Des internautes ont détourné en direct sur Twitch le compte d’un journaliste pour faire croire à un reconfinement, en se faisant passer pour le ministre de l’Éducation nationale, Jean-Michel Blanquer.

Avez-vous cru voir passer une information officielle évoquant un confinement jusqu’au 15 avril 2021, dans la journée du 25 janvier ? Si oui, vous avez certainement fait face à une fausse information, diffusée en fin d’après-midi sur Twitter par un compte certifié qui a été piraté pour se faire passer pour un membre du gouvernement : Jean-Michel Blanquer, le ministre de l’Éducation nationale.

Une usurpation d’identité et une fausse information

Que s’est-il passé ? Le 25 janvier, le directeur de la rédaction de Loopsider, Johan Hufnagel, perd le contrôle de son compte Twitter à 58 000 abonnés, qui existe depuis décembre 2008 et bénéficie d’une certification sur le réseau social — un label permettant d’indiquer aux autres internautes que la personne (ou l’organisation) qu’elle prétend être est bien elle, et qu’il ne s’agit pas d’une usurpation d’identité.

Le compte du journaliste est alors rapidement transformé : sa photo de profil change, tout comme son nom de profil ainsi que la bannière qui décore son compte. Par contre, un seul élément ne bouge pas : le nom d’utilisateur, qui reste @johanhufnagel — il s’agit sans doute de l’élément le plus sensible, car c’est lui qui sert pour interagir avec les autres sur Twitter. Chaque nom d’utilisateur est unique sur le site.

Le compte de Johan Hufnagel est alors redécoré aux couleurs de Jean-Michel Blanquer, ce qui n’est pas un mince exploit : le compte du journaliste était pourtant protégé par une authentification à deux facteurs. En clair, en plus du mot de passe, le propriétaire du compte doit inscrire un autre code, temporaire cette fois, qui est obtenu par un SMS, une application dédiée ou clé de sécurité.

Faux Tweet Blanquer

Un aperçu du faux tweet usurpant l’identité de Jean-Michel Blanquer. Le tweet original a été supprimé depuis.

Qui sont les responsables de ce hack ?

Il apparait que les responsables des ennuis numériques de Johan Hufnagel appartiennent à un collectif surnommé les « binks » qui se fait régulièrement remarquer pour ce genre d’activité. À titre d’exemple, ce groupe est lié à la fausse déclaration de guerre aux USA, qui a utilisé là aussi Twitter et un compte certifié pour construire l’hypothèse d’un conflit armé entre les USA et le Nigeria.

Les motivations de cette bande semblent avant tout être le désir de tromper l’ennui, de s’amuser et de ravir leur communauté. D’ailleurs, il apparait que leur opération ciblant le directeur de la rédaction de Loopsider a fait l’objet d’une retransmission en direct sur Twitch, où l’on peut entendre des membres des « binks » discuter de ce qu’ils vont publier sur le compte, qui est alors déjà compromis.

L’utilisation de Twitch dans ces circonstances pourrait d’ailleurs entraîner une suspension provisoire ou définitive des comptes impliqués dans cette affaire, car la plateforme prévoit bien dans ses conditions d’utilisation des mesures contre les comportements interdits. En clair, les membres du site doivent ne porter atteinte à aucune loi et s’engager à ne commettre aucun délit.

Il n’est toutefois pas certain que cela les arrêterait. Ils pourraient toujours recréer plus tard de nouveaux comptes. C’est d’ailleurs ce qui leur arrive de temps à autre sur Twitter, avec des profils régulièrement suspendus par le site communautaire. Car sur Twitter aussi, le règlement stipule qu’aucune action malveillante ne doit être commise ou encouragée sur la plateforme.

Mais l’affaire ne s’arrête pas là : un tweet est lancé, affirmant que « le dispositif de confinement est prolongé jusqu’au 15 avril 2021. Si la situation sanitaire l’exige, il pourra être reconduit après cette date ». Le message est accompagné d’un lien pointant vers le site du gouvernement, ainsi que d’une image synthétisant la prétendue extension du confinement, ainsi que deux hashtags, #coronavirus et #covid19.

Très vite, l’affaire arrive aux oreilles de la rédaction de Loopsider. La situation est en effet problématique : il ne s’agit pas seulement d’un compte singeant le profil de Jean-Michel Blanquer. Il s’agit d’un compte certifié, suivi par près de 60 000 personnes, y compris par des personnes de pouvoir. Par exemple, le compte d’Emmanuel Macron est aussi abonné à celui de Johan Hufnagel.

Loopsider commence donc à répondre sous le faux tweet du faux Jean-Michel Blanquer, en précisant aux internautes interloqués que le compte a été piraté. Dans un autre message, il fait comprendre que Twitter est intervenu, car « tout est bloqué. Le compte n’existe plus ». Un message plus général est aussi publié, pour inviter à la prudence, car « ce tweet est un faux. Il usurpe par ailleurs l’identité du directeur de la rédaction de Loopsider ».

Dans les faits, c’est davantage l’identité de Jean-Michel Blanquer qui est usurpée. Le pirate ne s’est pas fait passer pour Johan Hufnagel : il a détourné son compte pour se faire passer pour le ministre de l’Éducation nationale et diffuser un canular — d’aucuns diraient une infox — sur le confinement, un sujet hautement sensible dans l’actualité, à cause de la circulation de variants plus contaminants du coronavirus.

Usurpation d’identité

Mais qu’il s’agisse du ministre ou du journaliste, cela reste bien une usurpation d’identité, un délit que le droit français sanctionne, à travers la loi d’orientation et de programmation pour la performance de la sécurité intérieure (Loppsi) du 14 mars 2011. Pour ces faits, la loi prévoit au maximum un an d’emprisonnement et 15 000 euros d’amende. Et à cette peine peuvent s’ajouter aussi des dommages et intérêts.

À l’article 226-4-1, le Code pénal expose que « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ». Cela vaut aussi lorsque cette usurpation se fait sur Internet, via « un réseau de communication au public en ligne », comme Twitter.

L’incident ayant ciblé Johan Hufnagel a toutefois pris fin relativement vite. Son compte a été vidé du tweet trompeur, le nom du journaliste a été rétabli et l’image du faux profil ainsi que la bannière ont été retirés. À l’heure où nous écrivons ces lignes, les anciens visuels n’ont pas été restaurés. Il est à noter que cette mésaventure n’a pas conduit Twitter à retirer la certification du compte.

Johan Hufnagel Twitter

Le compte du journaliste a été expurgé de tous les éléments fallacieux.

 

L’affaire est différente de l’usurpation d’identité à laquelle s’est livrée le député Joachim Son-Forget, dont la notoriété est davantage le fait de ses interventions controversées dans les médias et sur les réseaux sociaux, que pour son activité parlementaire. L’intéressé a en effet été exclu de Twitter pour s’être fait volontairement passer pour Donald Trump. Un an plus tôt, c’était Emmanuel Macron.

Outre l’usurpation d’identité, une autre incrimination est possible : celle relative la diffusion de fausses nouvelles, en faisant croire à un confinement. Là aussi, le droit est équipé, avec des textes qui permettent de couvrir divers cas de figure, du banal canular à l’infox visant à susciter un trouble manifeste à l’ordre public. Les auteurs du piratage ne pouvaient ignorer le caractère fallacieux de leur Twitter.

Comme le précise l’avocat Alexandre Archambault, dans la mesure où la personne ciblée est un membre du pouvoir exécutif concernant son action publique, une incrimination de faux en écriture publique est aussi un levier juridique que l’on peut aussi actionner, en plus du délit prévu par l’article 27 de la loi de 1881 sur la liberté de la presse, au regard de l’état d’urgence sanitaire.

Si le réseau social n’avait d’ailleurs pas réagi assez vite, Johan Hufnagel aurait été fondé à engager sa responsabilité civile et pénale. En effet, en tant que service d’hébergement, les réseaux sociaux ont des obligations à respecter. S’ils n’agissent pas prestement contre un contenu illicite, comme une usurpation d’identité, la victime peut passer par la justice, au besoin en urgence en cas de trouble manifeste.

« La personne qui s’estime victime d’un dommage peut également demander à l’autorité judiciaire d’ordonner toutes mesures permettant de faire cesser ce dommage », rappelait ainsi le secrétariat d’État en charge du numérique début 2019. Et en cas d’échec, le réseau social peut « être condamné par la suite à réparer le préjudice résultant de cette fraude ». Un scénario qui restera ici théorique, Twitter ayant agi avec célérité.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !