Après plusieurs mois passés à craindre des piratages similaires à ceux qui ont frappé la campagne américaine de 2016 et à muscler les défenses numériques de l’Etat, les autorités françaises pensaient avoir évité le pire. Malgré de larges campagnes d’intox et de rumeurs sur les réseaux sociaux, les cyberattaques avaient jusqu’ici épargné les candidats à la présidentielle.

Jusqu’à une poignée d’heures avant l’ouverture des premiers bureaux de vote : vendredi 5 mai en fin de soirée a été publiée en ligne une montagne de documents, présentés comme le contenu de boîtes e-mail de plusieurs lieutenants d’Emmanuel Macron.

Dans la nuit, le candidat a saisi la Commission nationale de contrôle de la campagne (CNCCEP), l’arbitre de la campagne électorale. Un préalable indispensable pour déclencher l’intervention de l’Agence nationale de sécurité des systèmes d’information (Anssi).

Le garde du corps numérique de l’Etat, qui dépend de Matignon et dont les agents sont des spécialistes de sécurité informatique de très haut niveau, dispose dans le cadre de la campagne 2017 — c’est une première — de la faculté d’intervenir auprès des équipes des candidats. Selon nos informations, l’Anssi a été formellement saisie par la CNCCEP et a dépêché des agents auprès des équipes d’En marche ! pour comprendre l’attaque, isoler les preuves informatiques et sécuriser encore davantage leurs systèmes.

Dès vendredi, le parquet de Paris a ouvert une enquête pour « accès frauduleux à un système de traitement automatisé de données » et « atteinte au secret des correspondances », a fait savoir à l’Agence France-Presse, dimanche, une source proche du dossier. Elle a été confiée à la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti).

Le mode opératoire reste à déterminer

Pour le moment, les détails techniques du piratage sont extrêmement minces. Si l’authenticité de l’intégralité des documents publiés est sujette à caution, ils semblent émaner essentiellement de comptes e-mail personnels, même si une boîte mail officielle d’En marche ! est concernée.

Comme lors de toutes les campagnes électorales, et sous la pression des autorités, les états-majors des candidats étaient au courant de la possibilité d’attaques informatiques. « C’est ma troisième campagne, et c’est la première fois qu’il y a une telle conscience du risque, au plus haut niveau, personne ne prend ça à la légère », expliquait il y a quelques semaines au Monde Mounir Mahjoubi, responsable de la campagne numérique d’En marche !

Comment expliquer alors cette attaque ? Impossible de le dire à ce stade. La présence majoritaire de boîtes e-mail personnelles semble indiquer que les pirates ont rencontré moins de résistance – et plus de succès – sur ces cibles que face aux systèmes d’En marche !

Comment le ou les hackers ont-ils pu dérober ces données ? Le plus probable est qu’ils aient fait parvenir aux victimes un courriel se faisant passer, par exemple, pour leur fournisseur de messagerie afin de leur soutirer leur mot de passe. Même avec des systèmes informatiques robustes, cette technique, appelée hameçonnage (ou phishing), fait des dégâts : elle exploite en effet la distraction, la désinvolture ou la bonne foi des victimes.

Les campagnes d’hameçonnage sophistiquées sont extrêmement difficiles à détecter, même si certaines précautions, comme la double authentification, permettent d’en limiter largement les impacts.

Sait-on qui est derrière ce piratage ?

Si la méthode est inconnue à ce stade, l’auteur l’est tout autant, a fortiori parce que le travail de recueil des preuves numériques, préalable à un long et fastidieux travail d’enquête, vient à peine de débuter.

Les regards des experts, à la fois à l’intérieur et à l’extérieur de l’Etat, se tournent cependant vers Moscou, notamment car les modalités de cette fuite – apparition, circulation, but vraisemblable – correspondent à la stratégie russe dans le cyberespace.

« Les cyberattaques font partie d’une campagne pour instiller le doute et la confusion aux populations occidentales envers leurs institutions [et] embarrasser leurs gouvernements », expliquait au Monde Matthijs Veenendaal, du Cooperative Cyber Defence Centre of Excellence (CCDCOE), un organisme de recherche consacré à la cyberdéfense, patronné par l’OTAN.

En l’occurrence, le moment choisi de cette fuite – si proche du second tour et quelques minutes avant le silence imposé aux médias sur les contenus politiques, empêchant toute réaction – ne laisse aucun doute sur la volonté du ou des pirates de peser d’une manière ou d’une autre sur le second tour de la présidentielle française.

S’agit-il d’un ultime avertissement au vraisemblable futur locataire de l’Elysée ? De la première étape d’une série de publications ayant pour but le pourrissement du débat politique français, avec les législatives en ligne de mire ?

Lire aussi La campagne d’Emmanuel Macron dans le viseur de pirates russes

L’ombre du renseignement russe

Par ailleurs, les médias russes en langue française financés par le Kremlin, en premier lieu Russia Today et Sputnik, ont multiplié les articles très critiques envers Emmanuel Macron, relayant dans certains cas des rumeurs sur sa vie privée.

Cette attitude – ainsi que plusieurs tentatives d’attaque –, avait convaincu le secrétaire général d’En marche ! de publier une tribune dans Le Monde dénonçant ces deux médias, les attaques informatiques et plus généralement « l’immixtion » de la Russie dans la campagne française. Dans un second temps, Russia Today et Sputnik ont même été bannis de la campagne.

Le groupe de pirates qui avait pris pour cible, aux Etats-Unis, la campagne démocrate, et que Washington a accusé de faire partie des services de renseignement russes et d’agir sur ordre direct du président russe Vladimir Poutine, s'est récemment intéressé à celle de l’ancien ministre de l’économie, selon l’entreprise de sécurité informatique Trend Micro.

Cette dernière a détecté la création par ce groupe de noms de sites ressemblant fortement à ceux utilisés par les membres d’En marche ! Une étape classique lorsqu’on désire mettre en place une opération d’hameçonnage.

Et maintenant ?

Le piratage de courriels du Parti démocrate américain et du directeur de campagne d’Hillary Clinton avait, aux Etats-Unis, abouti à une dénonciation officielle de l’implication de la Russie dans ces opérations.

A ce stade et dans les heures qui précèdent le scrutin, les autorités françaises voudront rester d’une grande prudence afin d’éviter toute contestation ultérieure du résultat des votes. D’autant que, jusqu’ici, la France n’a jamais attribué une cyberattaque à qui que ce soit, pour des raisons à la fois techniques et politiques.

Les événements de ces dernières heures pourraient cependant changer la donne : en février, le ministre des affaires étrangères, Jean-Marc Ayrault, avait adressé un avertissement clair. La France, avait-il expliqué dans l’enceinte de l’Assemblée nationale, « n’acceptera aucune ingérence (…) dans [son] processus électoral (…) Il en va de notre démocratie, il en va de notre souveraineté, il en va de notre indépendance nationale (…) [Il faut] faire clairement connaître les limites (…) y compris en prenant des mesures de rétorsion lorsque cela est nécessaire, car aucun Etat étranger ne peut influencer le choix des Français. »

Cette tirade n’était pas anodine : elle avait pour but de tracer une ligne rouge claire, au-delà de laquelle Paris pourrait prendre des mesures, sous la forme d’une mise en cause officielle ou par le biais de mesures concrètes de rétorsion, comme des contre-attaques informatiques.

Les jours qui viennent nous diront si les autorités françaises estiment que cette ligne rouge a été franchie. Un premier indice a été donné, samedi, par François Hollande. « On savait qu’il y aurait ces risques-là durant la campagne présidentielle puisque ça s’était produit ailleurs. Rien ne sera laissé sans réponse », a-t-il déclaré à l’AFP à sa sortie de l’Institut du monde arabe (IMA), à Paris.

« Le Monde » et les documents des « MacronLeaks » A quelques heures de la fin de la campagne officielle, vendredi 5 mai, des milliers de documents internes attribués à la campagne d’Emmanuel Macron ont été publiés sur Internet. Le Monde a pu consulter une partie de ces documents, issus du piratage de boîtes e-mails personnelles et professionnelles de cadres du mouvement. Quelle que soit l’origine du piratage, la publication de ces documents à deux jours du second tour, dans la période de réserve qui interdit aux candidats et à leurs soutiens de s’exprimer, vise clairement à perturber le processus électoral en cours. Le Monde a choisi de ne rien publier du contenu de ces documents avant le second tour. D’abord parce que le volume de documents piratés – 15 gigaoctets de fichiers – rend leur analyse, les recoupements et vérifications qui s’imposent dans tout travail journalistique, impossibles à conduire dans ce délai. Aussi, et surtout, parce que ces fichiers ont sciemment été publiés quarante-huit heures avant le vote, dans le but manifeste de nuire à la sincérité du scrutin, à un moment où les principaux intéressés ont l’interdiction légale de répondre à d’éventuelles accusations. Si ces documents contiennent des révélations, Le Monde, bien entendu, les publiera, après avoir enquêté, dans le respect de nos règles journalistiques et déontologiques, sans se laisser instrumentaliser par le calendrier de publication d’acteurs anonymes.