Présidentielle : les équipes des candidats sont-elles préparées aux cyberattaques ?
Présidentielle : les équipes des candidats sont-elles préparées aux cyberattaques ?
Par Martin Untersinger
Les partis politiques affirment avoir paré aux principaux risques, et sont plus inquiets pour les données de leurs sympathisants que pour les correspondances internes.
Les autorités françaises se sont inquiétées, ces derniers mois, de possibles attaques informatiques pendant la campagne présidentielle. Ces craintes se sont nourries de la situation aux Etats-Unis : les services de renseignement américains y ont accusé la Russie d’avoir tenté de favoriser Donald Trump, notamment par le biais de piratages pendant la campagne électorale. En France, un conseil restreint de défense a eu lieu, vendredi 24 février, à l’issue duquel le président de la République « a demandé une mobilisation de tous les moyens nécessaires de l’Etat ». Mais les principaux candidats à l’élection présidentielle, en première ligne dans ce combat, ont-ils paré à d’éventuels piratages ?
Le Monde a pu interroger les responsables des campagnes numériques et des informaticiens des cinq principaux candidats. Nos interlocuteurs sont unanimes : la menace informatique est un sujet de préoccupation important de la campagne 2017. A voir les versions périmées et donc fragiles des sites de campagne de François Fillon et d’Emmanuel Macron – et dans le cas de ce dernier la présence d’un document contenant des données personnelles de sympathisants accessibles sur Internet –, le constat n’allait pas de soi.
Toutes les campagnes assurent pourtant diffuser un maximum de réflexes et de bonnes pratiques, malgré des moyens limités : le nombre de personnes chargées de gérer et sécuriser les infrastructures informatiques se compte souvent sur les doigts d’une seule main et rares sont les campagnes, comme celle de Benoît Hamon, à avoir embauché un prestataire spécialement pour la sécurité. Un constat peu surprenant quand on connaît les bornes financières d’une campagne électorale.
Des états-majors plus sensibilisés qu’avant
« C’est ma troisième campagne, et c’est la première fois qu’il y a une telle conscience du risque, au plus haut niveau, personne ne prend ça à la légère » confirme Mounir Mahjoubi, responsable de la campagne numérique d’En Marche !. Du côté de François Fillon, on affirme également que le sujet de la sécurité informatique a été, très tôt, une préoccupation importante. Gautier Guignard, son responsable numérique, évoque notamment une réunion du staff de campagne consacrée spécifiquement à cette question, et explique avoir fait appel à deux entreprises spécialisées pour faire le point sur les bonnes pratiques en la matière.
Dans toutes les équipes, on cite des conseils en matière de qualité des mots de passe, de double authentification ou de détection d’hameçonnage. La vigilance des membres de la campagne est un moyen de protection indispensable et complémentaire des dispositifs techniques, fait-on aussi valoir au sein de plusieurs équipes techniques interrogées. « La faille est souvent humaine. C’est difficile dans un premier temps mais à force de répéter, ça marche », explique Guillaume Royer, de la campagne de Jean-Luc Mélenchon.
Le staff technique de la campagne du candidat de La France insoumise a d’ailleurs mené une initiative originale : elle a fait parvenir aux membres de la campagne un e-mail d’hameçonnage. Ceux qui ont su le détecter ont été félicités, ceux, peu nombreux, qui ont imprudemment saisi identifiants et mots de passe ont été quittes pour un rappel des réflexes à avoir.
Des résistances en interne
L’Agence nationale de sécurité des systèmes d’information (ANSSI), qui dépend du Secrétariat général de la défense et de la sécurité nationale (SGDSN) a organisé, à l’automne, un atelier destiné à sensibiliser les partis aux risques informatiques et aux bonnes pratiques en la matière. Un rôle trop discret, estime-t-on au sein de la campagne du candidat socialiste, où l’on regrette que l’Agence n’intervienne pas en amont et de manière plus proactive, à l’instar de la CNIL (Commission nationale de l’informatique et des libertés) sur la question des données personnelles.
Nos interlocuteurs sont plus réticents à évoquer les résistances rencontrées en interne vis-à-vis de ces nouvelles exigences en matière de sécurité. Elles sont pourtant, comme dans toutes les organisations, réelles. « On lutte pour faire adopter la double authentification [qui requiert une autre preuve d’identité en plus du mot de passe, une protection très importante]. Et les gens utilisent aussi leurs comptes Gmail personnels, on doit les forcer à appliquer de bonnes pratiques sur ces comptes-là aussi », explique un responsable technique de campagne qui n’a été autorisé par ses supérieurs à s’exprimer que sous couvert d’anonymat.
Les données des sympathisants, trésor de guerre
Alors que les piratages des démocrates américains ont visé les communications internes au parti, ce n’est pas le point qui inquiète le plus les équipes des candidats. « Il peut y avoir dans nos communications internes quelques secrets, par exemple sur l’organisation de la sécurité des événements ou le calendrier de notre campagne, mais ça ne va pas au-delà, il n’y a pas grand-chose de réellement confidentiel qui mettrait en danger quoi que ce soit », explique ainsi Guillaume Royer, chez Jean-Luc Mélenchon.
Leur préoccupation principale, ce sont les bases de données des sympathisants et des donateurs, en raison de leur caractère hautement stratégique pour cibler la propagande du candidat ou mobiliser ses sympathisants, mais aussi des contraintes légales, très strictes au sujet des données sensibles que sont celles liées aux opinions politiques. La plupart des campagnes ont choisi d’héberger ces données sinon en France, du moins en Europe. Cloisonnement est le maître mot : dans la plupart des cas, les techniciens ayant accès à l’intégralité des données se comptent sur les doigts d’une seule main.
La souplesse passe souvent devant la sécurité
Tous les staffs des partis veulent aussi, dans une moindre mesure, assurer une certaine confidentialité à leurs communications, à travers l’utilisation des applications chiffrant les communications comme WhatsApp ou Signal. Malgré sa mauvaise réputation en matière de sécurité et le fait que les messages qu’elle transmet ne sont pas systématiquement chiffrés, l’application Telegram demeure fréquemment utilisée. Dans certains cas, lors de certaines réunions sensibles, « cela arrive qu’il n’y ait pas de téléphone », explique Gautier Guignard.
« On échange un minimum d’information par e-mail, on se méfie », confie le responsable informatique anonyme. Chez Fillon aussi, on essaie de protéger les communications internes même s’« il y a des degrés de sensibilité des messages différents », explique M. Guignard :
« Si on commence à dire au moindre élu que pour envoyer une proposition à l’équipe de campagne, il faut procéder par message chiffré, ça risque d’être compliqué de faire tourner la machine. »
« Quand on a des informations à s’échanger, aller voir la personne directement reste le moyen le plus sûr », rappelle M. Royer. La souplesse et la réactivité sont souvent prioritaires sur la confidentialité et la sécurité des échanges de la campagne. « On n’a pas de casserole à cacher, on n’a pas de secret-défense, on n’a que des secrets de campagne. Le plus dangereux pour nous c’est de perdre l’outil de travail, et une journée de campagne. Quand le site est inaccessible, on perd de l’argent [faute de pouvoir recueillir les dons] », explique M. Mahjoubi.
Peu d’attaques d’ampleur
Certaines équipes mentionnent bien des attaques, pour la plupart anodines. C’est le cas de l’équipe de Marine Le Pen, qui ne souhaite pas s’exprimer davantage sur ce sujet. La campagne d’En Marche ! a affirmé ces dernières semaines avoir été visée par des attaques, en pointant du doigt la Russie, malgré l’absence totale de preuves techniques impliquant ce pays.
La réalité des attaques ne fait cependant pas de doute : le site de campagne a été mis hors ligne quelques minutes le 14 février par une attaque visant des parties mal protégées. Avant cet épisode, le site avait fait l’objet de deux attaques similaires.
Par ailleurs, des tentatives d’intrusion dans les bases de données sont régulièrement et automatiquement déjouées par l’entreprise payée pour protéger leur site. Des offensives de faible niveau technique, très classiques pour n’importe quel site un tant soit peu exposé. « Leur volume est ridicule [à savoir disproportionné] par rapport aux données dont on dispose », nuance cependant le principal technicien de la campagne d’En Marche !, ancien employé d’une entreprise très réputée dans le milieu (avec lequel Le Monde a pu s’entretenir à la condition de ne pas dévoiler son identité).
Chez Jean-Luc Mélenchon, aucune « attaque organisée » n’est à déplorer, si ce n’est sur le blog du candidat, qui n’est pas géré par son équipe. Au sein de la campagne de Yannick Jadot, avant le ralliement à Benoît Hamon, on évoquait une attaque en déni de service en mai 2015, qui avait duré une heure et demie ; ainsi que des tentatives d’hameçonnage non ciblées, du type de celles qui atterrissent régulièrement dans toutes les boîtes e-mail du monde. Chez François Fillon, on évoque aussi de possibles attaques « basiques », déjouées sans aucune intervention de leur part par leur prestataire.
Contrairement à ce que craignaient les autorités, aucune attaque majeure n’a pour l’instant eu lieu. L’Agence nationale de sécurité des systèmes d’information, chargée d’une veille à ce sujet destinée au Conseil constitutionnel, n’a, à ce jour et selon nos informations, rien détecté de significatif.
L’Etat veut parer à d’éventuels piratages informatiques pendant la campagne
Le risque d’attaques informatiques contre les partis politiques lors de l’élection a été pris très au sérieux par les plus hautes autorités de l’Etat. Dès l’automne, alors que le piratage du Democratic National Committee fait des remous, le Secrétariat général à la défense et à la sécurité nationale (SGDSN), qui chapeaute l’Agence nationale de sécurité des systèmes d’information (Anssi) a organisé un séminaire à destination des principales formations politiques afin de les sensibiliser aux possibles scénarios d’attaques et aux bonnes pratiques.
L’Anssi, dont le périmètre des missions est cantonné à la protection des infrastructures critiques de l’Etat, des administrations et des entreprises les plus stratégiques, ne dispose pas de mandat concernant les partis politiques. Au sein cette agence rattachée à Matignon, on craignait même de prêter le flanc à des accusations de parti pris politique.
Un moyen a été choisi par l’Elysée pour intégrer l’Anssi dans le paysage institutionnel. Un candidat déclarant subir une attaque « susceptible d’entraver significativement le déroulement de sa campagne » pourra s’adresser à la Commission nationale de contrôle de la campagne électorale (CNCCEP). Cette dernière, chargée notamment de « veiller au bon déroulement de la campagne électorale », a été mise en place, comme avant chaque élection présidentielle, dimanche 26 février. La CNCCEP pourra faire, avec l’avis du Conseil constitutionnel et l’accord du candidat concerné, une demande d’expertise auprès de l’Anssi. La Commission communiquera les résultats de cet examen au candidat et pourra, le cas échéant, « s’exprimer publiquement pour apporter aux électeurs les éléments nécessaires à une expression libre et éclairée de leur suffrage ».
