«Rapplique, on a un gros problème.» Il est 22 heures ce vendredi 5 mai. Cédric O, comme la plupart des moines-soldats d’Emmanuel Macron, pensait s’accorder un moment de relâche. Le premier depuis des mois. Les dés sont jetés : à minuit, la campagne officielle s’achève, interdisant à tous les candidats à la présidence la moindre déclaration publique jusqu’à l’issue du vote, le dimanche suivant. Mais pour la soirée détente, c’est raté. Le message qui s’affiche sur le téléphone du trésorier d’En marche vient de Grégoire Potton, en charge dusite web du mouvement. Plus tôt dans l’après-midi, il lui avait signalé «un truc bizarre», un fichier comptable du parti qui «se baladait sur Internet». Sans plus. Cette fois, l’alerte est rouge. Le jeune cadre attrape sa veste et fonce rue de l’Abbé-Groult, dans le XVe arrondissement de Paris, au QG de Macron. Le lieu est déserté, même par le candidat, occupé à palabrer en direct sur le site de Mediapart, à l’autre bout de Paris.

«Tout-à-l’égout du Web»

Au même moment, le smartphone de Pierre Le Texier, le monsieur Twitter d’En marche, rentré lui aussi chez lui, s’active. Trois lettres s’affichent : «TTU» pour «très très urgent», l’acronyme de crise des marcheurs. Signé Mounir Mahjoubi, le responsable de la campagne numérique. Le message est assorti d’une consigne lapidaire : «Change les mots de passe, on s’est fait pirater.» Le Texier tente de rappeler, en vain. Un autre collègue «lui fait un topo» sur la situation. Blême, celui qui avait prévu de s’éloigner des écrans pour une nuit se jette sur son ordinateur portable et, «hyperstressé», fonce sur Twitter «voir ce qui traîne». Ce qui traîne est «très désagréable», dixit O, qui réalise que sa boîte mail professionnelle est sur la place publique. Idem pour la correspondance privée des jeunes «marcheurs» Pierre Person, fondateur des Jeunes avec Macron, et Quentin Lafay, plume du candidat. Le contenu du compte Gmail du député PRG rallié Alain Tourret est aussi touché.

En tout, 15 gigaoctets de documents internes et de correspondance personnelle sont en accès libre sur la Toile depuis 20 h 35, via un lien posté sur le forum anonyme américain 4chan, le «tout-à-l’égout du Web». Relayé par Jack Posobiek, figure de proue des pro-Trump, le lien est diffusé massivement par ses ouailles ultradroitière de l’alt-right, épaulées pour l’occasion par le compte WikiLeaks, l’organisation de Julian Assange. Les sites complotistes débitent leurs premiers articles, repris par la «fachosphère» française pro-Proutine, selon le chercheur Nicolas Vanderbiest. Le hashtag #MacronLeaks se répand comme une traînée de poudre.

Au siège d’En marche, le premier cercle est sur la brèche, secoué par une autre nouvelle venue de Bretagne. La députée Corinne Erhel, pilier du mouvement, s’est effondrée à la tribune en plein meeting, victime d’un malaise cardiaque. Son décès vient d’être prononcé à l’hôpital de Saint-Brieuc. Encore sous le choc, «ceux du 6e étage», celui de Macron, ont lancé le téléchargement de l’énorme fichier pour tenter d’évaluer les dégâts du piratage. Mounir Mahjoubi est à la manœuvre. Autour de lui s’affairent, outre Potton et Person, les stratèges Ismaël Emelien et Julien Denormandie, les conseillers politiques Stéphane Séjourné et Benjamin Griveaux et les communicants Sylvain Fort et Sibeth Ndiaye. Le verdict tombe vite : impossible de tarir le flot de réactions et de retweets.

Il leur faut riposter. Et vite. Passé minuit, l’équipe de campagne se sait condamnée au silence. «Surréagir était inopportun et risqué. Inopportun car cela aurait donné une importance exagérée à un procédé, certes sans précédent, mais dont l’écho, hors Twitter, restait faible. Risqué, car le candidat s’exposait à une violation de la loi électorale», analyse l’un des avocats d’En marche. Dans le petit milieu parisien accro à Twitter, c’était un truc énorme, mais ailleurs ?» Cinq minutes avant la fin officielle de la campagne, un communiqué est envoyé. Il dénonce «une action de piratage massive» qui «relève manifestement de la déstabilisation démocratique». Les macronistes insistent sur la «circulation» de «faux documents» au milieu des vrais. «C’était exact, mais la plupart des faux mails étaient des fakes grossiers, comme celui où untel dit qu’il se masturbe en écoutant des bruits d’évier ou commande de la cocaïne, détaille un cadre. Mais cela nous a permis de faire passer des vrais pour des faux, comme celui, véridique, où un cadre écrit "Il faut dégager un max [de salariés] après le 5 mai."»

«Il y avait peu de mails à la con»

Evaluer l’ampleur de la fuite prend du temps, vu l’épaisseur des fichiers volés. «La vraie question était de savoir si la boîte mail de Macron avait été touchée», se souvient Ismaël Emelien, l’homme de confiance de Macron, qui le tient informé en temps réel par smartphone. Tranquillisé «assez vite» sur l’intégrité de sa correspondance privée, le candidat s’abstiendra finalement de passer par le QG.

Pour le petit commando aux manettes de la campagne, ces Macron Leaks ne sont qu’une demi-surprise. Depuis «plusieurs semaines», avertis par les services de renseignements, ils savent que plusieurs de leurs boîtes mails ont été aspirées. Une épée de Damoclès au-dessus d’une équipe sous le coup, depuis des mois, de cyberattaques et autres tentatives d’intox numérique. Le précédent coup de semonce remonte à seulement quarante-huit heures. Peu avant le début du débat de second tour opposant Macron à Le Pen, un faux document «révélant» l’existence d’un compte bancaire du candidat caché au Bahamas émerge. Là encore, sur le canal «politique» de 4chan. Le climax de la rumeur est atteint quand Marine Le Pen, acculée (lire Libération de jeudi), lance à la fin du débat : «J’espère que l’on n’apprendra pas que vous avez un compte offshore aux Bahamas.» Pas encore informé, Macron ne relève pas. Bien lui en prend. Le document est bâclé, voire potache. «Quasiment de la fake news amateur», vilipende dans Libération Mounir Mahjoubi, aujourd’hui secrétaire d’Etat au Numérique. Mais il en est convaincu depuis des mois : En marche est dans le viseur de «hackers russes», responsables, selon lui, des attaques DDOS (une surcharge de connexions visant à faire planter une plateforme) contre le site du candidat. Un message accueilli avec scepticisme en interne : «Je disais à Mounir [Mahjoubi] "arrête tes conneries, c’est un truc pour les journalistes cette histoire de services russes…" Lui me disait "si, si, ça vient d’Ukraine, c’est leur base arrière !"» se remémore un «helper».

Rue de l’Abbé-Groult, le goût du secret et les tendances paranoïaques du premier cercle limite la menace. «Le premier truc qu’Emelien m’a dit, c’est "tout ce que tu écriras pourra un jour se retrouver dans la nature"», se rappelle Pierre Le Texier. Chez En marche, les groupes de discussions chiffrés sont depuis plusieurs mois préférés aux mails. «Il y avait trois niveaux de communication, énumère un macroniste. L’anodin et la logistique par mail, le confidentiel sur les applis et le sensible en face-à-face.» Cette stratégie de control freak se révèle payante : «C’est pour ça qu’il n’y avait pas tant de mails à la con que ça dans les MacronLeaks. Rien qui pouvait froisser en interne, aucune blague sur les journalistes et les personnalités extérieures…» explique un membre de l’équipe.

«Entre KGB et NSA, on a choisi la NSA»

Début février, les macronistes reçoivent la visite de l’Agence nationale de la sécurité des systèmes d’information (Anssi). «Officiellement, c’est l’Anssi. Mais derrière, évidemment, c’est la DGSE. Ils nous ont dit qu’on était surveillés, qu’on risquait le piratage et qu’il fallait faire attention avec Telegram, qui est une appli russe», résume un proche conseiller de Macron. La décision est prise, les échanges les plus sensibles se feront désormais sur Whatsapp, made in USA. «On avait le choix entre KGB et NSA, on a choisi la NSA», plaisante alors Emelien.

«Les attaques DDOS, ça coûte cher niveau logiciel de sécurité, mais ça se gère», explique un cadre. Le vrai risque c’est le «hameçonnage», le clic malencontreux sur un mail frauduleux qui suffit à ouvrir l’accès aux hackers. «La principale faille dans un système, c’est toujours l’homme, philosophe un helper. Il y avait le feeling que le piratage était inévitable. Mais quand ça arrive, ça glace le sang. C’est des réputations entières qui se jouent là.»

C’est ce qui hante Cédric O, cette nuit du 5 mai. Jusqu’à l’aube, et longtemps après le départ de ses camarades, il remonte sa boîte pro, relit des milliers de messages jusqu’à l’épuisement. Il veut s’assurer que «tout est clean». Pour les juniors Quentin Lafay et Pierre Person, le coup est plus dur. Sont révélés les échanges avec leur petite amie respective, les photos de familles, digicodes ou histoires de poker en ligne. Plus problématique pour le mouvement, ses grands donateurs, des personnalités de la haute finance et de la tech, se trouvent soudainement «outés».

Pourtant, l’attaque joue en faveur du candidat. Le timing de la manipulation lui donne le beau rôle, et le contenu des documents, «pas sexy» selon une source interne, met en valeur le souci des Macronboys de rester dans les clous juridiques. «Ça s’est retourné en très bon plan com. Emelien était content», rapporte un salarié. Ce qui n’empêche pas les théories du complot : «La rumeur a commencé à courir que ça venait de nous, que tous ces gigaoctets de docs étaient des faux pour faire croire qu’on était clean…» s’étrangle un autre.

Pour la forme, le mouvement annonce son intention de porter plainte. Les vraies suites seront diplomatiques. «Les services français sont convaincus que ça venait du Kremlin, rapporte un proche de Macron. Que ça sorte une heure avant la fin de la campagne officielle prouve d’une certaine façon que Poutine n’a pas voulu déstabiliser la campagne. Mais il voulait qu’on sache qu’il aurait pu le faire. Ça permet d’établir un rapport de forces.» Le 29 mai à Versailles, après son entretien avec le président russe, Emmanuel Macron, tout juste élu, vilipende publiquement les sites pro-Kremlin qui alimentaient les rumeurs sur sa vie privée. S’il ne dit alors mot du piratage, «le tête-à-tête a dû être physique», estime un de ses conseillers.

Depuis, toute l’équipe, appelée aux plus hautes responsabilités, est «passée à autre chose». Pas WikiLeaks. Fin juillet, le site a remis en ligne la totalité des contenus hackés, avec un moteur de recherche pour en faciliter le défrichage, prouvant une fois de plus que sur Internet rien ne disparaît et tout s’archive. Le parti présidentiel a annoncé, à nouveau, son intention de porter plainte. Chez les «hackés», il demeure un léger traumatisme. Cédric O, devenu conseiller à l’Elysée, a fait scanner de fond en comble sa machine par des pros. Puis l’a jetée après l’avoir récupérée. «Même nettoyée, il peut rester des trucs, des mouchards…» justifie-t-il. Le poison du soupçon.