#MacronLeaks : pourquoi la sécurité informatique est devenue l'un des moments d'une campagne
Vendredi soir, à quelques heures du second tour de l'élection présidentielle, des documents confidentiels appartenant au parti En Marche !
Rapidement, un consensus est né autour de ces documents : ils ne contiennent rien d'étrange ou de compromettant pour le président de la République. Leur authenticité aura besoin d'être vérifiée et il est à peu près sûr que certains documents ont été édités avant d'être diffusés sur le web, mais à première vue, leur contenu n'est pas problématique. Des salaires. Des factures. Des mails d'organisation. Des recommandations sur des nominations pour les législatives. Des notes de synthèse. Si on enlève les mails personnels, on a le sentiment de se trouver dans les coulisses d'une campagne présidentielle bien menée et bien orchestrée.
Et pourtant, on ne peut s'empêcher de penser à une chose : malgré les best practices, malgré les recommandations de l'ANSSI, malgré des conseillers de campagnes rodés à l'exercice du web et qui connaissent ses pièges, un piratage a eu lieu. Il a reposé sur trois erreurs qui auraient pu être évitées.
La connaissance du phishing : La technique semble avoir été celle du phishing, comme cela avait été suggéré il y a quelques semaines. Les cibles ont reçu un mail les invitant à se reconnecter pour une raison ou pour une autre. Elles n'ont pas vérifié l'expéditeur. Elles ont cliqué et entré leur mot de passe. C'était fini : les pirates avaient accès à leur compte et, peut-être, à d'autres comptes qui avaient les mêmes identifiants.
L'absence de double authentification : Le phishing est une attaque qui repose sur de l'ingénierie sociale. Au fond, vous n'avez besoin que de connaissances rudimentaires pour copier une page qui ressemble à la page d'accueil de Gmail. L'attaque repose donc sur la connaissance des humains ciblés et de leurs faiblesses. Mais même si nous pouvons tous nous faire avoir à ce petit jeu, ceux qui ont activé la double authentification sont nettement mieux protégés. En effet, si un hacker prend possession du mot de passe d'un compte protégé par double authentification, il lui faudra également être en possession du deuxième « facteur » authentifiant : le smartphone du propriétaire, une clef USB d'authentification, un générateur de code... ce n'est pas infaillible, mais cela rend la tâche nettement plus ardue.
L'absence de chiffrement : Quand il a été question de numérique, le président Macron avait fait une erreur en parlant de chiffrement -- qui avait été largement remarquée. Son équipe avait ensuite pris le temps de préciser ces propos lâchés sur le vif. Il n'empêche que son absence est l'une des origines la diffusion de ces documents confidentiels. Évidemment, qu'un conseiller politique ne chiffre pas toutes ses communications anodine est compréhensible. En revanche, que le trésorier de la campagne, Monsieur Cédric O., diffuse tous les éléments financiers d'En Marche ! en clair est problématique. Ces documents auraient mérité un chiffrement, tout comme les mais qui ont été envoyés. Sans parler des factures laissées dans des Google Drive à l'accès restreint à ceux possédant « le lien du dossier » -- autrement dit, aujourd'hui, tout le monde.
Ces trois défauts liés à la sécurité informatique et qui ont touché des responsables d'En Marche ! montrent à quel point il est nécessaire, aujourd'hui, de gagner en connaissance de l'outil informatique. En 2017, le vol de données numériques est devenu l'un des moments d'une campagne qui n'a pas eu l'impact que les voleurs cherchaient à avoir. En 2022, et pendant tout le quinquennat qui s'annonce, il devient urgent de former politiques et citoyens à ces problématiques.