qui agissaient comme une unité disciplinée.
Les publicités et les publications boostées ont continué à défiler après le début de la période officielle de silence électoral. En vertu de la loi française, cette période est censée offrir aux électeurs quelques jours de répit. Ceux qui ont mené l'opération s'en moquaient, ou savaient que la sanction serait insignifiante face aux dégâts occasionnés. TikTok a confirmé l'existence d'un compte lié et l'a supprimé pour comportement trompeur. Meta a supprimé des réseaux connexes pour ce qu'elle a qualifié de comportement inauthentique coordonné. Les plateformes elles-mêmes ont fini par confirmer ce que les journalistes et les enquêteurs ont observé.
Viginum, créé en 2021 à la suite de précédentes alertes concernant des ingérences étrangères, a commencé à tirer les ficelles. Sa mission consiste à surveiller les opérations numériques visant les intérêts français et à signaler celles qui portent des empreintes étrangères. Ses analystes ont documenté une campagne étrangère dont les signatures techniques et comportementales ne correspondaient pas au mix habituel de trolls d'extrême droite, de diffamateurs locaux ou d'activisme chaotique en ligne.
Lorsque le directeur de Viginum, Marc-Antoine Brillant, s'est tenu aux côtés du Premier ministre Sébastien Lecornu le 11 juin, il n'a pas seulement évoqué la campagne de dénigrement contre la France Insoumise. Il a déclaré au pays que le même modus operandi a été déployé contre une élection municipale à New York, contre la politique écossaise et dans des campagnes en Angola et au Togo. À New York, la cible a été bien sûr la campagne municipale de 2025 finalement remportée par Zohran Mamdani, un candidat de gauche pro-palestinien dont la victoire a enthousiasmé les jeunes juifs progressistes et alarmé les franges plus traditionnellement pro-israéliennes de l'establishment politique de la ville. En Écosse, la campagne s'est concentrée sur le Premier ministre John Swinney, qui avait qualifié la campagne de Gaza de catastrophe humanitaire d'origine humaine et refusé de la présenter comme de la légitime défense israélienne. Sur tous les fronts, le profil des cibles est resté le même. Les candidats élus ou crédibles fermement opposés à la guerre de Gaza ou défendant les droits des Palestiniens ont été attaqués par une armée invisible d'avatars.
Le nom donné par Viginum à cette opération était Rokh Solis/BlackCore.
GRAPHIQUE 1 : L'écosystème BlackCore - Description : Schéma de réseau : (1) État/renseignement israéliens (Unité 8200, Shin Bet, INCD, Ministère des Affaires stratégiques, CIA/Département d'État américain, Viginum) ; (2) Pile offensive (Galacticos, SNI (IL), SNI Ltd (Royaume-Uni), BlackCore, façade palestinienne Sadaqah, serveur de Londres) ; (3) Pile défensive (Cyabra, Cygun) ; (4) Cibles/clients (France - candidats de La France Insoumise ; New York - Zohran Mamdani ; Écosse - John Swinney/SNP ; Angola ; Togo ; "19 gouvernements"). Des flèches relient des individus (Benita, Afik, Geyor, Unna, Ben Barak, Brahmy, Daar, Shraga, Pompeo) à leurs entreprises, et les entreprises aux opérations. (Source © créé par l'auteur)
Les documents du rapport technique de Viginum révèlent que les comptes d'avatars BlackCore qui ont ciblé Delogu et Piquemal n'ont pas amplifié leurs diffamations de manière isolée. En effet, ils ont systématiquement relayé du contenu provenant d' ELNET France, l'European Leadership Network, une organisation de lobbying pro-israélienne qui, depuis 2017, a financé des voyages tous frais payés en Israël pour plus de 90 parlementaires français et est officiellement enregistrée comme agent étranger du gouvernement israélien à l'Assemblée nationale. Ce chevauchement ne permet pas d'établir qu'ELNET soit client ou complice de BlackCore. Cela signifie toutefois que les mêmes faux comptes fabriquant des calomnies criminelles contre les candidats pro-palestiniens de LFI agissaient simultanément comme des amplificateurs pour le lobby pro-israélien le plus influent de France - une convergence d'objectifs, qu'elle soit coordonnée ou fortuite, que les procureurs français et la CIA française ( DGSI) ont été chargés d'examiner.
Ce que révèle le nom de code classifié de Viginum : l'opération Rokh Solis
Comme nous l'avons établi, Viginum ne s'est pas contenté de citer BlackCore. Il lui a officiellement attribué un mode opératoire informationnel, une désignation officielle des services du renseignement au niveau de l'État, et lui a donné le nom de code Rokh Solis. Ce rapport se trouve désormais sur le bureau du Premier ministre français. Nous savons désormais que BlackCore est l'acteur, et Rokh Solis l'opération. Cette distinction est importante car elle signifie que la France n'allègue pas une faute d'entreprise, mais incrimine clairement une opération du renseignement étranger.
Les détails techniques contenus dans le rapport sont bien plus accablants que ne le laissent entendre les gros titres. Les quatre sites web diffamatoires, visant Delogu, Piquemal et Guiraud, ont tous été créés entre le 9 et le 19 février 2026, partageaient la même adresse IP, le même modèle WordPress et, sur trois des quatre sites, une seule balise d'auteur d'image : "usman latif". La même personne, ou la même équipe les a tous créés.
L'opération s'est également déroulée sur le terrain. Viginum a répertorié des tracts imprimés comportant des QR codes renvoyant vers blogdesophie.com, le faux blog d'accusation de viol, collés sur des murs à cinq endroits différents à Marseille. Cela signifie que quelqu'un était sur le terrain en France, et suggère en outre que l'opération n'a pas été entièrement gérée depuis des serveurs à l'étranger.
Le réseau de faux comptes n'a pas été improvisé la semaine précédant le scrutin. Viginum a retracé une vague coordonnée de ces comptes liés à des groupes Facebook français clés le 7 septembre 2025, six mois avant le premier tour, infiltrant des groupes tels que "Militants de Droite" et "Combat Républicain 2027" pour se forger une crédibilité avant les hostilités. En octobre 2025, ce même groupe s'était orienté vers des groupes centrés sur New York, notamment ceux soutenant Andrew Cuomo, avant même que Zohran Mamdani ne s'impose comme cible principale. Un client, deux élections planifiées en parallèle, plusieurs mois à l'avance.
Lorsque l'enquête du Monde a été publiée le 9 mars 2026, les opérateurs ne se sont pas contentés de supprimer les comptes. Plusieurs se sont renommés avec des identités et des localisations israéliennes : "Maxime Meireles" est devenu "Romi Shushan" à Tel Aviv-Jaffa. "Amélie Charpentier" est devenue "Shirel Matana" à Rishon LeZion. Cette trace numérique est bien documentée dans le rapport Viginum, reliant les opérateurs de comptes à des responsables basés en Israël qui géraient le nettoyage en temps réel.
Enfin, Viginum a identifié un groupe angolais distinct de 48 comptes portant des noms à consonance portugaise, amplifiant le contenu du gouvernement du MPLA à l'aide de signatures techniques identiques à celles de l'opération française.
Nous pouvons en conclure que BlackCore ne menait pas qu'une seule campagne. Les preuves suggèrent fortement qu'il gérait plutôt un portefeuille.
La fausse opération de solidarité antérieure
Avant que BlackCore ne lance sa machine à diffamation contre Delogu, Piquemal et Guiraud, il menait une autre opération qui aggrave encore la situation. La même infrastructure qui a ensuite inondé les réseaux sociaux français de deepfakes et d'allégations criminelles fabriquées de toutes pièces a d'abord exploité un site web appelé Sadaqah Palestine. Ce site se présentait comme une organisation humanitaire apolitique venant en aide aux Palestiniens déplacés par la pauvreté, la guerre et l'occupation. Le site était en ligne. Il disposait d'un formulaire de don en ligne. Des comptes sur les réseaux sociaux X, Instagram et Facebook en faisaient la promotion, avec des schémas d'engagement et des listes d'abonnés que les enquêteurs ont identifiés comme étant faux. Mêmes avatars. Mêmes schémas. Mêmes opérateurs.
DOCUMENT : Rokh-Solis-Viginium.fr_.en_.pdf-Rokh Solis - Analyse d'une tactique d'information ciblant les élections municipales de mars 2026 (conclusions de l'enquête traduites du français vers l'anglais à l'aide d'outils de traduction en ligne)
Une enquête conjointe menée par Libération et Haaretz a permis de remonter la piste des enregistrements techniques de ce site web jusqu'aux serveurs et domaines liés à BlackCore qui ont ensuite hébergé le générateur d'avatars et les outils de diffamation anti-LFI. Parallèlement, la presse turque et arabe a rapporté que ce même site a été utilisé pour solliciter des dons sous la bannière "Soutien à la Palestine", tout en étant contrôlé par la même entité israélienne déjà sous le coup d'une enquête pour ingérence dans les élections françaises.
Personne n'a encore établi si ce site a recueilli de véritables dons, récolté des données personnelles auprès de personnes investies, ou s'il avait principalement servi de couverture pour donner à BlackCore une identité pro-palestinienne au sein des espaces numériques musulmans et de gauche français avant de s'en prendre aux personnalités politiques partageant ces valeurs.
Ce qui est déjà avéré suffit amplement. BlackCore ne s'est pas contenté de mener une opération d'attaque. Il s'est d'abord fait passer pour un mouvement de solidarité avec la Palestine, s'est implanté au sein de communautés qui croyaient en ce cadre, puis a retourné cette même infrastructure contre ceux pour lesquelles ces communautés étaient les plus susceptibles de voter. Si l'on cherche un terme pour décrire cela, c'est :"infiltration".
Le rapport "Rokh Solis" de Viginum identifie un autre domaine lié à l'écosystème BlackCore qui n'a pratiquement pas retenu l'attention de la presse. Le site "forsane-alizza.eu" était hébergé sur une infrastructure suédoise, dont les enquêteurs ont découvert qu'elle faisait activement la promotion de " lalternative2026.com", le faux site géré par BlackCore qui prétendait orienter les électeurs musulmans vers les candidats de LFI lors des élections municipales françaises. Le choix du nom n'était pas fortuit. Forsane Alizza (Cavaliers de la Fierté), est le nom d'un véritable groupe islamiste français interdit par l'État français en 2012 après avoir été lié à Mohamed Merah, le tireur de Toulouse dont les attaques ont tué sept personnes, dont trois enfants juifs à l'école Ozar Hatorah. Son fondateur, Mohamed Achamlane, a été reconnu coupable en 2015 de préparation d'actes terroristes et condamné à neuf ans de prison.
En enregistrant un domaine sous ce nom et en l'utilisant pour amplifier sa fausse opération d'orientation des électeurs musulmans, BlackCore réalisait deux objectifs. Elle empruntait la notoriété du groupe islamiste le plus tristement célèbre de France pour se forger une crédibilité au sein des communautés infiltrées, tout en s'assurant que tout journaliste ou analyste de la sécurité découvrirait un nom synonyme de terrorisme djihadiste associé à du contenu promouvant les candidats de LFI, une pilule empoisonnée contre les politiciens mêmes que BlackCore prétendait soutenir.
L'entreprise qui a tenté de s'effacer
Avant de paniquer et d'effacer toute trace de son existence, BlackCore se présentait comme une société d'influence d'élite et une entreprise spécialisée dans le cyberespace et les technologies à l'ère de la guerre de l'information. Son site web, conservé un instant dans des archives et des captures d'écran, promettait aux gouvernements, aux entreprises et aux campagnes électorales des stratégies de pointe, des outils avancés et une sécurité robuste pour façonner le récit en ligne.
Il ne mentionnait ni ses dirigeants ni ses clients. Il ne comportait aucune adresse correspondant à une entrée du registre du commerce israélien. Le domaine blackcore.online était hébergé par un registraire islandais connu pour l'anonymat de ses propriétaires et a été enregistré en août 2025, quelques mois seulement avant l'intensification des campagnes municipales en vue du scrutin de 2026.
Dès que les enquêtes menées par les médias français ont commencé à citer Blackcore, le site a été mis hors ligne. La page LinkedIn a disparu. La marque s'est évanouie. La seule raison pour laquelle on peut encore la nommer est que l'infrastructure qui la sous-tendait n'a pas été mise hors service assez rapidement.
La machine londonienne et le réseau de serveurs répartis sur quatre pays
Le travail conjoint de Haaretz et de Libération ainsi que le rapport technique de Viginum ont permis de retracer l'opération jusqu'à un cluster de serveurs délibérément répartis sur quatre juridictions européennes : le Royaume-Uni, l'Allemagne, la Finlande et la Lituanie. Cette répartition n'est pas le fruit du hasard. Elle dispatche les différents éléments de l'opération entre différents systèmes juridiques, fragmente la compétence juridictionnelle, ralentit les demandes de retrait et rend la responsabilisation complexe pour tout gouvernement tentant d'agir seul.
Les enquêteurs ont identifié au moins huit sous-domaines liés au domaine principal de BlackCore. Différentes sections de l'opération reposaient sur différents sous-domaines. La génération d'avatars sur l'un. La distribution de contenu sur un autre. La fausse ONG de façade et les sites web de diffamation sur d'autres.
Le nœud central était un serveur londonien louant de la capacité à un fournisseur de cloud finlandais. Cette machine abritait les rouages de l'usine à influence. Rien de tout cela n'était destiné au public. Tous les systèmes hébergés étaient protégés par un identifiant.
Sur ce serveur, les enquêteurs ont trouvé une page de connexion pour un générateur de données d'avatars de Galacticos AI, des tableaux de bord protégés par mot de passe portant le nom SNI (Strategic Network Intelligence), un générateur d'agents interne, des outils agressifs de recherche sur Facebook et d'infiltration de groupes, ainsi que des systèmes nommés Omri Systems et Electric Marinade. Le service marketing de BlackCore se vantait de disposer d'une armée de 1 600 avatars. À la lumière de ces informations, ce chiffre ressemble moins à de la vantardise qu'à un simple inventaire. Chaque avatar était doté d'un visage généré par IA capable de déjouer la recherche d'images inversée, d'un historique de publications antidatées et d'un script comportemental adapté aux habitudes des utilisateurs réels sur Facebook, Instagram, TikTok et X.
Le serveur londonien n'était pas isolé. Ses données de domaine et ses références internes le reliaient à SNI et à Galacticos, la société israélienne à l'origine du système d'avatars. La piste menait tout droit à un immeuble de Tel Aviv.
Le nœud suédois : Iron Mind AB et Nir Dobicky
Le rapport technique de Viginum identifie une autre entité qui avait complètement échappé aux analyses précédentes : une société suédoise appelée Iron Mind AB (numéro d'enregistrement 559551-9181, enregistrée le 30 octobre 2025 à Täby, au nord de Stockholm), dont le sous-domaine (avatar-datagenerator.dev.iron-mind.ai) était techniquement lié à la même infrastructure de génération d'avatars que BlackCore. Le PDG de la société, Nir Dobicky, est également administrateur de deux sociétés enregistrées au Royaume-Uni, à savoir Rocketpod Technologies Ltd et SocialWorx Limited, toutes deux basées à la même adresse londonienne, Norvin House sur Commercial Street, et toutes deux décrites par Viginum comme spécialisées dans les outils d'influence en ligne et d'automatisation. Parmi les co-administrateurs de Rocketpod figurent Assaf et Barak Finkelshtein, tous deux ressortissants israéliens basés en Israël. Le schéma est identique à celui de la société britannique SNI Ltd, avec des entités juridiques officielles enregistrées dans des juridictions respectables, ici la Suède et l'Angleterre qui forment la couche supérieure stable d'un écosystème dont le cœur opérationnel se cache derrière des registraires anonymes et des sous-domaines jetables. Dans cette architecture, la Suède n'est pas une cible. C'est un pavillon de complaisance
De Pagecorn à Galacticos : la couche d'outils cachée de BlackCore
Une enquête conjointe menée par Libération et Haaretz a permis de remonter la piste de BlackCore jusqu'à une structure d'entreprises plus profonde, de type société écran, à Tel Aviv. Selon les registres du commerce israéliens cités dans ce reportage, la société désormais commercialisée sous le nom de Galacticos a vu le jour sous le nom de Pagecorn Ltd., a ensuite été rebaptisée Mycelium Intelligence Networks, et n'a adopté le nom Galacticos que plus tard, soit une succession de changements de nom reflétant les schémas de dissimulation observés chez d'anciennes sociétés israéliennes d'influence à la demande. Galacticos et sa société sœur SNI (Strategic Network Intelligence) partagent la même adresse à Tel Aviv et sont détenues conjointement par l'avocat Doron Afik et Guy Geyor, star de la télé-réalité devenue entrepreneur dans le secteur des technologies. Les deux hommes nient tout lien avec BlackCore ou toute activité politique en France, alors même que leurs infrastructures se recoupent.
Sur le plan technique, Libération et Haaretz ont retracé l'infrastructure de BlackCore jusqu'à un serveur basé à Londres et exploité par un fournisseur de cloud finlandais qui, depuis mi-2025, n'hébergeait que quatre "domaines réseau" : deux appartenant à BlackCore, un à Omri Systems et un quatrième appelé Electric Marinade. Derrière les pages de connexion de ces domaines se cachait une suite d'outils internes portant des noms tels que "avatar-generator", "agent-maker" et "fb-search", y compris une interface "Galacticos AI Avatar Generator" que des sources ont décrite comme un tableau de bord permettant de créer et de gérer un grand nombre de faux comptes utilisés à la fois dans des opérations d'influence et pour la surveillance des réseaux sociaux. La même infrastructure a également révélé une "Campagne du gouvernement angolais, programme de formation, février 2026" en portugais sur le sous-domaine angola-plan.blackcore-online, faisant la promotion de campagnes publicitaires sur Meta et TikTok ainsi qu'un calendrier éditorial de trois mois, preuve que cette boîte à outils était proposée au-delà de la France à au moins un client gouvernemental africain.
Les traces financières et humaines autour de Galacticos brouillent encore davantage la frontière entre "OSINT" commercial et ingérence politique. L'ancien chef de la Direction nationale israélienne de la cybersécurité, Yigal Unna, a déclaré avoir été approché par Afik il y a environ deux ans pour aider à trouver des clients pour ce qui était présenté comme une start-up spécialisée dans les réseaux sociaux et le renseignement open source, axée sur la protection des marques. Il décrit toutefois ce qu'il a vu comme une coquille vide improvisée plutôt qu'une entreprise en activité normale, sans équipe de direction ni personnel visible. Parallèlement, la start-up de Geyor spécialisée dans les frais de mariage Easy2Give / Going Dutch a été rachetée dans le cadre d'une fusion par échange d'actions par la société écran cotée à Tel-Aviv Axilion Smart Mobility Ltd., une transaction fièrement mise en avant par le cabinet d'avocats d'Afik en tant que conseiller juridique de l'opération, illustrant ainsi comment ce même petit cercle d'acteurs chevauche à la fois la fintech et les outils d'influence clandestins.
Surtout, la réaction de l'infrastructure face à l'examen minutieux renvoie à un centre opérationnel commun. Libération et Haaretz rapportent que moins de deux heures après avoir contacté pour la première fois Afik et Geyor avec des questions détaillées sur BlackCore, le reste de l'infrastructure en ligne liée à la fois à BlackCore et à Galacticos, y compris plusieurs systèmes hébergés à Londres, a été brusquement mis hors ligne. Cette purge quasi instantanée ne prouve pas en soi qui a ordonné les campagnes, mais elle suggère fortement que la pile de génération d'avatars, la marque BlackCore et les entités juridiques de Tel Aviv constituent des éléments réactifs d'un seul et même système plutôt que des observateurs innocents et déconnectés
103, rue HaHashmonaim
Galacticos Ltd figure au registre des sociétés israélien sous le numéro 516599818. Elle a été constituée en avril 2022 sous le nom de Pagecorn, puis rebaptisée Mycelium Intelligence Networks et enfin renommée Galacticos en 2024. Son siège social est situé au 103, rue HaHashmonaim à Tel Aviv. Cette même adresse abrite Strategic Network Intelligence Ltd et Afik & Co. est un cabinet d'avocats d'affaires spécialisé dans les transactions internationales et habilité à exercer tant en Israël qu'à New York. Cette habilitation à New York est précieuse car elle confirme que le cabinet Doron Afik situé à cette adresse détient la participation majoritaire dans Galacticos et est également le fiduciaire de la société de dépôt fiduciaire située dans le même immeuble. Il jouit d'une qualité pour agir dans la juridiction où BlackCore est accusé d'avoir mené une opération d'influence contre une élection municipale.
IMAGE : Viginum, l'organisme public français créé en 2021 pour détecter les cyberattaques menées par des puissances étrangères (Source © seine-maritime.gouv.fr)
L'entrepreneur technologique et ancienne personnalité de la télé-réalité Guy Geyor détient environ 28 % de Galacticos. Il a personnellement enregistré le domaine galacticos.ai et désigné la SNI comme titulaire de l'enregistrement. Il ne s'agit pas d'une simple opération d'entreprise. C'est une seule et même personne qui relie les deux sociétés en son nom propre. Lorsque Haaretz et Libération les ont contactés, Afik et Geyor ont tous deux nié tout lien avec BlackCore ou avec des opérations politiques en France. Et en quelques heures, l'infrastructure de Galacticos et BlackCore a disparu.
Nir Benita, vétéran de l' Unité 8200, détient une participation minoritaire et apparaît comme une figure de niveau cofondateur, tandis que le directeur technique Daniel David Levy détient une autre participation minoritaire.
Strategic Network Intelligence, en Israël, opère depuis le même cabinet d'avocats sous le contrôle d'Afik et de Geyor, et apparaît dans les domaines et les références internes comme la branche infrastructure et outils de Galacticos. La société écran britannique, SNI Ltd, numéro d'enregistrement 14458636, a été constituée en novembre 2022 à une adresse résidentielle à Swanley, dans le Kent, enregistrée sous la catégorie générique "vente au détail par correspondance" que les sociétés écrans utilisent lorsqu'elles souhaitent une inscription discrète au registre des sociétés. Elle n'a jamais déposé de comptes en bonne et due forme. Le registre des sociétés a engagé une procédure de radiation d'office, avant de finalement dissoudre SNI Ltd en avril 2024.
Malgré cette dissolution, le serveur londonien utilisant son nom et hébergeant les outils d'IA de Galacticos est resté en service jusqu'au début du mois de mai 2026, date à laquelle les demandes de la presse adressées aux dirigeants de Tel Aviv ont finalement entraîné sa fermeture. En vertu de la législation britannique, une société dissoute ne peut ni exercer d'activité commerciale ni conclure de contrats. Ses actifs restants deviennent techniquement des biens vacants propriété de la Couronne. Dans la pratique, cela ressemblait à un hébergement cloud financé par une autre source et laissé en service longtemps après la disparition officielle de la société écran. Une société britannique dissoute servait de base à une infrastructure active utilisée pour s'ingérer dans des élections étrangères. Voilà ce qui se cache derrière le nœud londonien de BlackCore.
La société fiduciaire située dans le même bâtiment
À la même adresse à Tel Aviv, une autre société apparaît régulièrement dans les registres fédéraux américains. Benguy Escrow Company Ltd, immatriculée en Israël sous le numéro 513905034, est une société fiduciaire et d'entiercement enregistrée au 103 HaHashmonaim Street et contrôlée par Doron Afik.
Les documents déposés auprès de la SEC pour SMX, Security Matters Public Limited Company, décrivent Benguy comme une fiducie testamentaire dont le fondateur de SMX, Haggai Alon, est le bénéficiaire et Afik le fiduciaire. Un accord de blocage déposé auprès de la SEC porte la signature d'Afik en tant que fiduciaire de Benguy Escrow, indiquant l'adresse c/o Afik & Co., 103 rue HaHashmonaim, Tel Aviv. Dans une autre pièce jointe à la SEC, Benguy apparaît comme agent fiduciaire dans un contrat d'achat d'actions, à nouveau sous le même numéro d'enregistrement, et à nouveau avec la signature d'Afik.
Le mécanisme est simple. Au lieu d'une inscription au registre indiquant que M. X détient 20 % d'une société sensible, le registre indique que c'est Benguy Escrow Company Ltd qui en détient 20 %. L'acte de fiducie, qui n'est pas public en Israël, mentionne le véritable bénéficiaire. La structure est légale. Elle est également conçue pour les situations où l'on ne souhaite pas que le public sache qui contrôle réellement quoi.
Aucun document public n'a encore montré que Benguy était actionnaire de Galacticos. Ce qui est déjà documenté suffit à poser question aux enquêteurs. Le même avocat qui sert de prête-nom à Galacticos et SNI, signe les documents de la SEC en tant que fiduciaire pour Benguy et dirige son cabinet d'avocats depuis la même adresse a déjà utilisé Benguy pour détenir des participations dans d'autres opérations technologiques à l'abri des regards du public. Si quelqu'un voulait placer un sponsor politique ou étatique au sein de Galacticos sans que son nom n'apparaisse jamais dans le registre israélien, c'est exactement le type de structure qu'il utiliserait. Les procureurs français et la DGSI ont tous deux été informés de cette piste.
IMAGE : Immeuble commercial au 103, rue HaHashmonaim, Tel Aviv, Israël, juste en face du TLV Fashion Mall. Le rez-de-chaussée abrite la boulangerie Lehamim (avec terrasse), tandis que les étages supérieurs comprennent les bureaux de coworking Sarona Space (Source © secrettelaviv.com)
Le réseau issu de l'Unité 8200 et du Shin Bet
Une fois les structures de façade et les sociétés écrans écartées, on aboutit à un petit groupe de personnes qui a appris un métier au sein de l'appareil de sécurité israélien et l'applique désormais au reste du monde. L' Unité 8200 se trouve au sommet de ce réseau. Il s'agit de l'unité du renseignement d'origine électromagnétique et de cyberoffensive de l'armée israélienne, comparable à l' Agence nationale de sécurité américaine (NSA) et au Government Communications Headquarters (GCHQ) britannique, chargée d'intercepter les communications, de déchiffrer les codes, de manipuler les réseaux et de soutenir des opérations secrètes à l'étranger. Une expérience au sein de cette unité est un atout majeur sur les CV des techniciens de Tel Aviv et dans de nombreux dossiers de présentation de la Silicon Valley. Elle indique aux investisseurs que vous avez mené des opérations réelles sur des cibles concrètes.
Nir Benita, détenteur d'options chez Galacticos et figure de proue au rang de cofondateur, est décrit dans la presse française comme un ancien officier de l'Unité 8200 qui a évolué au sein d'entreprises spécialisées dans l'IA et le renseignement avant de prendre une participation et un poste technique dans la société qui a développé le générateur d'avatars hébergé sur le serveur londonien.
Le parcours de Yigal Unna au sein du même système est encore plus marqué. Il a débuté à l'Unité 8200, puis a passé 23 ans au sein du Shin Bet, les services de sécurité intérieure israéliens, où il a dirigé la division des opérations de cyber-renseignement et de renseignement d'origine électromagnétique. Pendant la majeure partie de cette carrière, il n'était connu en interne que sous le nom de "Y", la lettre utilisée pour masquer les noms des hauts responsables. En 2014, il est devenu chef de la division SIGINT-Cyber du Shin Bet, relevant directement du directeur général et dirigeant à la fois les capacités cyber offensives et défensives au cœur même du travail de sécurité intérieure d'Israël.
Sa mission comprenait des opérations qui ont directement influencé le conflit. L'une d'elles fut la campagne de surveillance qui a permis de localiser et de contribuer à l'élimination de Yahya Ayyash, le fabricant de bombes du Hamas et chef du bataillon de Cisjordanie des Brigades Izz ad-Din al-Qassam, à l'origine de certaines des attaques les plus meurtrières des années 1990, qui a été tué par un téléphone portable piégé le 5 janvier 1996.
En 2017, Netanyahu a nommé Yigla Unna directeur général de la Direction nationale israélienne de la cybersécurité (INCD), l'organisme civil au sein du bureau du Premier ministre qui a regroupé les capacités de cyberdéfense auparavant dispersées entre le Shin Bet et d'autres agences. Il a occupé ce poste jusqu'en 2022, rendant compte au bureau du Premier ministre et pilotant la stratégie nationale d'Israël en matière de cybersécurité.
Après avoir quitté le gouvernement, il a lancé Cygun, un cabinet de conseil privé proposant des projets de renforcement des capacités cybernétiques à des gouvernements allant de l'Inde au Mexique en passant par l'Afrique de l'Ouest, plusieurs de ces régions étant celles où des activités liées à BlackCore ont été signalées. Afik l'a ensuite contacté pour qu'il conseille une start-up spécialisée dans l'OSINT et les réseaux sociaux pour la protection des marques. Unna affirme avoir perçu une certaine improvisation et s'être retiré. En octobre 2024, il a rejoint le comité consultatif de Cyabra.
Le miroir nommé Cyabra
Cyabra est présentée comme l'entreprise israélienne censée lutter contre le type d'opération menée par BlackCore en France. Son argumentaire met en avant une IA capable de détecter les faux profils, les comportements inauthentiques coordonnés et les deepfakes, protégeant ainsi les démocraties, les marques et le discours public contre la manipulation et l'ingérence étrangère.
L'entreprise est bien réelle, tout comme ses outils. Cyabra est désormais cotée au Nasdaq sous le symbole CYAB, après avoir finalisé une fusion avec Trailblazer Merger Corporation I en mars 2026. Elle figure sur la liste de l'Administration des services généraux des États-Unis, ce qui signifie que les agences fédérales peuvent acheter ses services comme auprès d'un fournisseur ordinaire. Elle a publiquement cité le Département d'État américain parmi ses clients et affirme avoir aidé 19 gouvernements à protéger les élections au Moyen-Orient et en Asie-Pacifique au cours de l'année écoulée.
Mais voyons qui l'a créée. Le PDG et cofondateur Dan Brahmy dirige l'entreprise. Le directeur des produits Yossef Daar a passé près d'une décennie dans les services du renseignement militaire israéliens, notamment en tant que chef de département. Le directeur technique Ido Shraga est un autre vétéran des services de renseignement. Les trois fondateurs sont tous des vétérans des unités d'élite des services de renseignement israéliens. Globes a rapporté que les fondateurs disposent d'une grande expérience dans l'utilisation des identités numériques au sein des services de renseignement militaire et économique, et avaient compris que pour diffuser de la désinformation en ligne, il était nécessaire d'utiliser de fausses identités. Ces mêmes compétences qui permettent de mener une attaque sont désormais mises au service de la défense.
Dès le début, Cyabra a pu compter sur Ram Ben Barak en tant que conseiller principal. Ben Barak a passé 27 ans au Mossad, où il a gravi les échelons jusqu'au poste de directeur adjoint, puis a dirigé le ministère des Services de renseignement et le ministère des Affaires stratégiques, le département chargé de lutter contre le BDS et d'autres campagnes menées contre la politique d'Israël envers les Palestiniens.
En janvier 2024, Mike Pompeo, ancien directeur de la CIA et secrétaire d'État, a rejoint le conseil d'administration de Cyabra. Il a dirigé les services de renseignement étrangers et la diplomatie des États-Unis à une époque de coopération étroite entre les États-Unis et Israël en matière de sécurité. Il siège désormais au conseil d'administration d'une entreprise israélienne composée d' anciens membres de l'Unité 8200 et de l'armée israélienne spécialisés dans la guerre de l'information, conseillée par un ancien adjoint du Mossad et un ancien directeur national de la cybersécurité, et qui vend des services au Département d'État américain et à ces 19 gouvernements.
GRAPHIQUE 2 : Du sponsor caché à BlackCore - Description : Organigramme de gauche à droite montrant : commanditaire/client inconnu → Benguy Escrow Company Ltd → Galacticos Ltd → Strategic Network Intelligence (IL) → SNI Ltd (Royaume-Uni, dissoute) → serveur de Londres (tableaux de bord Galacticos AI / SNI) → opérations BlackCore (façade Sadaqah Palestine, campagnes de dénigrement en France/New York/Écosse/Angola/Togo). (Source © créé par l'auteur)
En octobre 2024, à peu près au moment où Unna affirme avoir pris ses distances avec Galacticos, il a rejoint Cyabra en tant que conseiller. L'homme dont le nom était trop confidentiel pour être divulgué au sein du Shin Bet, qui dirigeait l'appareil cybernétique israélien sous Netanyahu et dont le nom apparaît dans des documents liés au bureau d'Afik, contribue désormais à piloter la plateforme de détection phare israélienne qui fonctionne sur les mêmes signaux techniques que les outils offensifs de Galacticos.
Le système de détection de Cyabra traque les groupes de comptes agissant de manière coordonnée, effectue une analyse d'images sur les photos de profil pour repérer celles générées par l'IA, cartographie la structure du réseau pour révéler quels comptes amplifient quels discours et signale les schémas linguistiques trahissant la production de grands modèles linguistiques. Le générateur d'avatars de Galacticos et les campagnes de BlackCore ont été conçus pour passer ces tests. Mêmes signaux. Côté opposé du métier.
Techniquement, cela ressemble à une configuration antagoniste générative. Un modèle génère des faux. L'autre tente de les détecter. Chacun s'améliore en combattant l'autre. Ici, les mêmes écoles, la même doctrine et certaines mêmes personnes se trouvent aux deux extrémités de ce jeu. La ligne entre l'attaque et la défense n'est pas un mur. C'est une membrane.
IMAGE : Mike Pompeo (à gauche) et Dan Brahmy. (Source © Cyabra)
Cyabra n'a pas été accusée de diriger les opérations de BlackCore. Rien dans le dossier français n'indique que l'infrastructure de Cyabra a alimenté le travail offensif. Ce que ce chevauchement révèle est une réalité que tout client gouvernemental devrait prendre en compte. Le même petit cercle de vétérans des services de renseignement israéliens, d'anciens ministres et de personnalités politiques américaines se trouve à la fois derrière les outils d'attaque et les outils de détection, et la porte tournante entre les deux camps n'est pas une métaphore. C'est ainsi que fonctionne cet écosystème.
L'industrie israélienne de l'influence privée avant BlackCore
BlackCore n'est pas sorti de nulle part. Depuis des années, un petit groupe d'entreprises privées israéliennes, composées d'anciens agents des services de renseignement, vendent des services d'ingérence politique dans les démocraties occidentales. Psy-Group a été le premier à se faire véritablement connaître. Il a démarché la campagne Trump en 2016 pour une opération de dénigrement contre Hillary Clinton fondée sur de faux profils, de faux sites d'information et des opérations psychologiques ciblées contre les délégués républicains et les électeurs américains indécis. Elle a également mené des opérations d'influence secrètes lors d'au moins une élection locale aux États-Unis, en utilisant des identités sur les réseaux sociaux minutieusement élaborées et la manipulation en ligne comme produit.
Black Cube a adopté une approche différente mais opérait sur le même marché. Surnommée le "Mossad privé", elle a utilisé des agents infiltrés, des caméras cachées et autres pièges pour recueillir des informations compromettantes sur des ONG et des cibles politiques, puis a transmis ces enregistrements à des médias complices avant les élections. Ses agents ont été accusés d'ingérence dans les élections en Hongrie et ailleurs.
En 2022, LinkedIn a confirmé que Black Cube a utilisé de fausses offres d'emploi pour cibler des militants et des journalistes hongrois avant les élections législatives. Les noms changent. Le schéma reste. Une agence de renseignement privée israélienne apparaît à l'approche d'une élection, effectue le sale boulot pour un client, nie tout lorsqu'elle est prise sur le fait, puis se réorganise discrètement pour la campagne suivante.
Ce qui a changé avec Galacticos et BlackCore, ce n'est pas l'intention, mais les outils. Psy-Group avait besoin d'équipes humaines pour incarner de faux personnages et coordonner leurs récits. Black Cube avait besoin d'agents de terrain pour appâter, enregistrer et divulguer des informations sur ses cibles. Galacticos confie ce travail à l'IA. Une usine d'avatars. Un réseau de serveurs. Mille six cents personnes synthétiques qui ne dorment jamais. Le client achète une portée et une déniabilité à une fraction du coût d'autrefois, avec une empreinte humaine réduite et une empreinte technique plus importante. Le secteur a évolué. Pas le cœur de métier.
Psy-Group a fermé ses portes début 2018 après avoir été mis sous le feu des projecteurs par l'enquête du procureur spécial Robert Mueller sur l'ingérence électorale. Galacticos et BlackCore en sont la nouvelle version. Automatisés par l'IA, moins coûteux à exploiter, plus faciles à faire évoluer et conçus pour disparaître dès que quelqu'un pose des questions. Les entreprises changent de nom. Les outils gagnent en précision. Le vivier de talents demeure.
La réponse de la France et ce que nous ignorons encore
La France n'a pas traité cela comme un incident. Le rapport de Viginum est sur le bureau du Premier ministre. Le parquet de Paris a ouvert une enquête. Les services de renseignement extérieurs, la DGSE (Direction générale de la sécurité extérieure), et les services de contre-espionnage intérieurs, la DGSI (Direction générale de la sécurité intérieure), ont tous deux reçu pour instruction de suivre les pistes les plus sensibles, notamment celle d'Unna et les liens entre Galacticos, SNI et Benguy. Lecornu a publiquement exigé des explications de la part d'Israël et a déclaré que si une entreprise privée française avait fait aux élections israéliennes ce que ce réseau a fait en France, Tel-Aviv aurait convoqué l'ambassadeur français de la même manière que Paris a convoqué le leur.
L'ambassade d'Israël a répondu qu'Israël n'a aucune intention de s'ingérer dans la politique française à quelque niveau que ce soit. L'intention n'est pas la question. Ce que Viginum décrit n'est pas un souhait. Il s'agit d'une opération, techniquement documentée, liée à des infrastructures et des entreprises spécifiques, et qui fait désormais l'objet de deux enquêtes pénales distinctes en France. La réponse israélienne relève de la diplomatie. Le dossier français repose sur des preuves.
Nous ne savons toujours pas qui a financé tout cela. Viginum a déclaré n'avoir pas identifié le ou les commanditaires derrière cette ingérence numérique étrangère. Nous ne savons pas si Benguy ou une autre entité fiduciaire détient une participation dans Galacticos pour le compte d'un client politique, d'une agence d'État ou d'un donateur privé. Nous ne savons pas ce qu'il est advenu des données collectées par le biais de la fausse ONG Sadaqah Palestine, si des fonds ont été levés sous de faux prétextes, ni quelles personnes issues des communautés musulmanes et pro-palestiniennes de France ont vu leurs informations personnelles collectées par un système qui, dans le même temps, se préparait à attaquer leurs représentants politiques. Nous ne savons pas quels politiciens en Angola et au Togo ont été ciblés ni à quoi ressemblaient ces opérations sur le terrain. Nous ne connaissons pas l'ensemble de la couverture géographique ni la liste des clients de Cygun, ni dans quelle mesure celle-ci correspond aux pays où BlackCore a été actif.
Ces questions ne sont pas hors de portée. Elles relèvent des assignations à comparaître, des auditions parlementaires et des demandes de divulgation strictes. Les enquêteurs français ont entamé ce travail. Côté israélien, on reserre les rangs.
Ce qui est déjà visible suffit à boucler la boucle. BlackCore n'est pas une opération ponctuelle de coups bas dirigée depuis Israël. Elle repose sur une architecture reliant des vétérans de l' Unité 8200 et du Shin Bet, un cabinet d'avocats de Tel Aviv au barreau de New York, des sociétés écrans britanniques qui ont survécu à leur existence légale juste assez longtemps pour ancrer l'infrastructure, un vecteur fiduciaire utilisé pour dissimuler la propriété et une plateforme de détection cotée au Nasdaq qui monétise les mêmes connaissances et les mêmes relations de l'autre côté du jeu.
On ne peut comprendre BlackCore sans Galacticos. Mais on ne peut comprendre Galacticos sans le réseau des anciens de l'Unité 8200. Ce réseau débouche directement sur Cyabra. Le conseil d'administration de Cyabra est lié à la CIA, au bureau du Premier ministre et à l' ancienne direction du Mossad. Ce sont là les cercles concentriques du secteur privé de la guerre de l'information en Israël. BlackCore se trouve au coeur opérationnel de tous ces cercles.
L'affaire française est une première dans la mise en cause de cette architecture, et cela ne s'est produit que parce que trois candidats à Marseille, Toulouse et Roubaix ont été si durement touchés que les services de l'État français n'ont eu d'autre choix que de remonter la piste. Ces trois candidats ont été pris pour cible parce qu'ils soutenaient les Palestiniens. Ceux qui ont mis en place le dispositif visant à les attaquer font partie de cette même industrie israélienne d'exportation de la "zone grise", documentée par l'enquête #StoryKillers de Le Monde en 2023. Ce n'est pas du contexte. C'est l'histoire elle-même.
Traduit par Spirit of Free Speech