« MacronLeaks » : début d’un long et fastidieux travail d’enquête
« MacronLeaks » : début d’un long et fastidieux travail d’enquête
Par Martin Untersinger
François Hollande a réagi à la publication de documents présentés comme le contenu de boîte e-mail de cadres d’En Marche ! « Rien ne sera laissé sans réponse » a-t-il averti.
La publication va mettre à l’épreuve la capacité de la France à réagir aux interférence numériques. | LIONEL BONAVENTURE / AFP
Après plusieurs mois passés à craindre des piratages similaires à ceux qui ont frappé la campagne américaine de 2016 et à muscler les défenses numériques de l’Etat, les autorités françaises pensaient avoir évité le pire. Malgré de larges campagnes d’intox et de rumeurs sur les réseaux sociaux, les piratages avaient jusqu’ici épargné les candidats à la présidentielle.
Jusqu’à une poignée d’heures avant l’ouverture des premiers bureaux de vote : vendredi 5 mai en fin de soirée ont été publiés en ligne une montagne de documents, présentés comme le contenu de boîtes e-mail de plusieurs lieutenants d’Emmanuel Macron.
Dans la nuit, le candidat a saisi la Commission nationale de contrôle de la campagne (CNCCEP), l’arbitre de la campagne électorale. Un préalable indispensable pour déclencher l’intervention de l’Agence nationale de sécurité des systèmes d’information (ANSSI). Le garde du corps numérique de l’Etat, qui dépend de Matignon et dont les agents sont des spécialistes de sécurité informatique de très haut niveau, dispose dans le cadre de la campagne 2017 - c’est une première - de la faculté d’intervenir auprès des équipes des candidats. Selon nos informations, l’ANSSI a été formellement saisie par la CNCCEP et a dépêché des agents auprès des équipes d’En marche! pour comprendre l’attaque, isoler les preuves informatiques et sécuriser encore davantage leurs systèmes.
Pour le moment, les détails techniques du piratage sont extrêmement minces. Si l’authenticité de l’intégralité des documents est sujette à caution, ils semblent émaner essentiellement de comptes e-mail personnels, même si une boîte officielle de En marche! est concernée.
Comme toutes les campagnes électorales, et sous la pression des autorités, les états-majors des candidats étaient au courant de la possibilité d’attaques informatiques. « C’est ma troisième campagne, et c’est la première fois qu’il y a une telle conscience du risque, au plus haut niveau, personne ne prend ça à la légère », expliquait il y a quelques semaines au Monde Mounir Mahjoubi, responsable de la campagne numérique d’En marche!.
Comment expliquer alors que le parti ait pu être ainsi piraté ? Impossible de le dire à ce stade. La présence majoritaire de boîte e-mail personnelle semble indiquer que les pirates y ont rencontré davantage de succès que face aux systèmes d’En marche!. Comment le ou les pirates ont pu dérober ces données ? Le plus probable est qu’ils aient fait parvenir aux victimes un courriel se faisant passer, par exemple, pour leur fournisseur de messagerie afin de leur soutirer leur mot de passe. Même avec des systèmes informatiques robustes, cette technique, appelée hameçonnage (ou phishing), fait des dégâts : elle exploite en effet la distraction, la désinvolture et la bonne foi des victimes. Les campagnes de hameçonnage sophistiquées sont extrêmement difficile à détecter, même si certaines précautions, comme la double authentification, permettent d’en limiter largement les impacts.
Sait-on qui est derrière ce piratage ?
Si la méthode est inconnue à ce stade, l’auteur l’est tout autant, a fortiori parce que le travail de recueil des preuves numériques, préalable à un long et fastidieux travail d’enquête, vient à peine débuter. Les regards des experts, à la fois à l’intérieur et à l’extérieur de l’Etat, se tournent cependant vers la Russie, en partie car les modalités de cette fuite - de son apparition et sa circulation à son but vraisemblable - correspondent à la stratégie russe dans le cyberespace.
« Les cyberattaques font partie d’une campagne pour instiller le doute et la confusion aux populations occidentales envers leurs institutions [et] embarrasser leurs gouvernements » expliquait par exemple au Monde Matthijs Veenendaal, du Cooperative Cyber Defence Centre of Excellence (CCDCOE), un organisme de recherche consacré à la cyberdéfense patronné par l’OTAN.
En l’occurrence, la temporalité de cette fuite - si proche du second tour et quelques minutes avant le silence imposé aux médias sur les contenus politiques, empêchant toute réaction - ne laisse aucun doute sur la volonté du ou des pirates de peser d’une manière ou d’une autre sur le deuxième tour de la présidentielle française. S’agit-il d’un ultime avertissement au vraisemblable futur locataire de l’Elysée ? De la première étape d’une série de publication ayant pour but le pourrissement du débat politique français, avec les législatives en ligne de mire ?
Par ailleurs, les médias russes en langue française financés par le Kremlin, en premier lieu Russia Today et Sputnik, ont multiplié les articles très critiques contre Emmanuel Macron, relayant dans certains cas des rumeurs sur sa vie privée. Cette posture, ainsi que plusieurs tentatives d’attaques, avaient même convaincu le secrétaire général d’En marche! de publier une tribune dans Le Monde, dénonçant ces deux médias, les attaques informatiques et plus généralement « l’immixtion » de la Russie dans la campagne française. Dans un second temps, les deux médias ont même été bannis de la campagne
Le groupe de pirate qui a pris pour cible la campagne démocrate, et que les Etats-Unis ont accusé de faire partie des services de renseignement russes et d’agir sur ordre direct de Vladimir Poutine, se sont récemment intéressés à la campagne de l’ancien ministre de l’économie, selon l’entreprise de sécurité informatique Trend Micro. Cette dernière a détecté la création, par ce groupe, de noms de sites ressemblant fortement à ceux utilisés par les membres d’En marche!. Une étape classique lorsqu’on désire mettre en place une opération de hameçonnage.
Et maintenant ?
Le piratage des courriels du parti démocrate et du directeur de campagne d’Hillary Clinton avait, aux Etats-Unis, abouti sur une dénonciation officielle de l’implication de la Russie dans ces opérations. A ce stade et dans les heures qui précèdent le scrutin, les autorités françaises voudront rester d’une prudence de Sioux afin d’éviter toute contestation ultérieure du résultat des votes. D’autant que jusqu’ici, la France n’a jamais attribué une cyberattaque, pour des raisons à la fois techniques et politiques.
Les événements de ces dernières heures pourraient cependant changer la donne : en février, le ministre des affaires étrangères Jean-Marc Ayrault, avait formulé un avertissement clair. La France, avait-il expliqué dans l’enceinte de l’Assemblée nationale, « n’acceptera aucune ingérence (…) dans [son] processus électoral (...) Il en va de notre démocratie, il en va de notre souveraineté, il en va de notre indépendance nationale (...) [Il faut] faire clairement connaître les limites (...) y compris en prenant des mesures de rétorsion lorsque cela est nécessaire, car aucun Etat étranger ne peut influencer le choix des Français ».
Cette tirade était tout sauf anodine : elle avait pour but de tracer une ligne rouge claire, au delà de laquelle les autorités françaises pourraient prendre des mesures, de la mise en cause officielle aux mesures de rétorsion secrètes, comme des contre attaques informatiques. Les jours qui viennent nous dirons si les autorités françaises estiment que cette ligne rouge a été franchie. Un premier indice a été donné, samedi 6 mai, par François Hollande. « On savait qu’il y aurait ces risques-là durant la campagne présidentielle puisque ça s’était produit ailleurs. Rien ne sera laissé sans réponse » a-t-il déclaré à l’Agence France-Presse à sa sortie de l’Institut du monde arabe (Ima) à Paris.
« Le Monde » et les documents des « MacronLeaks »
A quelques heures de la fin de la campagne officielle, vendredi 5 mai, des milliers de documents internes attribués à la campagne d’Emmanuel Macron ont été publiés sur Internet. Le Monde a pu consulter une partie de ces documents, issus d’un piratage massif de boites mails personnelles et professionnelles de cadres du mouvement.
Quelle que soit l’origine du piratage, la publication de ces documents à deux jours du deuxième tour, dans la période de réserve qui interdit aux candidats et à leurs soutiens de s’exprimer, vise clairement à perturber le processus électoral en cours.
Le Monde ne publiera le contenu d’aucun de ces documents avant le deuxième tour. D’abord parce que le volume de documents piratés - quinze gigaoctets de fichiers - rend leur analyse, les recoupements et vérifications qui s’imposent dans tout travail journalistique, impossibles à conduire dans ce délai. Aussi, et surtout, parce que ces fichiers ont sciemment été publiés 48 heures avant le vote, dans le but manifeste de nuire à la sincérité du scrutin, à un moment où les principaux intéressés ont l’interdiction légale de répondre à d’éventuelles accusations.
Si ces documents contiennent des révélations, Le Monde, bien entendu, les publiera, après avoir enquêté, dans les respect de nos règles journalistiques et déontologiques, sans se laisser instrumentaliser par le calendrier de publication d’acteurs anonymes.