Vendredi 5 mai, aux alentours de 21 heures. Des messages menant au contenu piraté de plusieurs boîtes e-mail apparaissent sur les réseaux sociaux : il s’agit de plusieurs gigaoctets de données, présentés comme étant issus des comptes de cinq lieutenants d’Emmanuel Macron.

Peu avant minuit, les responsables de la campagne d’En marche ! publient un communiqué dans lequel ils reconnaissent que le mouvement a été victime « d’une action de piratage massive et coordonnée », avertissant qu’« une grande partie [des documents] sont purement et simplement des faux ». Quelques minutes plus tard tombe le silence médiatique imposé par la loi : aucun membre d’En marche ! ne pourra s’exprimer jusqu’à dimanche, 20 heures.

Ce n’est donc que dans la soirée de dimanche que le responsable numérique de la campagne de celui qui a désormais remporté l’élection présidentielle, Mounir Mahjoubi, a donné des explications sur le déroulé des événements, au micro de Franceinfo.

Les premières mentions des documents piratés apparaissent alors que son candidat répond aux questions des journalistes de Mediapart. Celui qui n’était alors que candidat l’apprendra à sa sortie du plateau. « On était dans le dernier “live tweet” [commentaire de l’entretien en direct et sur les réseaux sociaux], c’était un beau moment, on était heureux. A mi-chemin, on voit les choses sortir », se remémore M. Mahjoubi. Une dizaine de personnes se réunissent alors pour « télécharger les documents, analyser, évaluer », et, très vite, publier un communiqué de presse avant le couperet de minuit.

L’épisode de vendredi est l’aboutissement de plusieurs mois de « pilon[nage] », selon M. Mahjoubi : « Depuis décembre, nous recevons des tentatives d’attaques tous les jours. » La dernière utilisait même son identité pour convaincre les membres de l’équipe de campagne d’ouvrir des pièces jointes – piégées – pour se « protéger des attaques ». Selon lui, aucun scandale ne pourra être découvert dans la masse de fichiers publiés. Bien sûr, « il y a des choses qui ne sont pas très agréables à montrer à l’extérieur », concède-t-il à Franceinfo, comme « les grilles de salaire », « des blagues potaches », mais « pas de secrets ». Les discussions les plus sensibles sont passées par « plusieurs autres messageries », qui n’ont pas été touchées par le piratage, a-t-il expliqué.

D’où l’attaque provient-elle ?

« Ce qui a été publié, c’est le résultat d’une des attaques, on ne sait pas laquelle », a révélé M. Mahjoubi, refusant de faire tout lien avec le groupe APT 28, dont l’entreprise, Trend Micro, affirme qu’il a visé la campagne d’En marche ! récemment et que les Etats-Unis ont accusé d’être le bras armé des services de renseignement russes.

« Je ne dis pas que c’est la Russie. Les attaques peuvent prendre les atours d’une attaque venue de la Russie », a-t-il précisé, préférant voir l’action de groupes informels, très politisés, une « internationale des conservateurs, une union des extrêmes droites » :

« Je pense que ça va mettre du temps pour faire les analyses, les déconstructions, pour savoir qui sont ces groupes. Il faudra faire une enquête sur nos serveurs mais aussi sur le cycle de publication, qui a été le premier à communiquer. »

Une enquête a été ouverte vendredi 5 mai par le parquet de Paris pour piratage et « atteinte au secret des correspondances ». Elle a été confiée à la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), qui dépend de la préfecture de police.

Bien aidé par le contexte de victoire, M. Mahjoubi voit surtout dans cette opération de I’« amateurisme ». Et fait le lien avec l’évocation par Marine Le Pen, lors du débat de l’entre-deux- tours, d’une rumeur prêtant à Emmanuel Macron un compte offshore, quelques heures après l’apparition de la rumeur sur le site américain 4Chan. Selon lui, si le Front national n’est pas directement responsable de cette rumeur, il estime que cela « vient des gens qui les soutiennent ».