Dans une tribune publiée dans Le Monde mardi 14 février, le secrétaire général du mouvement En marche ! écrit que la Russie tente de déstabiliser la campagne d’Emmanuel Macron.

Richard Ferrand cite notamment des tentatives de piratage informatique dont serait victime le mouvement de l’ancien ministre de l’économie. Mounir Mahjoubi, responsable numérique de la campagne, a répondu à nos questions.

Vous évoquez plusieurs milliers d’attaques mensuelles contre le site Internet d’En marche !. Comment arrivez-vous à ce chiffre ?

Mounir Mahjoubi : Depuis trente jours, nous avons subi quatre mille attaques, et chaque jour, il y en a plus que le précédent. Aujourd’hui, on a atteint un pic. Ce matin, le site a été extrêmement ralenti, voire inaccessible. Nous avons vu plusieurs centaines de tentatives d’attaque qui venaient du grand Est, d’Ukraine et d’autres pays.

De quels types d’attaques s’agit-il ?

C’est un mélange de plusieurs types d’attaques. Il y a de l’attaque de déni de service [qui consiste à saturer un site de connexions pour le rendre inaccessible], pas du massif, du traditionnel, qui sont absorbables par une architecture de sécurité comme on a aujourd’hui.

Il y a aussi des injections SQL [une attaque qui consiste à récupérer des données sans autorisation voire à les modifier] : chaque fois qu’une nouvelle page est publiée sur le site, il y a des tentatives. Il y en a qui sont réalisées avec des outils d’intrusion automatisés, qu’on peut utiliser pour tester les systèmes, on reconnaît ces techniques, on est protégés. Mais, au milieu, on en voit quelques-unes, quelques dizaines, plus recherchées, plus spécifiques.

Il y a aussi des scans de ports, pour tenter d’identifier des failles. Enfin, il y a des choses plus intelligentes, mais beaucoup plus rares et beaucoup plus dangereuses, notamment des tentatives de connexion à nos bases de données.

Avez-vous fait l’objet de phishing [hameçonnage, qui consiste à envoyer un mail conçu pour convaincre son destinataire de saisir, par exemple, un mot de passe] ?

Aujourd’hui, on n’a identifié aucun cas de phishing avancé. On reçoit plein de phishing mais du phishing de masse. Soit on n’en a pas eu, soit on ne l’a pas détecté.

Comment savez-vous que ces attaques viennent d’Ukraine ?

Nous avons mené un travail d’identification immédiate des attaques. Quand nous subissons une attaque en déni de service ou une injection SQL, on voit l’adresse IP [l’identification de connexion de l’ordinateur, qui peut parfois donner une indication partielle de l’origine d’une attaque]. La moitié des quatre mille attaques provient d’Ukraine. C’est un pays qui n’est pas très stable, avec un très haut niveau de compétence technique : il y a des gens très qualifiés et des problèmes de stabilité politique. De nombreux pays qui utilisent l’Ukraine comme pays relais.

Vous dénoncez le rôle de la Russie, mais que ces attaques proviennent techniquement d’Ukraine ne le prouve pas.

On a un doute sur l’origine des cyberattaques, mais nous n’avons aucun doute que la Russie est très active, sur les fake news et sur les réseaux sociaux. On voit notamment des rumeurs propagées par des sites comme Sputnik et reprises par la fachosphère, de manière quasi symbiotique. On observe par exemple une galaxie de robots semi-automatiques sur les réseaux sociaux. On se rend compte que ça n’est pas possible que ce soit un être humain derrière certains comptes, qui postent entre cent et deux cents articles par jour, et prennent parfois la parole. On soupçonne une alimentation semi-automatique de ces comptes, c’est nouveau. Il y a deux explications : soit il s’agit de gens capables d’y passer leur journée, soit ils sont aidés.

En même temps, WordPress (le logiciel qu’ont choisi les équipes d’En marche ! pour gérer le site de campagne) n’est pas à jour et comporte plusieurs failles bien documentées.

Cela devrait être réglé dans la journée.

Qu’est-ce qui vous fait dire que ces attaques informatiques sont organisées ?

Il y a leur volume, mais surtout la convergence des attaques, entre ce qui est en haut de l’iceberg, et ce qui est fait en sous-terrain.

Avez-vous été en contact avec l’Agence nationale de la sécurité des systèmes d’information (Anssi) au sujet de ces piratages ?

Non. Lorsque je présidais le Conseil national du numérique, l’Anssi était notre hotline en matière de sécurité. Mais là, ils ont été clairs : leur rôle, ce n’est pas de nous protéger.