Non les “Macronleaks” ne sont pas Russes !

Plus de deux ans après les «MacronLeaks», ses auteurs restent inconnus.

A l’époque, le parti d’Emmanuel Macron dénonce avec force une attaque sans précédent dans l’histoire politique française ; le gouvernement et la majeure partie des personnalités politiques s’émeuvent de ce piratage visant manifestement à perturber le scrutin. « Rien ne sera laissé sans réponse », promet François Hollande, encore président de la République pour quelques jours.

« Il ne s’agit pas d’une simple opération de piratage, mais d’une tentative de déstabiliser l’élection présidentielle française »écrivait En marche ! Le 5 mai 2017, en début de soirée. Près de 150 000 courriels et documents, piratés à cinq personnalités gravitant autour du mouvement – dont certains cadres –, venaient d’être mis en ligne, deux jours avant le second tour de l’élection présidentielle.


A deux heures de la clôture de la campagne pour l’élection présidentielle 2017, au soir du 5 mail 2017, des dizaines de milliers de documents attribués à l’équipe de campagne d’Emmanuel Macron ont fuité sur le forum américain 4Chan, relayés par WikiLeaks. Ils ont depuis été massivement diffusés sur les réseaux sociaux. Toutes les discussions internes du mouvement, des photos, des notes de synthèses, des factures ainsi que sa comptabilité: ce sont au total plusieurs gigaoctets de données piratées qui ont été diffusés.


WikiLeaks publie l’intégralité des «MacronLeaks»

Le site fondé par Julian Assange a mis en place un moteur de recherche, comme il l’avait fait par le passé pour d’autres documents diffusés sur Internet après un piratage.

Le site spécialisé dans la diffusion de documents confidentiels WikiLeaks a publié ce 31 juillet 71 848 courriels provenant des « MacronLeaks » – un ensemble d’e-mails piratés et diffusés sur Internet juste avant le second tour de l’élection présidentielle. Ces documents ne sont donc pas nouveaux, mais ils n’étaient jusqu’à présent diffusés sur Internet que sous la forme d’archives complètes, sans moteur de recherche, et donc difficilement lisibles.

Comme à son habitude, WikiLeaks a publié ces documents « bruts », en y intégrant les nombreux e-mails personnels contenus dans les archives (certaines des personnes victimes du piratage ayant mélangé leurs boîtes personnelles et professionnelles). WikiLeaks affirme avoir pu confirmer l’authenticité de 21 075 de ces courriels et de leurs pièces jointes. Le site y a ajouté un moteur de recherche pour les explorer.

L’analyse des documents n’avait pas soulevé de révélations majeures sur le fonctionnement de la campagne d’En marche ! – les fichiers ne contenant pas ou peu de discussions stratégiques majeures. Les documents avaient cependant permis au site Mediapart de démontrer que le député Alain Tourret avait utilisé son indemnité de frais de mandat pour réaliser des achats personnels.

L’enquête sur le piratage ayant ciblé En marche ! est toujours ouverte – le patron de l’Anssi, le «garde du corps numérique» de l’Etat, avait estimé en juin que le piratage était «simple et générique», et qu’il avait pu «pu être commis par quasiment n’importe qui»

Si l’origine du piratage reste inconnue, la diffusion des documents à la veille du second tour de la présidentielle est, elle, bien documentée : elle a été effectuée par un réseau de sites et de personnalités liés à l’extrême droite américaine.

“MacronLeaks”: comment En Marche! a tenté de tromper les hackers

Par Antoine Terrel et Perrine Signoret, publié le 11/05/2017 – www.lexpress.fr

L’équipe en charge du numérique chez En Marche! a choisi pour tenter de ralentir le travail des hackers, ce que l’on nomme la technique du “cyber-blurring” (floutage numérique). Il s’agit de mettre volontairement à leur disposition de fausses informations. Des dizaines de milliers de faux e-mails et de faux mots de passe ont ainsi été créés. 

“Nous avons lancé une contre-offensive”, confirme Mounir Mahjoubi, responsable de la campagne numérique au New York Times, avant d’en détailler le procédé. “Nous avons créé des faux comptes, avec du faux contenu, en guise de pièges. Nous l’avons fait de façon massive, afin d’obliger les pirates à se plier à des opérations de vérification (…) Même si cela ne leur faisait perdre qu’une minute, nous étions contents.”

Le procédé est réputé efficace. Il a d’ailleurs été salué par le New York Times, qui n’a pas manqué de louer “l’ingéniosité” des équipes du président élu, avant de déplorer qu’Hillary Clinton n’ait pas eu la même réactivité lors de l’affaire du piratage de ses e-mails

“Il ne faut pas oublier que l’attaque n’a pas été empêchée”

Cependant, le succès est à relativiser, comme l’explique à L’Express Nicolas Arpagian, expert en cybersécurité et auteur d’un ouvrage sur le sujet. “Les techniques qu’En Marche! dit avoir utilisées sont bonnes, mais il ne faut pas oublier que malgré ces précautions, l’attaque n’a pas été empêchée.” 

Cela n’aurait, selon lui, rien d’étonnant, compte tenu du type de structure visé: “On parle d’une équipe de campagne. Ce sont des gens hyper-connectés, dispersés dans toute la France, qui n’ont pas forcément de compétences en sécurité informatique. De toute façon, on aurait beau les former, certains continueront d’utiliser leurs téléphones et ordinateurs personnels, ou de s’échanger des documents sur une clé USB sans en vérifier la provenance.” 

Le manque de budget alloué à la cybersécurité

L’expert ajoute que, “comme un média”, les équipes de campagne sont régulièrement amenées à ouvrir les e-mails de personnes qu’ils ne connaissent pas. Avec la diversité des pièces jointes que l’on connaît aujourd’hui (document texte, PDF, GIF, vidéo, image, etc), et le fait que les pirates aient parfois usurpé des identités pour envoyer les e-mails infectés, il devient difficile pour les membres d’une équipe “aux moyens limités” de ne pas se faire avoir. 

Le manque de budget, voici selon Nicolas Arpagian un autre problème. Lui, milite pour que l’argent alloué à la cybersécurité des partis ou mouvements, s’il resterait exclusivement à leur charge, ne soit pas compté dans les comptes de campagne traditionnels. Il explique ainsi sa position: “Il y a fort à parier qu’un directeur de la communication d’une équipe de campagne, entre la sécurité informatique et la location d’une salle pour un meeting supplémentaire, choisisse la seconde option.” 

Qui sont les commanditaires de cette attaque?

Reste ensuite une question: celle, de l’identité des auteurs de cette cyberattaque. A en croire Mounir Mahjoubi, l’identité idéologique des pirates ne ferait aucun doute: l’extrême-droite. “Cette attaque est symptomatique de la lutte des conservateurs contre les progressistes. Ce sont des gens d’extrême droite, qui ont tout intérêt à agir de concert”, explique-t-il, interrogé par France Inter.  

A nouveau questionné ce jeudi (nov 2017) au micro de Patrick Cohen, Mahjoubi souligne que certains de ceux qui ont menacé la campagne ont les liens avec “des Etats comme la Russie”, sans toutefois avancer de preuves. 

Nicolas Arpagian, de son côté, se veut plus prudent. Il rappelle ainsi que le monde du piratage est “un monde d’illusions”. “Ce n’est pas parce qu’on trouve des phrases en cyrillique que ça constitue une preuve que ce sont les Russes, dit-il ainsi. N’importe qui aurait pu les laisser là. Je dirais même que c’est presque trop évident pour être vrai. Il ne faut pas oublier que ce sont des personnes qui savent très bien ce qu’elles font.” 

Des motivations idéologiques et politiques

Le spécialiste préconise donc plutôt de se baser sur les motivations éventuelles que sur les techniques utilisées afin de savoir qui pourrait être à l’origine des “MacronLeaks”. Il élimine ainsi d’office l’hypothèse d’une mafia ou d’un opportuniste aux intérêts “crapuleux”. Les informations diffusées n’étaient en effet pas monétisables, et un pirate qui aurait souhaité en tirer une certaine somme d’argent n’aurait menacé de publier que certains documents compromettants (et non neuf gigas à trier). 

La possibilité de l’implication d’un concurrent politique serait aussi peu probable, les documents n’avantageant directement aucun autre candidat. 

MacronLeaks : Poutine et Macron se sont exprimés au sujet des hackers russes
29 mai 2017

Reste, donc, la volonté idéologique et politique. Celle, “d’attenter à une réputation, de salir, polluer le débat politique, d’instaurer un espèce de climat délétère.” “C’est ce qui semble expliquer ici le piratage, détaille Nicolas Arpagian. Dans ce cas précis, le contenu des leaks en lui-même n’est pas très important. Ce qui explique l’agenda choisi: ils savaient que les médias français n’auraient pas le temps de l’étudier, mais la seule désignation “interne” suffisait à rendre les documents suspects. Ça permettait aussi de discréditer un peu la presse, en disant qu’elle n’enquêtait pas, alors que d’autres, si. Comme disait la marquise de Sévigné : “Médisez, médisez, il en restera toujours quelque chose.” 

Il note, enfin, que les techniques, les moyens et la nature de l’attaque sont suffisamment accessibles pour que le piratage puisse ne pas être “de niveau étatique”.