Un hacker a réussi à accéder à des dizaines de milliers d'emails et de données personnelles de certains députés européens, de leurs assistants et collaborateurs selon un article paru ce jour sur Médiapart. Le hacker avait pour objectif principal non pas de détruire des informations, mais de mettre en avant les failles du système et en particulier d'Exchange de Microsoft, dont il critique vivement le choix.
Capture d'écran d'emails de députés européens publiée par Médiapart.
Les rapports avec Microsoft pointés du doigt
En plein débat sur l'espionnage et l'utilisation de logiciels propriétaires, un hacker au chapeau blanc (« white hat ») a il y a quelques mois pu accéder aux courriels de six députés européens (dont trois Français), de divers assistants parlementaires et même de deux employés du service informatique et sécurité du parlement européen. Pour réaliser cette intrusion, cette personne s'est tout simplement posée près du parlement à Strasbourg et a attendu que certaines personnalités politiques se connectent à Internet en passant par son réseau Wi-Fi proposé par l'intermédiaire de son PC portable. Ensuite, le hacker récupère les mots de passe et identifiants des personnes connectées, lui permettant ainsi d'accéder à leurs comptes.
Aucune information n'a été publiée suite à ces intrusions. Le but n'était d'ailleurs pas de mettre en ligne des données sensibles et d'imiter Wikileaks ou Edward Snowden, mais plutôt de démontrer les failles du système et l'erreur du choix de Microsoft. En effet, qu'il s'agisse des ordinateurs ou encore des emails des parlementaires et de leurs collaborateurs, la firme américaine a signé de juteux contrats avec les élus européens, permettant ainsi à Windows et Exchange d'être présents sur des milliers d'appareils, ceci depuis une vingtaine d'années maintenant.
En 2011, alors qu'un contrat prenait fin vis-à-vis des ordinateurs des instances européennes, la Commission a finalement renégocié avec Microsoft, excluant de facto les solutions libres, qui permettaient pourtant une meilleure interopérabilité. « L'expiration du contrat qui liait la Commission à Microsoft aurait pu être l'occasion d'ouvrir le marché de la bureautique des institutions européennes, grâce à un marché public ouvert à tous » expliquait ainsi l'APRIL à l'époque.« Mais la Commission européenne a choisi de ne pas faire d'appel d'offres ni de procédure publique, en optant pour un marché négocié, qui l'autorise à négocier avec Microsoft pour l'achat des licences sans passer par un marché ni une mise en concurrence, donc sans que le Parlement européen et les citoyens aient leur mot à dire. »
En 2012, la Free Software Foundation Europe (FSFE) a été particulièrement choquée d'apprendre que Microsoft offrait ses logiciels aux employés du parlement européen (non pas les élus). « La concurrence et les questions d'approvisionnement mises à part, il ne semble pas adéquat que les personnes chargées de rédiger les textes de loi pour réguler le marché européen puissent accepter des cadeaux des entreprises qu'ils sont supposés réglementer » faisait remarquer Karsten Gerloff, le président de la FSFE.
Et si l'on se concentre sur la France, rappelons qu'en 2008, nous révélions que Microsoft avait proposé à au moins deux ministères nationaux une offre « open bar », c'est-à-dire à un accès complet aux solutions de Microsoft contre une certaine somme (100 ou 150 euros par poste).
« Que faut-il penser de notre processus démocratique ? »
Mais pour le hacker, interrogé par Médiapart, Microsoft n'est pas le seul problème. Ses intrusions, pouvant être réalisées par « n’importe qui » selon ses dires, avaient aussi une portée politique, avec en fond le manque de réaction des Européens vis-à-vis de l'espionnage de la NSA. « D’un côté, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et économique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grâce à leur espionnage, peuvent décider de l’avenir d’un homme politique ou influer sur des décisions » a-t-il ainsi déclaré.
Pour le hacker, la facilité avec laquelle il a réussi à s'introduire dans les messageries des personnalités politiques européennes est un problème majeur. Car si avec du matériel banal (un simple PC portable) il a pu en assez peu de temps obtenir des données personnelles de quatorze élus, assistants et employés du parlement à Strasbourg, « que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause. » Ce hack a ainsi pour but de faire prendre conscience aux politiques européens de l'urgence d'une remise en question sur le plan de la sécurité.
Mais pour que la situation change, il faudra probablement que l'eau coule sous les ponts. Interrogée par notre confrère, Isabelle Attard, députée EELV à l’Assemblée nationale, indique ainsi que « le poids énorme des lobbys » est un frein évident au changement et à l'ouverture vers le logiciel libre. Plus grave encore, selon la députée, le problème dépasse largement le cas du lobbying : « il y a une totale méconnaissance de ces problématiques par les décideurs politiques. (...) Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n'en voient pas l’intérêt. On me dit "Isabelle, tu exagères…", voire "Tu es parano", même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. » Un constat amer partagé par Frédéric Couchet de l'APRIL, qui conclut : « On a l’impression que, malgré tout ce qui est révélé, ils s’en foutent… » Des propos qui confortent ainsi l'objectif du hacker.
Médiapart, qui assure avoir vérifié la véracité du hack, explique avoir décidé de mettre en ligne cette information « qui est d'un intérêt public évident ». Les réactions ne devraient pas tarder.