#MacronLeaks : d’où venait cette boule puante en toute fin de campagne ?

Élections Européennes 2019

Toute L'info sur

Le second tour de l'élection présidentielle 2017

DÉSTABILISATION – Des quantités de documents issus du piratage de boîtes mails de membres du mouvement En Marche ! d’Emmanuel Macron ont été diffusés vendredi soir, peu avant la fin de la campagne présidentielle. Qui est à l’origine de cette fuite baptisée "Macron Leaks" ? Éléments de réponse.

C’est une fuite qui a jeté le trouble. Alors que la campagne officielle s’achevait vendredi 5 mai à minuit, des quantités de documents – quelque 9 gigabits – relatifs à Emmanuel Macron et à son mouvement, baptisés "Macron Leaks", ont été diffusés sur le web et largement relayés sur les réseaux sociaux. Des documents qui, selon En Marche !, sont issus d’une "action de piratage massive et coordonnée" et servaient à mener une "opération de déstabilisation" à la veille du second tour du scrutin présidentiel. Rapidement, évoquant de "fausses informations", la Commission nationale de contrôle de la campagne (CNCCEP) a demandé aux médias et aux "citoyens" de ne pas propager ces documents "obtenus frauduleusement".

Dès vendredi soir également, le parquet de Paris a, lui, ouvert une enquête pour "accès frauduleux à un système de traitement automatisé de données" et "atteinte au secret des correspondances". Les investigations ont été confiées à la Brigade d'enquêtes sur les fraudes aux technologies de l'information (Befti). "On savait qu'il y aurait ces risques-là durant la campagne présidentielle, puisque ça s'était produit ailleurs", a réagi samedi François Hollande, allusion faite au piratage d'e-mails dont avait été victime l'équipe de campagne d'Hillary Clinton aux Etats-Unis. Le chef de l’Etat l’a assuré : "Rien ne sera laissé sans réponse."

Mais d’où provenaient ces données ? Qui les a publiées, puis relayées ? Sont-elles, ou non, authentiques, signifiantes ? Difficile à dire pour le moment. Mais plusieurs éléments, notamment le timing choisi pour la diffusion, tendent à montrer qu’elles ont été divulguées dans un but apparent de perturber. "Ce leak (fuite de données, ndlr) est fait pour créer le chaos", a estimé ainsi dans les colonnes de Libération Yann Philippin, journaliste à Mediapart ayant travaillé sur les "Football Leaks". "C’est la porte ouverte à toutes les manipulations, à toutes les exploitations malhonnêtes de ces données. C’est une agression qui n’a rien à voir avec un travail journalistique."

Voir aussi

Des pro-Trump, aidés par Wikileaks, assurent la propagation

Un constat que partage globalement le chercheur belge Nicolas Vanderbiest. Parlant, dans Le Parisien, d'une "opération de pieds-nickelés", ce spécialiste des médias sociaux a, dès vendredi, pu remonter l’origine de la fuite et analyser sa propagation. Il en a ressorti une cartographie minutieuse (voir ci-dessous) de son parcours. Un parcours qui montre que "l’information" a été lancée sur le site anonyme de partage de documents Pastebin par un utilisateur du nom d'Emleaks, avant de se retrouver sur 4Chan, un forum également anonyme, d’être ensuite immédiatement relayée par l’extrême-droite américaine pro Trump puis d’être massivement propagée par Wikileaks et plusieurs comptes Twitter associés à la "russosphère". Un membre français du réseau social américain a ensuite partagé les publications. Florian Philippot et plusieurs membres du Front national n'avait plus qu'à se baisser, à ramasser et à colporter "l'information", juste avant minuit. 

"C’était le twitto Jack Posobiec, qui tweete le premier à 20h49 en renvoyant vers le fil de discussion de 4Chan qui a mis en ligne les documents", a expliqué Nicolas Venderbiest dans Libération, soulignant que celui-ci est "connu pour avoir relayé le hoax du 'pizzagate' à Washington - une sombre "fake news" liant  le directeur de campagne d'Hillary Clinton à un réseau de pédophilie - et compte parmi les plus ardents défenseurs de l'actuel locataire de la Maison-Blanche. Jack Posobiec, qui a aussi propulsé le hashtag #MacronLeaks sur Twitter, est alors repris, précise le chercheur, par le site complotiste "Disobedient Media", créé par... William Craddick, un autre fan de Trump qui avait déjà répandu les rumeurs sur le compte aux Bahamas d’Emmanuel Macron.

Lire aussi

"Quand on regarde la cartographie que j’ai faite, William Cradidck et Jack Posobiec sont au centre avec Wikileaks", a encore détaillé le chercheur. "Leurs tweets sont récupérés par les uns et par les autres." Le site fondé par Julian Assange serait-il mêlé à l’affaire ? "Wikileaks est très important et vous voyez qu’il est vraiment au centre : il tweete à 21h31, peu après Disobedient. C’est quand même rapide…Sur la carte, on voit clairement qu’il joue un rôle dans la propagation." Et de fait : via son compte Twitter, Wikileaks a apporté une visibilité mondiale aux "Macron Leaks". L'organisation notait néanmoins dans la soirée que "l’intention derrière ce timing [de diffusion] était curieuse" et jugeait que "cette fuite massive arrivait trop tard pour changer le cours de l’élection". 

Avocat français de Wikileaks et de Julian Assange, Juan Branco – qui sera par ailleurs candidat aux législatives sous les couleurs de la France Insoumise – a lui aussi trouvé le procédé douteux. "Je ne sais pas ce qui se joue exactement mais ça ne me plaît pas", a-t-il lancé peu après la publication des documents. "D'évidence le procédé des "MacronLeaks" me dégoûte. On joue à quoi ? À quelques heures de la fin de la campagne, profitant du silence imposé aux candidats, on balance en masse des gigas entiers de données pour quoi ? Faire porter la suspicion ? Créer un doute invérifiable à temps ?"

Un vol de données imputable à des hackers russes ?

Vitali Kremez, directeur d'études à la société Flashpoint, spécialisée dans le renseignement sur internet, estime que le groupe APT 28 pourrait être derrière le piratage originel ayant permis de récupérer les documents. Également connu sous les noms de Fancy Bears, Tsar Team ou Pawn Storm, cette "confrérie" de hackers est soupçonnée de liens étroits avec les services de sécurité russes. Le 25 avril, un rapport de l'entreprise japonaise de cybersécurité Trend Micro lui avait attribué une tentative de hameçonnage ("phishing") à grande échelle contre la campagne d’Emmanuel Macron.

Lire aussi

Dans ce type d'offensive, où la sophistication n’est pas forcément requise, les pirates peuvent soit exploiter des failles de sécurité dans des logiciels, soit créer des sites miroirs du type "en-nnarche.com", espérant que quelqu'un lors d'une lecture rapide confonde "nn" et "m" et tombe dans le piège avant de révéler des codes d'accès. L'équipe de campagne du candidat centriste, qui dispose plutôt des moyens d’une PME que de ceux d'un grand groupe, avait beau avoir mis en place des serveurs protégés, les mésaventures liées à de pareilles attaques restaient possibles. Le patron des services informatiques d’En Marche ! confiait d'ailleurs récemment à l'AFP : "Dans ce genre d'organisation, la vraie faille potentielle, c'est l'humain". 

En vidéo

Macron, Le Pen : une campagne de style(s)

Suivez toute l’actualité sur notre page dédiée à l’élection présidentielle

Découvrez comment votre commune a voté sur nos pages résultats de l’élection présidentielle

Et aussi

Lire et commenter