Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chronique des #MacronLeaks, du piratage d'En Marche ! aux intox de l'extrême-droite

Bienvenue dans l'ère de la forge
Internet 9 min
Chronique des #MacronLeaks, du piratage d'En Marche ! aux intox de l'extrême-droite
Crédits : Yuri_Arcurs/iStock

Dans les derniers jours de l'élection présidentielle, des documents volés au mouvement d'Emmanuel Macron ont été publiés en ligne, cernés par une grande quantité de faux. Cette campagne, portée par l'extrême-droite en France et ailleurs, pose son lot de défis. Retour sur les événements, avec des protagonistes et spécialistes.

Si les fausses informations ont marqué la campagne présidentielle, celle-ci s'est finie en apothéose. Le vendredi 5 mai au soir, à quelques heures de la fin officielle, sortaient les #MacronLeaks, soit le contenu de comptes en ligne de cinq membres de l'équipe d'En Marche !. Une avalanche de 15 Go de données largement relayée en ligne par l'extrême-droite, mélangée à des intox variées, auxquelles le mouvement n'a pu répondre que brièvement avant lundi.

Publiée vers 20h sur 4chan, l'archive est rapidement partagée via Twitter par des figures de la « réinformation » américaine, d'abord William Cradick de Disobedient Media, puis Jack Posobiec de The Rebel (le premier à y accoler le hashtag #MacronLeaks). Wikileaks reprend ensuite la fuite, sans d'abord la vérifier, au milieu d'une nuée de faux comptes attribués à l'extrême-droite états-unienne.

La nouvelle émerge réellement en France après 23h... soit une heure à peine avant la période de réserve, empêchant les candidats et leurs soutiens de mener leur propagande électorale le week-end du vote. Elle est entre autres partagée par des soutiens et membres du FN, dont Florian Philippot, qui joue la carte du silence médiatique. Quelques minutes avant minuit, En Marche ! publie un dernier communiqué, affirmant qu'une partie des contenus sont authentiques, tout en dénonçant le piratage de ses militants.

Le parquet de Paris a, pour sa part, ouvert une enquête dès le vendredi soir. En parallèle, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a été saisie. Elle annonce fournir son expertise technique au mouvement, qui s'est adressé à la Commission nationale de contrôle de la  campagne électorale en vue de l’élection présidentielle (CNCCEP) pour demander cette aide. À l'AFP, François Hollande déclarait que « rien ne sera laissé sans réponse ».

En Marche !, le phishing et de faux comptes

Dans un entretien à franceinfo le dimanche 7 mai au soir, Mounir Mahjoubi (responsable de la campagne numérique d'EM!), dénonce une diffusion de fausses informations par « des supports » de l'extrême-droite américaine et française. Cela à la fois pour le prétendu compte aux Bahamas d'Emmanuel Macron (à partir de documents forgés) et les #MacronLeaks. Un « pilonnage permanent » de médias russes (nommément RT et Sputnik) est aussi mis en cause.

Mahjoubi déclare que l'équipe subit deux à trois campagnes de phishing ciblé par semaine depuis décembre. Cinq boites emails auraient été compromises, dont deux sur Gmail, donnant visiblement accès à un espace de stockage partagé. À chaque tentative de phishing, « on a renvoyé de faux emails, de faux mots de passe, et même de vrais comptes avec de faux contenus. On les a conçus à partir de la dixième... On n'a pas été malins au début ». Une mesure qui n'a de toute évidence pas suffi.

Le 5 mai au soir, une équipe de crise a été montée. Mounir Mahjoubi raconte qu'elle a pris une centaine d'emails au hasard, pour vérifier leur véracité. Elle serait rapidement tombée sur plusieurs faux messages qu'ils avaient fournis lors des campagnes de phishing... Menées par qui ? S'il ne se risque pas à une attribution, le responsable évoque tout de même APT28, le groupe de pirates (présumés russes) qui aurait piraté le parti démocrate américain l'an dernier.

Contactée par nos soins, l'ANSSI « va étudier le mode opératoire de l'attaquant et transmettre aux équipes les recommandations de sécurité pour qu'elles ne soient pas à nouveau victimes d'une attaque similaire ». Ce travail technique « assez long » suit une sensibilisation des partis politiques en octobre, et des équipes de campagne début 2017, suite au piratage du parti démocrate, qui a été un déclencheur pour l'agence.

Pour la CNCCEP, « clairement, ça a été à une échelle nouvelle »

Le 6 mai, la CNCCEP prenait acte du piratage et appelait internautes et médias à la retenue jusqu'au lundi. Contacté, son rapporteur général Bertrand Dacosta nous déclare que « clairement, ça a été à une échelle nouvelle » dans la diffusion de fausses informations en ligne.

Dès février, la commission prévenait « des risques cyber ». « Ce risque, virtuel, s'est manifesté de manière importante dans les tous derniers jours » déclare Dacosta, qui confirme que seul En Marche ! a saisi la CNCCEP. La demande concernait à la fois les fausses informations sur un compte bancaire caché et les #MacronLeaks, sur lesquels l'ANSSI a été appelée.

Dans ce contrôle de l'expression des candidats et de leurs soutiens, Internet pose un défi particulier : la séparation entre expression publique et privée. Si un compte Twitter accessible librement est considéré comme public, un compte Facebook aux publications restreintes aux amis est « privé ». « On navigue à vue pour encore quelques années » estime tout de même le rapporteur de la commission, officiellement dissoute depuis le 7 mai à 20h.

Dans le cas des tweets liés au FN, dont ceux de Florian Philippot, « il n'y a pas de méconnaissance directe du code électoral » pense le spécialiste. S'il y a des suites sur la sincérité du scrutin, elles seront sûrement du ressort du Conseil constitutionnel. Il estime que le problème de rumeurs et fausses informations diffusées en toute fin de campagne sont classique dans les municipales, mais pose bien un problème plus large ici.

La responsabilité des réseaux sociaux

« Les médias audiovisuels et sites Internet sérieux ont fait preuve d'un grand respect pour ne pas relayer tout le vrai et faux contenu dans ces fuites » salue la commission. Le Monde, par exemple, a rapidement affirmé qu'il ne traiterait pas les documents dans l'urgence, rappelant que décortiquer des gigaoctets de fichiers peut prendre jusqu'à plusieurs semaines.

Le cas des réseaux sociaux, lui, est plus trouble. Comme le rapporte Libération, des représentants de la « fachosphère » se sont publiquement alarmés de la suppression massive de comptes le week-end du 7 mai. Facebook confirme bien mener des actions régulières contre des comptes diffusant de fausses informations, ainsi que la suppression de messages pour respecter les lois électorales. Le mois dernier, elle précisait avoir agi contre 30 000 comptes en France au sujet des fake news.

Twitter a également suspendu des comptes pro-FN, mais contrairement à Facebook, n'agit pas spécifiquement contre les fausses nouvelles. Le service aurait utilisé la procédure classique, c'est-à-dire les signalements de comptes et de hashtags par ses membres. Il ne propose aucun dispositif de signalement des fake news, ni d'avertissement sur les messages litigieux, contrairement à Facebook. Contacté, le réseau social s'est (comme d'habitude) refusé à tout commentaire, restant désespérément muet sur le sujet.

La CNCCEP nous dit avoir été contactée dans le week-end par Facebook et Twitter, qui ont fait comprendre qu’ils comptaient supprimer des comptes diffusant ces informations. « Parfois, on nous a demandé si on voulait intervenir. La commission ne l’a pas souhaité, les médias n’ayant pas relayé ces informations. Il n’était pas question d’ouvrir une polémique supplémentaire » nous indique-t-elle.

Que contiennent les #MacronLeaks ?

Les #MacronsLeaks eux-mêmes ressemblent à un large sac de nœuds. Ils désignent à la fois les contenus authentiques piratés chez En Marche !, de possibles faux documents implantés dans la fuite du 5 mai, ainsi que de nombreuses rumeurs infondées lancées sur les réseaux sociaux. Ces fausses informations complémentaires sont nombreuses, comme un projet pour « islamiser » (sic) la France, des commandes de drogue ou d'objets tendancieux.

Pour Slate, Jean-Marc Manach s'est livré à une analyse du phénomène. Les faux se sont multipliés à toute vitesse suite à la publication sur Twitter de la nouvelle, réactivant entre autres de vieilles rumeurs liées à l'Islam ou une homosexualité imaginée d'Emmanuel Macron.

Parmi les faux documents intégrés à la fuite, figurent par exemple des messages liés à Ziad Takkedine datés du début des années 2000. Pour le moment, les documents légitimes contiennent des milliers de factures à des fournisseurs, des éléments de gestion de la campagne et des communications sur les investitures aux législatives, qui semblent considérés conformes à la bonne marche d'une campagne électorale.

En fait, une hypothèse émerge selon laquelle la publication de ces documents à l'extrême-fin de la campagne serait une simple opération de déstabilisation. À défaut de contenu compromettant, il ne resterait plus que la diffusion en bloc pour créer le choc. Une « théorie plausible », même si « la date et l'heure de la diffusion peuvent tout de même être aléatoires » estime Jef Mathiot, ingénieur informatique et journaliste chez Reflets. Le timing utilisé par l'extrême-droite américaine dénoterait d'une méconnaissance de notre processus électoral, selon lui.

« Hackers russes », attribution et réalité

Quelques heures à peine après la fuite, les regards se sont rapidement tournés vers la Russie, déjà accusée du piratage du parti démocrate américain. Sur quelles bases ? Des tags en cyrilliques « cachés » dans un document Excel. Qui dit cyrillique dirait donc russe. CQFD. Des sociétés comme Trend Micro accusaient déjà Moscou lors de précédentes attaques, s'arrogeant une publicité à peu de frais... sur la base d'éléments souvent gardés secrets.

Si ces traces basiques en cyrillique sont réelles, elles tiendraient d'un grand amateurisme de la part des pirates. Il est donc possible qu'elles aient été placées là exprès. « Il faut être extrêmement vigilants sur l'attribution des attaques. Il est très compliqué aujourd'hui [de désigner l'attaquant], par manque de preuves. Se faire passer pour un autre dans le cyber est aussi aisé » nous rappelle l'ANSSI.

« La contrefaçon d'indicateurs de compromission, comme les adresses IP consultées ou outils utilisés, a toujours existé. La NSA et la CIA ont des outils dédiés à cela [comme Marble]. Il faut donc s'en méfier » concorde Jef Mathiot... qui pointe que la connaissance de ces falsifications facilite le déni plausible. « La simple connaissance de ces outils peut être un moyen de faire douter d'une vraie preuve lors de l'analyse d'un piratage » poursuit-il.

La reprise très rapide des informations par Wikileaks, qui a diffusé les derniers piratages attribués à Moscou, serait aussi un signe... sans pour autant constituer une preuve. « Wikileaks n'est plus neutre depuis longtemps. L'organisation, et surtout Julian Assange, sont en guerre totale contre l’establishment américain et ses agences de renseignement. Leurs positions sont souvent alignées sur celles des Russes, mais parler d'alignement idéologique est un raccourci » détaille Mathiot, auteur d'un article détaillé sur les pièges de l'attribution facile des attaques aux Russes.

Face à la tentation de l'analyse en direct, mieux vaut privilégier le retour à froid, comme l'avait effectué le Guardian sur la campagne de désinformation du Brexit. Car si l'attribution est difficile, elle n'est pas impossible. « Il ne faut pas verser dans un simplisme qui dirait que toutes les attributions sont cassées. Quand des informations sont croisées avec des recherches sur du temps long, par des acteurs indépendants, il faut en tenir compte » détaille Jef Mathiot.

187 commentaires
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 11/05/17 à 10:44:02

l'équipe subit deux à trois campagnes de phishing ciblé par semaine depuis décembre
 la vache :OSinon bel article :yes:, j'avais l'impression de lire le script du prochain james bond:transpi:

Avatar de carbier INpactien
Avatar de carbiercarbier- 11/05/17 à 10:47:11

Cela démontre aussi et surtout la lente dérive de Wikileaks datant des dernières élections présidentielles américaines.

Avatar de Vorphalax Abonné
Avatar de VorphalaxVorphalax- 11/05/17 à 10:47:22

En gros pour toute fuite de données massive on peut douter de leurs véracités. C'est le chaos total.

Avatar de Magyar Abonné
Avatar de MagyarMagyar- 11/05/17 à 10:55:24

Bon article. Je reste tout de même surpris que un parti aussi jeune et axé sur le numérique se soit fait avoir par du phishing. Je serais curieux de voir les mails, pour voir à quel point ils sont bien faits...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 11/05/17 à 10:56:10

Macron et ses techniques de communication à l'américaine:

  1. déminer, déminer, déminer.

    #MacronLeaks ? Reportage/Interview des responsables de En Marche sur la cybersecurité

  2. en cas d'explosion, tirer avantage des dégats.

    On s'est fait phishé ? On a renvoyé de fausses infos.
    On subit des cyber-attaques continuellement ? Ca prouve qu'on est important.
    Il y a eu des leaks ? Vous verrez qu'il n'y a rien de compromettant.
    Il y a eu des fake news ? Les medias ont été assez intelligents pour ne pas les relayer.

Édité par 127.0.0.1 le 11/05/2017 à 10:57
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 11/05/17 à 10:59:12

phishing ciblé, c'est carrément du spearing à ce niveau.

Ils ont du réussir à intégrer le prénom de la personne, les gens à qui elle référait, avec des trucs trouvés sur facebook ou autre, si les attaquants y ont mis le paquet, ça a moyen d'être plus vraisemblable qu'une fraude 419

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 11/05/17 à 11:05:51

Je ne l'ai pas détaillé dans l'article, mais Mahjoubi évoque des emails envoyés en apparence par une responsable presse sur des "éléments de langage" à télécharger, ou encore un mail censé venir de lui-même, recommandant des outils à télécharger pour se prémunir du phishing. À croire EM!, c'était donc très ciblé.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 11/05/17 à 11:06:51

Magyar a écrit :

Bon article. Je reste tout de même surpris que un parti aussi jeune et axé sur le numérique se soit fait avoir par du phishing. Je serais curieux de voir les mails, pour voir à quel point ils sont bien faits...

Ouais pareil...
Déjà l'étape numéro un ça aurait été de sécuriser toutes les communications internes, de les chiffrer et de les signer, tu sais direct d'où viennent les mails (on peut imaginer un rejet direct des mails de mauvais domaines d'ailleurs)
Je veux bien que ça soit compliqué de mettre ça en place dans les partis bien établis depuis des décennies et remplies de vieux croûtons amorphes, mais merde quoi, quand tu crées un parti politique ex nihilo c'est justement l'occasion de tout faire bien, carré, sécurisé dès le début
Surtout quand tu représentes la jeunesse, la fougue, etc

Gnppn a écrit :

Je ne l'ai pas détaillé dans l'article, mais Mahjoubi évoque des emails envoyés en apparence par une responsable presse sur des "éléments de langage" à télécharger, ou encore un mail censé venir de lui-même, recommandant des outils à télécharger pour se prémunir du phishing. À croire EM!, c'était donc très ciblé.

Ah oui quand même, malin
Bah pareil avec les partenaires, chiffrement et signature obligatoires

Édité par jackjack2 le 11/05/2017 à 11:09
Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Et si ça se trouve, c'est un coup des Russes de Wikileaks qui ont laissé des traces évidentes en sachant très bien que ça jetterai le doute sur la crédibilité de l'attribution de l'attaque :reflechis:

J'attends la vidéo d'Asselineau sur le sujet pour pouvoir avoir un avis.

Édité par ActionFighter le 11/05/2017 à 11:08
Avatar de KP2 Abonné
Avatar de KP2KP2- 11/05/17 à 11:10:39

« La contrefaçon d'indicateurs de compromission, comme les adresses IP consultées ou outils utilisés, a toujours existé. La NSA et la CIA ont des outils dédiés à cela [comme Marble]. Il faut donc s'en méfier » concorde Jef Mathiot... qui pointe que la connaissance de ces falsifications facilite le déni plausible. « La simple connaissance de ces outils peut être un moyen de faire douter d'une vraie preuve lors de l'analyse d'un piratage » poursuit-il.

Le problème dans cette histoire est que le timing et la nature même de la fuite démontrent un certain niveau d'amateurisme... Alors je veux bien que de fausses traces russes aient été placées là volontairement mais ça me parait un peu trop sophistiqué vis-à-vis du reste. Cette hypothèse manque de cohérence, je trouve...

Après, on sait que les Russes s'intéressaient de très près à la campagne Macron, on sait aussi que la fachosphère US et européenne a une certaine proximité avec les natios Russes (une sorte d'internationale identitaire/facho), ça me parait pas déconnant que des Russes soient impliqués de près ou de loin. Après, il reste encore pas mal de chemin à faire pour prouver que c'est téléguidé par l'Etat russe, c'est certain.

Toute la difficulté est là en fait : comment prouver qu'une attaque est menée par un Etat et pas par un groupe militant ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 19
  • Introduction
  • En Marche !, le phishing et de faux comptes
  • Pour la CNCCEP, « clairement, ça a été à une échelle nouvelle »
  • La responsabilité des réseaux sociaux
  • Que contiennent les #MacronLeaks ?
  • « Hackers russes », attribution et réalité
S'abonner à partir de 3,75 €