L’équipe de campagne d’En Marche, le mouvement d’Emmanuel Macron, a été épinglée par la presse pour la légèreté avec laquelle elle a traité et protégé les mails des internautes inscrits à la newsletter.

L’équipe de campagne d’Emmanuel Macron prend-elle au sérieux la sécurité des données personnelles ? La question mérite d’être posée après la découverte étonnante de BuzzFeed News. Le site a en effet réussi à mettre la main sur un document listant les demandes de désinscription des internautes ne voulant plus figurer dans la base utilisée notamment pour la newsletter.

Selon les constatations de nos confrères, les internautes demandant la désinscription de leur mail ne sont pas totalement rayés des listes : une fois retirés des newsletters, les courriers sont ensuite copiés dans un tableur. Dans la version du document qu’a pu consulter BuzzFeed, il y en avait un millier et certains sont accompagnés de la mention « menace Cnil » pour signifier que leurs propriétaires ont entamé ou envisagent une procédure administrative.

À ce sujet, Mounir Mahjoubi, l’ex-président du Conseil national du numérique, qui a quitté ses fonctions pour piloter la campagne numérique du candidat Macron, a expliqué à BuzzFeed que « ce fichier a dû être créé par des bénévoles: quand on ne leur fournit pas un outil, ils le construisent », expliquant que « parmi les tâches les plus prenantes d’une campagne, il faut répondre aux mails envoyés. Et de nombreuses personnes écrivent pour être désabonnées ».

Depuis cette découverte, l’accès au document, qui est notamment utilisé par plusieurs salariés du mouvement, a été verrouillé. Il aura toutefois fallu près d’une semaine après le coup de téléphone de BuzzFeed pour que l’équipe de campagne limite l’accès au fichier, qui était jusqu’alors en libre accès à quiconque en possédait le lien. Toutefois, BuzzFeed fait remarquer que d’autres documents peuvent encore être partagés avec n’importe qui, en envoyant simplement l’adresse.

Ce fichier a dû être créé par des bénévoles

La manière dont En Marche traite et protège les e-mails des internautes lorsqu’ils veulent se désinscrire du site interroge sur le niveau de préparation de l’équipe de campagne en matière de sécurité informatique. D’aucuns diront que le fait que des bénévoles puissent gérer les courriers d’internautes, qui sont des données personnelles, rappelle le Cnil, confine à l’amateurisme.

Cette affaire rappelle également la légèreté avec laquelle le mouvement sécurise ses activités sur le web.

Une version obsolète de WordPress

À la mi-février, les soutiens d’Emmanuel Macron s’étaient manifestés dans la presse pour se plaindre des très nombreuses attaques, en particulier informatiques, dont serait victime En Marche, le mouvement de l’ex-ministre. Celles-ci se compteraient en milliers et proviendraient surtout de Russie, selon Richard Ferrand, secrétaire général du mouvement et député du Finistère.

S’il est toujours très difficile de tracer l’origine des attaques informatiques, car ceux qui en sont à l’origine prennent généralement grand soin à masquer leurs traces, ou à les faire passer par des pays dont la réputation n’est pas au plus haut en ce moment — au hasard, la Russie –, il est assez aisé de vérifier si le b.a.-ba en matière de sécurité informatique a été accompli, à savoir conserver ses outils à jour

WordPress

CC Andrew Abogado

Or, il semble que cela ne soit pas le cas.

Le 7 février, le site Reflets relevait que le site d’En Marche utilisait une vieille version de WordPress, le célèbre système de gestion de contenu, dans laquelle pas moins de dix-neuf vulnérabilités ont été repérées. Cette mouture (4.4.2) est pourtant obsolète depuis longtemps. Trois autres grandes versions sont sorties depuis le printemps 2016 et la dernière déclinaison (4.7.2) date de la fin janvier.

Cette nonchalance est surprenante, d’autant que le mouvement d’Emmanuel Macron compte dans ses rangs, selon le Journal du Dimanche, plusieurs « responsables de la sécurité informatique » dont une « demi-douzaine » s’est rendue « à l’Agence nationale de la sécurité des systèmes d’information » pour parler de ces attaques. Or, selon des spécialistes en cyberdéfense, non nommés, l’équipe informatique du mouvement de Macron « est considérée comme ‘très compétente’ ».

De son côté, Mounir Mahjoubi, qui, toujours selon nos confrères, « fait le point chaque semaine avec [Emmanuel Macron], en particulier sur ces offensives », affirme appliquer « les meilleures pratiques. Le serveur de notre site n’est pas lié au réseau interne, aux bases de données ni aux mails ». Visiblement, ces meilleures pratiques ont encore une bonne marge de progression.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !