Initialement très bien tombée dans le panneau marketing de la petite start-up « En-Marche », la presse a relayé sans se poser la moindre question la belle histoire des attaques sophistiquées russes contre l’infrastructure informatique du parti d’Emmanuel Macron. Et puis à force de démontrer ici et sur Twitter, que si les Russes étaient vraiment sur le dos de Macron, son infrastructure informatique devait elle être totalement défoncée vu les problèmes effarants de sécurité qui y étaient présents, la presse a commencé à se poser des questions. D’autant que nous n’étions plus les seuls à remettre en cause la version officielle de la Pravda made in Macron. Nous avions œuvré lourdement pour que les équipes du candidat de droite molle, Emmanuel Macron et celles du candidat de droite dure, François Fillon, migrent leur version de WordPress vers quelque chose qui soit à jour et ne ressemble plus à un gruyère. C’est fait chez Marcon. Alléluia… Et toute la presse de se féliciter de cette mise à jour…
Pendant ce temps, chez Fillon, Même pas peur, on s’en fout… c’est vrai, les mises à jour c’est pour les faibles. Nous somme le 20 février 2017, et le source des pages arbore fièrement un pitoyable WordPress 4.3.3, une version datant de début février 2016, et qui est en toute logique tristement documentée d’une vingtaine de vulnérabilités connues.
Enfin mise à jour. Chez Macron, on s’est tout simplement débarrassé du problème en passant sur une autre solution technique que WordPress, une solution plus statique surtout. Jusqu’à cette migration technique, WordPress n’a JAMAIS été mis à jour.
Le 17 février, donc, alors que tous les confrères avaient enfin compris que l’attaque russe était surtout une très bonne opération de marketing, Le Parisien reprenait sans s’interroger le moins du monde, les arguments incohérents des équipes d’Emmanuel Macron :
» (…) tout le monde a conscience qu’il faut toujours se protéger, appliquer les meilleures règles. Serveurs protégés par des logiciels de filtrage sophistiqué, emploi de plusieurs messageries et réseaux cellulaires cryptés, double ou triple authentification pour l’accès aux services de courriels, cloisonnements multiples, bases de données isolées comme des forteresses, mots de passe complexes régulièrement changés: toutes les précautions à la hauteur d’une structure comme « En marche ! », qui ressemble à celle d’une PME, sont prises. « Ensuite, dans ce genre d’organisation, la vraie faille potentielle, c’est l’humain », assure le patron des services informatiques, un autre trentenaire qui demande à rester anonyme. « Nous avons de la chance, nous avons beaucoup de technophiles dans nos rangs. Les autres, mon boulot est de leur faire peur, en leur montrant régulièrement les conséquences qu’un manque de vigilance a eu ailleurs ».
Faire peur… Oui, c’est vraiment ce qu’essayent de faire les équipes de Macron en maniant le FUD à la perfection. Ça marche d’autant mieux que les journalistes ne comprennent rien aux arguments techniques évoqués.
Vendredi, le site de Macron n’était plus propulsé par un WordPress troué et toute la presse notait ce fait, qui mettait, semble-t-il, un terme à la polémique : peut-on raisonnablement se plaindre d’une attaque russe sur son site quand on a un site complètement troué ?
Oui, sauf que bon…
Rien n’est jamais parfait dans ce monde et il faudrait signaler à Emmanuel Macron et à ses équipes hors pair que le site des « jeunes avec Macron » est un peu léger sur le plan de la sécurité. Peut-être ont-ils le numéro de téléphone des djeunz ?
Lui aussi propulsé par WordPress, le site www.lesjeunesavecmacron.fr laisse à désirer en matière de données personnelles. Car les équipes de choc décrites par Le Parisien ont oublié de prévenir les djeunz qu’il fallait une page d’index dans les répertoires pour éviter que l’on puisse en lister le contenu.
Et dans un fichier log, on découvre ainsi des adresses mail de sympathisants.
C’est mal et si la CNIL avait les moyens de faire son travail, elle ne serait pas contente.
Au détour d’un autre fichier, ce sont les utilisateurs qui créent le contenu qui apparaissent, avec leurs mails. Un point non négligeable pour les hackers russes chinois du FBI, s’ils voulaient se lancer dans une opération de phishing.
L’expression « on a les politiques que l’on mérite » ne s’est probablement jamais mieux justifiée que pour cette campagne présidentielle. On avait bien noté que depuis François Mitterrand, le niveau baissait à chaque élection, pour finir en apothéose avec Nicolas Sarkozy, probablement le président le moins cultivé de la Vème république. Mais là, en 2017, c’est le pompon.
A ma droite (dure), François Fillon, incapable de placer une proposition depuis trois semaines. Ses ennuis judiciaires accaparent toute l’attention des médias. Toute déclaration du candidat Les Républicains est immédiatement comparée aux salaires versés à sa femme et à ses enfants. Elles perdent immédiatement tout leur sens et deviennent un révélateur de sa duplicité. A tel point que personne ne se sent obligé de rappeler, ce qui serait utile, que François Fillon a surtout été l’homme qui a mis en musique et appliqué les actions délirantes de Nicolas Sarkozy. Le premier ministre qui a laissé la plus grosse dette de ce pays. Une augmentation jamais enregistrée en si peu de temps. La situation de François Fillon est tellement désespérée qu’il en est réduit à faire du Sarkozy, c’est à dire à multiplier les déclarations fracassantes qui provoqueront des débats sans fin tant elles sont délirantes. Pendant la guerre froide, les services de renseignement russes appelaient cela une Maskirovka.Rien de neuf sous le soleil, donc.
A ma droite (extrême et hystérique), on aligne les contrevérités (ça à marché outre-Atlantique, pourquoi pas ici) et l’on fait comme si l’on avait rien vu, d’autant que pour l’instant, la presse ne s’énerve pas trop sur le sujet. Le sujet ? Le même que celui de François Fillon. Des centaines de milliers d’euros payés par le contribuable qui ont fini dans les poches d’assistés parlementaires (désolé, on sort). Notamment son garde du corps qui en plus de la protéger d’on ne sait quoi, l’assistait parlementairement parlant.
Macron, cette rock star…
A ma droite à nouveau (si, si), Emmanuel Macron. On nous glisse dans l’oreillette qu’en dépit de deux mois de quête effrénée, Indiana Jones n’a toujours pas trouvé le programme du candidat. A tel point que lorsque l’émission Quotidien de Yann Barthès interroge les groupies assistant à un meeting sur les propositions de leur candidat, elles ne trouvent rien de mieux que de dire qu’il est beau ou que c’est une rock star.
Enfin, à ma (presque) gauche, Benoît Hamon et Jean-Luc Mélenchon se disputent le titre de meilleur représentant de la gauche. C’est moi qui doit y aller, tu dois me rallier. Non, c’est toi. Non toi. Si tu le fais pas on va perdre. Non, c’est l’inverse. Non…
En d’autres termes, la campagne pour les présidentielles se réduit à des ennuis judiciaire, une belle gueule (selon les militants) et à des problèmes d’ego.
Ce qui est fascinant, c’est que les Français se contentent de cela et qu’ils acceptent tout de même d’aller voter. N’ont-ils rien appris au fil des élections ? Ces hommes et femmes politiques professionnels n’ont qu’un but : accéder au pouvoir. Pour régler leurs problèmes (Chirac, Sarkozy), pour renvoyer des ascenseurs (Giscard, Mitterrand, Chirac, Sarkozy), pour mieux trahir leurs promesses électorales (Hollande, pour ne citer que le plus emblématique).
Ce système ne perdure que parce qu’il y a encore des gens pour aller voter. Sans votants, pas d’élus. Et inutile de croire qu’en élisant un homme providentiel, le système sera défait. Il n’existe pas un tel politique.
Les équipes de sécurité informatique de En Marche à la recherche d’une SQL injection
Nous l’avons vu ces derniers jours les équipes de En Marche, le parti d’Emmanuel Macron, sont en mode opération de communication maximale à propos des méchants hackers russes qui tentent de pirater le site en-marche.fr. Mais rassurons-nous, pas une seule opération de phishing. Juste des injections SQL, des DDoS et des fake news (c’est hype).
Nous avons appris par les équipes de En Marche que le parti s’est doté de pas moins de six experts en sécurité informatique, ainsi qu’un ancien patron du CNNum.
Pour parfaire son « infrastructure sécurisée » l’équipe de campagne a passé un coup de carte bancaire chez CloudFlare, et un autre apparemment chez Google. Vie privée et souveraineté numérique ne sont pas de vains mots.
Ceci dit, cette fine équipe aura sans doute demandé à Emmanuel Macron s’il avait des comptes sur des plateformes dont il est notoire qu’elles ont été piratées, et que des crédentiels ont leaké.
Cela aura été utile car, comme nous l’a fait remarquer un lecteur, Emmanuel Macron disposait d’un compte Dropbox qui a fuité.
Haz he been pwned?
Le mot de passe fait partie de la moitié des comptes Dropbox fuités hachés grâce à SHA-1 et à un sel. Pas à l’abri d’une attaque en dictionnaire voire en bruteforce, donc. Gageons que ses 6 responsables en sécurité lui auront conseillé de ne pas le réutiliser…
On imagine aisément combien son mot de passe pourrait être intéressant dans le cadre d’une opération de déstabilisation un peu sophistiquée du nouveau messie de la politique française.
A sa décharge, on peut citer quelques parlementaires qui utilisaient eux aussi la plateforme américaine.
En attendant, 8 jours après le signalement initial, la plantureuse équipe d’experts en sécurité informatique n’a toujours pas trouvé comment mettre à jour son WordPress.
Attention Mesdames et Messieurs, voici venu le moment tant attendu, l’affrontement final, le clash des titans de la démocratie et de la politique avec un grand P ! A ma droite, François Fillon et son « coup d’Etat institutionnel« . A ma droite (l’autre droite), Emmanuel Macron et les hackers russes qui veulent détruire sa campagne.
Passé un peu inaperçu cette semaine dans le Canard Enchaîné pour cause de #FillonGate/#PenelopeGate, un petit article racontait comment le site « En Marche ! » d’Emmanuel Macron était la cible d’attaques quotidiennes et comment tout le monde craignait que les Russes n’essayent de déstabiliser le candidat. Cette histoire est reprise par le Journal du Dimanche sur le Web, le 12 février, avec de nombreux détails. Ce que dit l’équipe de Macron à ce sujet et ce que rapportent les journalistes de cette histoire (lire ici l’article sur l’Obs) met en lumière leur niveau en sécurité informatique. Et avouons-le, cela fait un peu peur.
Florilège:
« plusieurs centaines d’attaques quotidiennes visant notre base de données et nos boîtes mail, mais aussi notre réputation »
« Ce que confirme un responsable du renseignement : « Leur site Internet est attaqué en permanence » ».
« Une demi-douzaine de responsables de la sécurité informatique d’En marche! a ainsi rendu visite, fin janvier, à l’Agence nationale de la sécurité des systèmes d’information (Anssi) pour faire part de ses inquiétudes ».
« le mouvement de Macron, dont l’équipe informatique est considérée comme « très compétente » par les spécialistes en cyberdéfense ».
« Fin janvier, le candidat s’est adjoint les services de Mounir Mahjoubi, ancien président du Conseil national du numérique. Il fait le point chaque semaine avec lui, en particulier sur ces offensives ».
« Nous appliquons les meilleures pratiques, assure Mounir Mahjoubi. Le serveur de notre site n’est pas lié au réseau interne, aux bases de données ni aux mails ».
« Je dis que il y a ça d’un côté et il y a des centaines, voire des milliers, d’attaques sur notre système numérique, sur notre base de données, sur nos sites. Et comme par hasard cela vient des frontières russes »
Ces déclarations sont à peu près aussi catastrophiques que les explications de François Fillon sur les emplois fictifs de sa femme. Bien entendu elles n’ont pas les mêmes répercussions. Car seuls les gens ayant une culture informatique peuvent le voir. Mais il y aurait de quoi classer l’Obs et le JDD dans la rubrique orange du Décodex…
Prenons ces déclarations dans l’ordre…
Des centaines d’attaques par jour ? Comme tous les sites Web, y compris Reflets.info. L’eau ça mouille.
Nous sommes heureux de constater qu’un service de renseignement puisse confirmer que le feu, ça brûle.
Six responsables de la sécurité informatique chez « En Marche ! » ? Il a les moyens Emmanuel… Et l’ANSSI ne leur a rien dit sur leur version de WordPress ?
Qui sont les experts en cyberdéfense qui pensent que l’équipe informatique de Macron est très compétente, quels sont leurs réseaux ?
Embaucher l’ancien patron du CNNum, c’est un gage de réussite. Les hackers russes n’ont qu’à bien se tenir.
Mounir Mahjoubi indique que les bases de données et les mails ne sont pas attaquables via le site Web. Quelqu’un pour lui acheter des cyber-lunettes digitales pas cryptées ? D’ailleurs la première déclaration de la liste dit le contraire.
Le 7 février, nous indiquions que la version de WordPress du site En Marche, comme celle du site de François Fillon était complètement trouée. Depuis, les choses ne changent pas puisque, ce lundi 13 février, la version reste la même sur le site d’Emmanuel Macron, en dépit des centaines d’attaques quotidiennes. Dans un commentaire, un lecteur se demandait ce qu’un pirate pourrait bien récupérer sur un site Web de ce genre. La liste des adhérents ? La liste des donateurs ? Le tout avec une tripotée de données personnelles ?
Notez que le code pénal est assez clair en son article 226-17 : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »
En même temps, ce n’est pas comme si En Marche n’était pas pourvu de 6 responsables de la sécurité informatique…
Certains anti-Decodex y vont un peu fort, c’est vrai. Avec peut-être des idées derrière la tête pour une partie d’entre eux. Mais quand même, c’est drôle, non ?
Le principe du fact-checking est simple, voire simpliste : vous prenez les informations (des autres publications, c’est plus simple et votre actionnaire ne vous en voudra pas), et vous vérifiez « par les faits », les affirmations qui y sont contenues. Une déclaration chiffrée d’un responsable politique, par exemple, est soumise à la sagacité des journalistes fact-checkers qui la mettent en abîme avec une statistique officielle. De la même manière, des montants financiers, des dates, des noms, des lieux, des estimations peuvent être passés au crible de la vérification « factuelle ».
Ce procédé, qui en réalité, est l’une des compétences normales du journaliste, se retrouve donc — par la grâce des spécialistes en « augmentation » du journalisme — mis en avant comme une nouveauté incontournable, une sorte de hochet scientifique de la sphère médiatique lui redonnant un sérieux et une crédibilité quelque peu dégradés. Un peu comme si un spécialiste en sécurité des réseaux annonçait qu’il se spécialisait dans la publication de rapports sur les failles informatiques permettant de pénétrer les SI dont il a la responsabilité. Son employeur lui répondrait sans doute : « On est content d’apprendre que tu fais ton travail, de là ce que tu nous vendes ta seconde compétence comme une spécialité distincte, qui amènerait un « plus » indéniable, c’est un peu gonflé, Coco« .
Mais la comparaison s’arrête là, puisque le fact-checking journalistique a ses limites, et ceux qui en ont fait leur niche ne semblent pas toujours s’en rendre compte. L’une de ces limites est l’impossibilité, sur certains sujets, de vérifier toutes les données « concrètes », alors que des enquêtes, des documents, peuvent pourtant laisser entendre une réalité en cours très établie, mais « non-factuelle ».
Le factuel est binaire : soit les faits sont là, soit ils n’y sont pas. L’affaire IOL (lire nos articles à ce sujet) est parfaitement révélatrice de la limite de ce procédé du vrai-faux : Reflets a des documents qui indiquent l’achat par le gouvernement français d’un système de surveillance sur le territoire national depuis 2009, confirmé par des sources très bien placées et une loi qui vient enfoncer le clou. Mais il n’est pas [encore] possible de vérifier factuellement le niveau d’activité d’IOL, quelle taille le dispositif a atteint, etc. Ce qui est certain, par contre, c’est qu’IOL est dimensionné — sur le papier gouvernemental, ce qui n’est pas rien — pour permettre l’interception des communications Internet de n’importe lequel des millions d’internautes français. Au passage, une question au gouvernement a été posée au sujet… d’IOL (relayée par nos confrères de NextInpact, merci à eux). Des fact-checkers ont pourtant traité ce sujet, et ont conclu, par la « vérification des faits », qu’il n’y a avait pas de surveillance « de masse » en France (coucou @manhack).
Dans le cas des révélations Snowden, de la même manière, aucun fait établi et factuel des systèmes d’écoute globale de la NSA n’existe, personne n’a jamais vu un seul logiciel, ni lu un seul log des super-softs de surveillance américains : tout est sur le papier. Dans ces deux cas, en réalité on ne fact-check pas : il n’ y a pas de faits. On estime — parce que des documents officiels ont été publiés, des sources croisées, des copies d’écran analysées — que ces outils sont réels. Mais personne n’a jamais pu vérifier la réalité factuelle des sondes réseaux placées sur des points stratégiques du réseau mondial, ni testé XKeyCore ou PRISM. Que devraient faire les fact-checkers dans ces cas là, normalement ? Déclarer la surveillance mondiale de la NSA comme un « fake » ?
Ce que nous croyons et pensons est-il condamnable ou négociable ?
Un journaliste est un individu qui a des croyances, qui pense le monde avec des jugements, a une histoire, un bagage culturel et intellectuel unique, comme chacune des personnes qui constituent une société. Il ne peut se départir de ces attributs, et s’il le devait, en réalité, il devrait être remplacé par une « intelligence artificielle », un logiciel. Cette subjectivité, parfaitement humaine et nécessaire (puisqu’elle permet d’avoir du jugement), permet aux journalistes [qui ont refusé de fabriquer de l’information industrielle, ou ont réussi à obtenir le droit de ne pas jouer aux petits soldats de l’information préfabriquée, rapide et simpliste] de décrire, analyser des événements, des réalités, des phénomènes de manières différentes.
C’est ainsi que nous avons une presse d’opinion française (en réalité bien moins qu’aux États-Unis, par exemple), qui assume son engagement, et une autre, dite « mainstream », qui tente de se tenir à distance de ses contenus de publications, prétendant être « neutre » ou « objective ». Ce qui est parfaitement faux. La presse désireuse d’être classée comme « objective » ou « neutre » est en réalité une presse qui publie des contenus « orientés », comme toute la presse. Elle est à la fois détenue par des industriels tous proches des institutions de l’État de par leurs activités, mais aussi subventionnée par l’État, tout en étant tributaire de la publicité et… de l’engagement idéologique de ses journalistes.
La neutralité revendiquée n’est donc rien d’autre qu’une façade commerciale censée rassurer les lecteurs en leur laissant croire qu’aucune influence ou idéologie n’est susceptible d’orienter leur publication préférée. Il va sans dire que vérifier cette fausse objectivité neutre est très simple. Le premier lecteur à trouver plusieurs articles du Monde critiquant fortement les institutions européennes, ou mettant en cause fortement les engagements militaires et diplomatiques français à l’étranger, gagnera d’ailleurs un abonnement d’un an à Reflets (bientôt ça vaudra cher).
Explications : Selon le monde, donc, plusieurs critères permettent de juger de la fiabilité d’un site (Décodex : comment juger de la fiabilité d’un site ?). Le premier est la consultation de la page « à propos » du site. Cela permettrait de mieux savoir si les gens du site sont sérieux. Ah. Ok.
Le factuel et les opinions : qui a décidé qu’un article factuel était un article obligatoirement de qualité versus un article d’opinion qui serait « louche » ou mensonger ? Ah oui, l’important c’est de les distinguer. Il faut dire au lecteur : « attention lecteur, ceci est un article d’opinion ». On ne sait jamais, le lecteur il pourrait confondre un papier documenté d’enquête avec une tribune politique, sur Reflets. Quant à « l’ouverture aux personnes mises en cause », en général, elles ne souhaitent pas nous répondre. Nos aventures avec Fleur Pellerin en témoignent (toujours invitée en radio, elle n’a jamais répondu). Mais sur plein d’autres sujets, la réalité est qu’un article d’opinion n’a pas nécessairement besoin — pour devenir fiable ou crédible — de faire parler les gens qui pourraient être concernés par ladite opinion. Le droit de réponse existe dans la presse, et n’importe qui peut — s’il est concerné par une tribune — demander ce droit de réponse. Il sera toujours publié. C’est là, la vraie règle. On l’a vu avec Frédéric Bardeaux sur Reflets. Ça a même fini dans un studio de radio (oui, France Culture, toujours).
Et donc, en conclusion de toutes ces petites « aides au jugement » sur la fiabilité ou non des sites d’information, arrive le fameux outil Décodex, ce petit moteur de recherche (qui contient au moins 600 sites d’info, mais pas encore Reflets, ni plein d’autres pure players comme NextInpact) qui vous dit si un site est vert, orange, gris, bleu ou rouge, avec bien entendu un texte consensuel sur le fait que même en vert, il faut aller vérifier l’info sur d’autres sites, etc, etc. Pour la couleur bleue, c’est plutôt bien pour toutes les Christine Boutin de France et de Navarre, qui pourront découvrir que Le Gorafi est un site satirique de fausse information… Pour le reste…
Automatiser le jugement et orienter les choix : Le Monde s’habille en Pravda
Valeurs actuelles — le journal qui vend des morceaux de Marine Le Pen et de Laurent Wauquiez — était en vert au début, et puis là aussi, Twitter a crié au scandale, alors ils sont en orange maintenant, chez Valeurs (c’est dur quand même). On est peu de chose entre les pattes de Décodex…