Le journal Mediapart révèle, interview à l'appui, qu'un hacker a pu facilement accéder aux e-mails institutionnels d'eurodéputés, assistants parlementaires et employés européens, en profitant du fait que le Parlement Européen a choisi la solution Microsoft Exchange et le protocole propriétaire ActiveSync pour la synchronisation des e-mails.
"Ces derniers mois et de manière régulière", le hacker a eu accès à l'ensemble des e-mails de 14 personnes "qu'il avait sélectionné(e)s de manière aléatoire pour les besoins de sa démonstration", explique Mediapart. Muni d'un ordinateur portable, "le « pirate » n’a eu qu’à s’installer dans un lieu public proche du parlement de Strasbourg", pour y créer un hotspot WiFi sur lequel se connectaient les smartphones passant à proximité. "Un jeu d'enfant", assure-t-il.
"Une bonne partie des smartphones de nos élus européens sont en effet équipés d’une application de Microsoft dénommé « Active Sync » (…) Concrètement, en s’interposant entre le téléphone portable et le serveur de Microsoft Exchange, l’attaquant récupère les identifiants et mots de passe de toutes les personnes visées, lui offrant ainsi l’accès à l’ensemble de leur compte, c’est-à-dire l’ensemble des mails reçus et envoyés, les agendas personnels et, « avec un peu d’effort », les fichiers éventuellement stockés sur des comptes personnels au sein du réseau du parlement européen", résume Mediapart.
Le journal, qui fait porter l'essentiel de la responsabilité du piratage sur Microsoft, n'explicite pas cependant comment le hacker obtient les identifiants et mots de passe en clair alors que le protocole Exchange ActiveSync (EAS) permet l'activation du protocole SSL, qui peut-être n'est pas imposé par le Parlement. Selon le hacker, le choix du protocole EAS rend "quasi impossible le chiffrement des messages en raison d’un système propriétaire excluant les logiciels standard".
En effet, EAS ne peut être implémenté qu'en payant une licence d'exploitation à Microsoft, contrairement aux protocoles IMAP (mails), CalDAV (agenda) et CardDAV (contacts). Cependant, Microsoft Exchange est supporté par la plupart des smartphones du marché : Android, iPhone, BlackBerry (pour les e-mails uniquement avant BlackBerry 10), Windows Phone… L'explication semble donc curieuse.
(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n'est pas celui attendu, et demande confirmation à l'utilisateur s'il souhaite tout de même s'y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)
Pour le hacker, la simplicité avec laquelle il a eu accès aux mails des députés, et donc à leurs conversations sur les législations en cours ou les problèmes diplomatiques, pose un réel problème démocratique. De tels moyens sont très facilement mis en oeuvre par les puissances étrangères, ou par des lobbys privés.
"Si, avec du matériel aussi ridicule, il est possible de s’immiscer dans le réseau de communication de responsables politiques chargés de décider de la politique européenne, que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause", dénonce-t-il.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
