JLM2017.fr est le principal site web de la campagne « insoumise » de Jean-Luc Mélenchon. La page, gérée grâce aux outils de NationBuilder, est toutefois la cible très régulière d'attaques d'une grande simplicité. Le site est-il trop vulnérable ?

Vous avez certainement déjà rencontré ce type d’attaques qui n’en sont pas vraiment sur le web : un site n’ayant pas pris la peine de mettre un filtre anti-spam dans ses commentaires, et des bots malveillants qui harcèlent cette même section commentaires en l’inondant de liens vers du contenu illégal et rémunérateur. Une arnaque presque aussi vieille que le web mais qui pourtant continue de proliférer grâce à la crédulité de certains internautes et à l’inattention des webmasters.

Mais dès lors que ce genre d’attaques touchent un candidat à la présidentielle, le mélange des genres entre un lien pour streamer l’Euro 2016 et le contenu politique de JLM2017.fr peut un peu surprendre. Et surtout interroger. Comment un site construit avec WordPress et NationBuilder peut-il être aussi vulnérable à des attaques d’une telle banalité ?

À lire sur Numerama : Qu’est-ce que NationBuilder, le CMS qui veut renouveler la démocratie  ?

Une arnaque vieille comme le web

En tout cas, la situation est délicate pour le candidat. Dès ce weekend, le site internet de campagne de Jean-Luc Mélenchon était en top des résultats quand l’on cherchait « France Irlande stream free ».

On ne peut pourtant pas soupçonner le candidat de gauche d’utiliser à son profit la popularité de certaines requêtes liées à l’Euro 2016. Le scénario le plus probable est qu’il s’agit d’escrocs malicieux qui utilisent la popularité du site et celui de la requête pour orienter le maximum d’internautes vers des liens truffés de publicités, en profitant d’espaces de commentaires mal modérés.

upload

Une simple technique de Black Hat SEO en somme, ce qui exclut assez logiquement la possibilité d’attaques dont le dessein serait de nuire spécifiquement au candidat et à sa réputation. Selon les éléments dont nous disposons, il semblerait que les attaques soient exécutées, comme souvent le cas, par un robot qui ignore probablement tout de Jean-Luc Mélenchon et pour qui le fonctionnement communautaire à-la-NationBuilder de jlm2017.fr n’est qu’un moyen d’attirer l’internaute peu scrupuleux vers des pages monétisables.

Alors que ce matin nous nous rendons à nouveau sur le site de Jean-Luc Mélenchon pour étudier la situation et vérifier si l’équipe du candidat a bien supprimé les contenus illégaux (en tant qu’hébergeur des commentaires, il est de leur responsabilité juridique de s’assurer que ces liens soient supprimés si leur illégalité leur a été notifiée), on observe au contraire que le site a encore été victime d’une attaque du même genre.

Cette fois-ci, il ne s’agit plus de l’Euro 2016 mais de la saison 6 de Game Of Thrones, autre niche typique des pirates. L’attaque est plus large que la seule section des commentaires, comme l’atteste notre capture d’écran ci-dessous.

upload upload (1)

Dès lors que nous souhaitons accéder à la partie communautaire du site de Jean-Luc Mélenchon, la section « groupes d’appui  » nous confronte à une supercherie consistant à sur-imprimer un lien proposant du contenu illégal afin d’attirer l’internaute vers une autre page (le lien Tiny URL dissimulé derrière l’image de Jon Snow). Une énième escroquerie. Il pourrait s’agir selon nos recherches d’une attaque menée sur les redirections de CloudFront utilisés par le WordPress.

Capture d’écran (200)

Jon Snow, Dimitri Payet, Hadopi et Jean-Luc Mélenchon

Il serait aussi illégitime qu’ubuesque d’accuser directement le candidat de quoique ce soit dans cette affaire. Ce n’est en fin de compte qu’une affaire d’arnaques au contenu, du phishing aussi vieux que l’est le streaming illégal. Ce type d’attaque pourrait toucher n’importe quelle page disposant d’une popularité et d’une vulnérabilité évidentes.

Or c’est là que se situe le problème politique de l’affaire. Si Jean-Luc Mélenchon n’est pas responsable, le responsable éditorial du site, Bastien Lachaud, lui peut tout à fait être poursuivi si les liens et le contenu illicites ne sont pas retirés des pages dans les plus brefs délais, après notifications. Cela exige une réactivité constante aux attaques.

pourquoi le site est-il à ce point mal configuré qu’il peut être aussi facilement piraté ou détourné ?

Sur le plan juridique, l’affaire est complexe. Avec un site en partie collaboratif et en partie éditorialisé, jlm2017.fr est à la fois hébergeur et éditeur, ce qui mélange deux régimes juridiques très différents, en fonction des contenus et des sections. Sur ce qu’il publie dans les pages qui expriment la position de Jean-Luc Melenchon et de son équipe, Bastien Lachaud est éditeur et doit garantir que le site ne propose pas de contenus illicites. Si du contenu est publié par piratage, sa responsabilité ne pourra être retenue si le piratage est prouvé (en l’espèce cela fait peu de doutes). Sur la partie communautaire, la responsabilité ne peut être retenue qu’en l’absence de retrait des contenus illicites, s’ils sont dûment notifiés.

Au delà des aspects juridique, il faudra toutefois répondre à une question : pourquoi le site est-il à ce point mal configuré qu’il peut être aussi facilement piraté ou détourné ? À un an de l’élection présidentielle, le problème devra rapidement être réglé sous peine de voir débarquer des bots beaucoup plus mal intentionnés, qui écriront les pires insanités en les faisant passer pour de vrais commentaires.

Contactée par Numerama, l’équipe de campagne de M. Mélenchon a souhaité clarifier la situation par l’intermédiaire d’un responsable bénévole qui s’occupe quotidiennement du site web. Il confie à propos du spam et du defacing que le problème est connu par l’équipe depuis déjà quelques semaines, qu’il s’active lui même à supprimer régulièrement ce spam malveillant mais qu’en l’état, l’équipe est impuissante face aux bots.

Pourtant, techniquement, le bénévole nous confirme qu’il s’agit effectivement d’actions malveillantes qui pourraient être résolues mais pour cela il faudrait que l’équipe ait accès au site dans son intégralité. Or, le site web n’étant à l’origine qu’une template NationBuilder, complètement hébergée par l’entreprise américaine, l’équipe de campagne n’a aucun moyen de résoudre elle-même le problème. Et jusque là l’entreprise n’est pas intervenue pour aider son client, malgré les appels de l’équipe. Contactée, NationBuilder n’a pas encore souhaité répondre.

Chantre du patriotisme économique, Jean-Luc Melenchon aurait peut-être pu s’éviter cette difficulté en choisissant non pas une solution américaine comme NationBuilder, mais un prestataire français plus proche de son client…

À lire sur Numerama : Non Jean-Luc Mélenchon, Bernie Sanders n’utilise pas NationBuilder

 

Crédit photo de la une : GUE/NGL

Partager sur les réseaux sociaux

Articles liés