Dans les derniers jours de l'élection présidentielle, des documents volés au mouvement d'Emmanuel Macron ont été publiés en ligne, cernés par une grande quantité de faux. Cette campagne, portée par l'extrême-droite en France et ailleurs, pose son lot de défis. Retour sur les événements, avec des protagonistes et spécialistes.

Le parquet de Paris a, pour sa part, ouvert une enquête dès le vendredi soir. En parallèle, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a été saisie. Elle annonce fournir son expertise technique au mouvement, qui s'est adressé à la Commission nationale de contrôle de la campagne électorale en vue de l’élection présidentielle (CNCCEP) pour demander cette aide. À l'AFP , François Hollande déclarait que « rien ne sera laissé sans réponse ».

La nouvelle émerge réellement en France après 23h... soit une heure à peine avant la période de réserve, empêchant les candidats et leurs soutiens de mener leur propagande électorale le week-end du vote. Elle est entre autres partagée par des soutiens et membres du FN, dont Florian Philippot , qui joue la carte du silence médiatique. Quelques minutes avant minuit, En Marche ! publie un dernier communiqué , affirmant qu'une partie des contenus sont authentiques, tout en dénonçant le piratage de ses militants.

Publiée vers 20h sur 4chan, l'archive est rapidement partagée via Twitter par des figures de la « réinformation » américaine, d'abord William Cradick de Disobedient Media , puis Jack Posobiec de The Rebel (le premier à y accoler le hashtag #MacronLeaks ). Wikileaks reprend ensuite la fuite, sans d'abord la vérifier , au milieu d'une nuée de faux comptes attribués à l'extrême-droite états-unienne.

Si les fausses informations ont marqué la campagne présidentielle, celle-ci s'est finie en apothéose. Le vendredi 5 mai au soir, à quelques heures de la fin officielle, sortaient les #MacronLeaks, soit le contenu de comptes en ligne de cinq membres de l'équipe d'En Marche !. Une avalanche de 15 Go de données largement relayée en ligne par l'extrême-droite, mélangée à des intox variées, auxquelles le mouvement n'a pu répondre que brièvement avant lundi.

Dans un entretien à franceinfo le dimanche 7 mai au soir, Mounir Mahjoubi (responsable de la campagne numérique d'EM!), dénonce une diffusion de fausses informations par « des supports » de l'extrême-droite américaine et française. Cela à la fois pour le prétendu compte aux Bahamas d'Emmanuel Macron (à partir de documents forgés) et les #MacronLeaks. Un « pilonnage permanent » de médias russes (nommément RT et Sputnik) est aussi mis en cause.

Mahjoubi déclare que l'équipe subit deux à trois campagnes de phishing ciblé par semaine depuis décembre. Cinq boites emails auraient été compromises, dont deux sur Gmail, donnant visiblement accès à un espace de stockage partagé. À chaque tentative de phishing, « on a renvoyé de faux emails, de faux mots de passe, et même de vrais comptes avec de faux contenus. On les a conçus à partir de la dixième... On n'a pas été malins au début ». Une mesure qui n'a de toute évidence pas suffi.

Le 5 mai au soir, une équipe de crise a été montée. Mounir Mahjoubi raconte qu'elle a pris une centaine d'emails au hasard, pour vérifier leur véracité. Elle serait rapidement tombée sur plusieurs faux messages qu'ils avaient fournis lors des campagnes de phishing... Menées par qui ? S'il ne se risque pas à une attribution, le responsable évoque tout de même APT28, le groupe de pirates (présumés russes) qui aurait piraté le parti démocrate américain l'an dernier.

Contactée par nos soins, l'ANSSI « va étudier le mode opératoire de l'attaquant et transmettre aux équipes les recommandations de sécurité pour qu'elles ne soient pas à nouveau victimes d'une attaque similaire ». Ce travail technique « assez long » suit une sensibilisation des partis politiques en octobre, et des équipes de campagne début 2017, suite au piratage du parti démocrate, qui a été un déclencheur pour l'agence.

Pour la CNCCEP, « clairement, ça a été à une échelle nouvelle »

Le 6 mai, la CNCCEP prenait acte du piratage et appelait internautes et médias à la retenue jusqu'au lundi. Contacté, son rapporteur général Bertrand Dacosta nous déclare que « clairement, ça a été à une échelle nouvelle » dans la diffusion de fausses informations en ligne.

Dès février, la commission prévenait « des risques cyber ». « Ce risque, virtuel, s'est manifesté de manière importante dans les tous derniers jours » déclare Dacosta, qui confirme que seul En Marche ! a saisi la CNCCEP. La demande concernait à la fois les fausses informations sur un compte bancaire caché et les #MacronLeaks, sur lesquels l'ANSSI a été appelée.

Dans ce contrôle de l'expression des candidats et de leurs soutiens, Internet pose un défi particulier : la séparation entre expression publique et privée. Si un compte Twitter accessible librement est considéré comme public, un compte Facebook aux publications restreintes aux amis est « privé ». « On navigue à vue pour encore quelques années » estime tout de même le rapporteur de la commission, officiellement dissoute depuis le 7 mai à 20h.

Dans le cas des tweets liés au FN, dont ceux de Florian Philippot, « il n'y a pas de méconnaissance directe du code électoral » pense le spécialiste. S'il y a des suites sur la sincérité du scrutin, elles seront sûrement du ressort du Conseil constitutionnel. Il estime que le problème de rumeurs et fausses informations diffusées en toute fin de campagne sont classique dans les municipales, mais pose bien un problème plus large ici.

La responsabilité des réseaux sociaux

« Les médias audiovisuels et sites Internet sérieux ont fait preuve d'un grand respect pour ne pas relayer tout le vrai et faux contenu dans ces fuites » salue la commission. Le Monde, par exemple, a rapidement affirmé qu'il ne traiterait pas les documents dans l'urgence, rappelant que décortiquer des gigaoctets de fichiers peut prendre jusqu'à plusieurs semaines.

Le cas des réseaux sociaux, lui, est plus trouble. Comme le rapporte Libération, des représentants de la « fachosphère » se sont publiquement alarmés de la suppression massive de comptes le week-end du 7 mai. Facebook confirme bien mener des actions régulières contre des comptes diffusant de fausses informations, ainsi que la suppression de messages pour respecter les lois électorales. Le mois dernier, elle précisait avoir agi contre 30 000 comptes en France au sujet des fake news.

Twitter a également suspendu des comptes pro-FN, mais contrairement à Facebook, n'agit pas spécifiquement contre les fausses nouvelles. Le service aurait utilisé la procédure classique, c'est-à-dire les signalements de comptes et de hashtags par ses membres. Il ne propose aucun dispositif de signalement des fake news, ni d'avertissement sur les messages litigieux, contrairement à Facebook. Contacté, le réseau social s'est (comme d'habitude) refusé à tout commentaire, restant désespérément muet sur le sujet.

La CNCCEP nous dit avoir été contactée dans le week-end par Facebook et Twitter, qui ont fait comprendre qu’ils comptaient supprimer des comptes diffusant ces informations. « Parfois, on nous a demandé si on voulait intervenir. La commission ne l’a pas souhaité, les médias n’ayant pas relayé ces informations. Il n’était pas question d’ouvrir une polémique supplémentaire » nous indique-t-elle.

Que contiennent les #MacronLeaks ?

Les #MacronsLeaks eux-mêmes ressemblent à un large sac de nœuds. Ils désignent à la fois les contenus authentiques piratés chez En Marche !, de possibles faux documents implantés dans la fuite du 5 mai, ainsi que de nombreuses rumeurs infondées lancées sur les réseaux sociaux. Ces fausses informations complémentaires sont nombreuses, comme un projet pour « islamiser » (sic) la France, des commandes de drogue ou d'objets tendancieux.

Pour Slate, Jean-Marc Manach s'est livré à une analyse du phénomène. Les faux se sont multipliés à toute vitesse suite à la publication sur Twitter de la nouvelle, réactivant entre autres de vieilles rumeurs liées à l'Islam ou une homosexualité imaginée d'Emmanuel Macron.

Parmi les faux documents intégrés à la fuite, figurent par exemple des messages liés à Ziad Takkedine datés du début des années 2000. Pour le moment, les documents légitimes contiennent des milliers de factures à des fournisseurs, des éléments de gestion de la campagne et des communications sur les investitures aux législatives, qui semblent considérés conformes à la bonne marche d'une campagne électorale.

Résumé des #MacronLeaks :

- Une comptabilité bien organisée

- Des emails chiants

- Pas de sex-tape Manu&Brigitte

- Des fakes qui circulent — Achille (@tachillon) 5 mai 2017

En fait, une hypothèse émerge selon laquelle la publication de ces documents à l'extrême-fin de la campagne serait une simple opération de déstabilisation. À défaut de contenu compromettant, il ne resterait plus que la diffusion en bloc pour créer le choc. Une « théorie plausible », même si « la date et l'heure de la diffusion peuvent tout de même être aléatoires » estime Jef Mathiot, ingénieur informatique et journaliste chez Reflets. Le timing utilisé par l'extrême-droite américaine dénoterait d'une méconnaissance de notre processus électoral, selon lui.

« Hackers russes », attribution et réalité

Quelques heures à peine après la fuite, les regards se sont rapidement tournés vers la Russie, déjà accusée du piratage du parti démocrate américain. Sur quelles bases ? Des tags en cyrilliques « cachés » dans un document Excel. Qui dit cyrillique dirait donc russe. CQFD. Des sociétés comme Trend Micro accusaient déjà Moscou lors de précédentes attaques, s'arrogeant une publicité à peu de frais... sur la base d'éléments souvent gardés secrets.

Si ces traces basiques en cyrillique sont réelles, elles tiendraient d'un grand amateurisme de la part des pirates. Il est donc possible qu'elles aient été placées là exprès. « Il faut être extrêmement vigilants sur l'attribution des attaques. Il est très compliqué aujourd'hui [de désigner l'attaquant], par manque de preuves. Se faire passer pour un autre dans le cyber est aussi aisé » nous rappelle l'ANSSI.

« La contrefaçon d'indicateurs de compromission, comme les adresses IP consultées ou outils utilisés, a toujours existé. La NSA et la CIA ont des outils dédiés à cela [comme Marble]. Il faut donc s'en méfier » concorde Jef Mathiot... qui pointe que la connaissance de ces falsifications facilite le déni plausible. « La simple connaissance de ces outils peut être un moyen de faire douter d'une vraie preuve lors de l'analyse d'un piratage » poursuit-il.

La reprise très rapide des informations par Wikileaks, qui a diffusé les derniers piratages attribués à Moscou, serait aussi un signe... sans pour autant constituer une preuve. « Wikileaks n'est plus neutre depuis longtemps. L'organisation, et surtout Julian Assange, sont en guerre totale contre l’establishment américain et ses agences de renseignement. Leurs positions sont souvent alignées sur celles des Russes, mais parler d'alignement idéologique est un raccourci » détaille Mathiot, auteur d'un article détaillé sur les pièges de l'attribution facile des attaques aux Russes.

Face à la tentation de l'analyse en direct, mieux vaut privilégier le retour à froid, comme l'avait effectué le Guardian sur la campagne de désinformation du Brexit. Car si l'attribution est difficile, elle n'est pas impossible. « Il ne faut pas verser dans un simplisme qui dirait que toutes les attributions sont cassées. Quand des informations sont croisées avec des recherches sur du temps long, par des acteurs indépendants, il faut en tenir compte » détaille Jef Mathiot.