Emmanuel Macron a été élu président de la République au terme d'une campagne mouvementée qui s'est achevée par la diffusion de documents confidentiels, volés sur les boîtes mail des proches du président.

Vendredi soir, à quelques heures du second tour de l’élection présidentielle, des documents confidentiels appartenant au parti En Marche ! ont été dévoilés sur Internet. Le timing était parfaitement calculé pour faire du bruit : en période de réserve politique et médiatique, ni les candidats ni la presse ne pouvait se saisir de cette affaire et publier des informations ou des démentis. Les seuls articles qui sont sortis à ce sujet ont d’ailleurs montré ce qu’il y avait à montrer, sans tomber dans le sensationnalisme — l’erreur de la presse américaine avec les mails d’Hilary Clinton : il y a eu une volonté de perturber le processus électoral.

Il est nécessaire aujourd’hui de gagner en connaissance de l’outil informatique

Rapidement, un consensus est né autour de ces documents : ils ne contiennent rien d’étrange ou de compromettant pour le président de la République. Leur authenticité aura besoin d’être vérifiée et il est à peu près sûr que certains documents ont été édités avant d’être diffusés sur le web, mais à première vue, leur contenu n’est pas problématique. Des salaires. Des factures. Des mails d’organisation. Des recommandations sur des nominations pour les législatives. Des notes de synthèse. Si on enlève les mails personnels, on a le sentiment de se trouver dans les coulisses d’une campagne présidentielle bien menée et bien orchestrée.

Et pourtant, on ne peut s’empêcher de penser à une chose : malgré les best practices, malgré les recommandations de l’ANSSI, malgré des conseillers de campagnes rodés à l’exercice du web et qui connaissent ses pièges, un piratage a eu lieu. Il a reposé sur trois erreurs qui auraient pu être évitées.

  • La connaissance du phishing : La technique semble avoir été celle du phishing, comme cela avait été suggéré il y a quelques semaines. Les cibles ont reçu un mail les invitant à se reconnecter pour une raison ou pour une autre. Elles n’ont pas vérifié l’expéditeur. Elles ont cliqué et entré leur mot de passe. C’était fini : les pirates avaient accès à leur compte et, peut-être, à d’autres comptes qui avaient les mêmes identifiants.
  • L’absence de double authentification : Le phishing est une attaque qui repose sur de l’ingénierie sociale. Au fond, vous n’avez besoin que de connaissances rudimentaires pour copier une page qui ressemble à la page d’accueil de Gmail. L’attaque repose donc sur la connaissance des humains ciblés et de leurs faiblesses. Mais même si nous pouvons tous nous faire avoir à ce petit jeu, ceux qui ont activé la double authentification sont nettement mieux protégés. En effet, si un hacker prend possession du mot de passe d’un compte protégé par double authentification, il lui faudra également être en possession du deuxième « facteur » authentifiant : le smartphone du propriétaire, une clef USB d’authentification, un générateur de code… ce n’est pas infaillible, mais cela rend la tâche nettement plus ardue.
  • L’absence de chiffrement :  Quand il a été question de numérique, le président Macron avait fait une erreur en parlant de chiffrement — qui avait été largement remarquée. Son équipe avait ensuite pris le temps de préciser ces propos lâchés sur le vif. Il n’empêche que son absence est l’une des origines la diffusion de ces documents confidentiels. Évidemment, qu’un conseiller politique ne chiffre pas toutes ses communications anodine est compréhensible. En revanche, que le trésorier de la campagne, Monsieur Cédric O., diffuse tous les éléments financiers d’En Marche ! en clair est problématique. Ces documents auraient mérité un chiffrement, tout comme les mais qui ont été envoyés. Sans parler des factures laissées dans des Google Drive à l’accès restreint à ceux possédant « le lien du dossier » — autrement dit, aujourd’hui, tout le monde.
Mounir Mahjoubi, responsable des questions numériques pour En Marche !

Ces trois défauts liés à la sécurité informatique et qui ont touché des responsables d’En Marche ! montrent à quel point il est nécessaire, aujourd’hui, de gagner en connaissance de l’outil informatique. En 2017, le vol de données numériques est devenu l’un des moments d’une campagne qui n’a pas eu l’impact que les voleurs cherchaient à avoir. En 2022, et pendant tout le quinquennat qui s’annonce, il devient urgent de former politiques et citoyens à ces problématiques.

Partager sur les réseaux sociaux