Comment le piratage informatique menace les candidats à la présidentielle

Aucune plaque n'indique que l'on est au bon endroit. "On est un peu parano", glisse en guise d'accueil Erwan Keraudy, co-fondateur de CybelAngel, une start-up spécialisée dans la cybersécurité. En 2011, la petite entreprise, qui s'appelait alors EmailAngel, avait sonné l'alerte sur le vol de données d'un millier de responsables UMP et de collaborateurs. Depuis, la technologie et les pratiques ont encore évolué, accroissant les risques. "La campagne va plus se passer sur le net qu'avant, c'est donc un vrai enjeu. Or, voler des données ou pirater la boîte mail d'un candidat à la présidentielle, c'est un jeu d'enfant", prévient Erwan Keraudy qui regrette que l'on soit à "un niveau de maturité proche de zéro" en France sur ces questions. 

Pourtant, l'actualité est venue rappeler l'importance de ces enjeux. Les accusations de piratage russe de l'élection américaine qui soupçonnent le Kremlin d'avoir indirectement favorisé l'élection de Donald Trump, font craindre une répétition de l'histoire lors de la présidentielle française. Comment les candidats se protègent-ils ? Ont-ils suffisamment intégré les dangers du piratage ? Franceinfo est allé les interroger. 

Des équipes de campagne conscientes des risques

A en croire les responsables numériques des candidats à la présidentielle contactés par franceinfo, les équipes de campagne y seraient sensibilisées et bien formées.

C'est une question centrale à laquelle on a pensé dès le départ puisque tout est informatisé.

L'équipe du candidat de "La France insoumise" affirme respecter "des bonnes pratiques". "Nous avons une liste de personnes limitée qui possèdent les accès aux données, elles ont reçu une formation et ont appris à ne conserver aucune donnée sur leurs disques durs, à choisir de bons mots de passe et à se déconnecter systématiquement", détaille Guillaume Royer.

Du côté de Benoît Hamon, le responsable du site de campagne, Olivier Stern explique, lui, sécuriser les données grâce à "un monitoring" : "On a une étude des logs [des connexions] réalisés plusieurs fois par jour pour voir s'il n'y a pas de comportements inhabituels."

Autre tendance dans les équipes des candidats : communiquer par messageries cryptées plutôt que par SMS qui sont, comme le rappelle Erwan Keraudy, "des cartes postales ouvertes, le degré zéro de protection". Telegram mais aussi Signal ou WhatsApp sont ainsi plébiscités.

Une exception cependant : au FN, "on préfère les réunions physiques aux messageries cryptées", indique le responsable du pôle numérique qui refuse de dévoiler son identité avant la publication officielle de l'équipe de campagne. Le parti de Marine Le Pen assure encore ne "pas avoir attendu l'actualité pour s'intéresser à ces questions-là", sachant que "beaucoup de gens [leur] veulent du mal".

Malgré tout, des erreurs de débutants

Mais certaines équipes ne sont pas encore tout à fait prêtes. "Il est question d'ouvrir de nouveaux chantiers de sécurisation. L'équipe n'est pas encore finalisée, on est en train de discuter d'une refonte avec des agences", révèle sans en dire plus Gautier Guignard, en charge de la campagne digitale de François Fillon. Comme pour le site de Jean-Luc Mélenchon, le site de campagne du candidat de la droite n'a d'ailleurs pas acheté de service à Cloudflare, à la différence des équipes de Manuel Valls, Emmanuel Macron ou Marine Le Pen. Cette entreprise américaine permet à ses clients de lutter efficacement contre les attaques de déni de service, mais aussi de cacher l'adresse IP d'origine d'un serveur. Sans Cloudflare, en cas d'attaque, le site pourrait alors être indisponible de quelques heures à quelques jours. Embêtant en pleine campagne présidentielle. 

Si le site Marine2017.fr de la candidate frontiste bénéficie du service Cloudflare, les équipes ont "oublié" d'anonymiser celui qui a déposé le nom de domaine. La société E-Politic est ainsi dirigée par Paul-Alexandre Martin, ancien numéro deux du FNJ (Front national de la jeunesse) dont les coordonnées sont disponibles publiquement.

Là encore, une personne mal intentionnée pourrait, avec ces données, parvenir à installer un malware (un logiciel malveillant) et récupérer des données ou informations sensibles. Les équipes du FN doivent néanmoins mettre en ligne un nouveau site d'ici la fin de l'année 2016. "Marine2017 c'était surtout un agrégateur de réseaux sociaux. On va également changer nos serveurs pour renforcer la sécurité", assure à franceinfo le directeur de campagne et sénateur-maire de Fréjus, David Rachline.

"En politique, les deux cibles sont le webmaster et le community manager", pointe Erwan Keraudy. Le spécialiste détaille ce qu'il faudrait mettre en place pour se protéger efficacement : une double authentification pour les mails, une boîte mail chiffrée, un chiffrement end-to-end (pour des communications sécurisées) ou encore l'utilisation de VPN (réseaux internes).

Difficile de savoir si ces conseils ont été distillés lors du séminaire de formation des partis politiques organisé par l'Anssi (Agence nationale de la sécurité des systèmes d'information) le 26 octobre. "Au vu de ce qui défrayait la chronique aux Etats-Unis, il nous paraissait utile de faire ce travail avec les partis politiques", explique Guillaume Poupard, le directeur général de l'agence. Problème : l'Anssi n'a aucune compétence pour vérifier que les politiques suivent ces recommandations. "Notre rôle, c'est celui de l'appel à la vigilance. Nous avons mis en garde en leur donnant les bonnes pratiques, mais la responsabilité pèse sur eux. C'est à eux d'assurer la protection de leurs données", soutient Louis Gautier, le secrétaire général de la défense et de la sécurité nationale (SGDSN), maison-mère de l'Anssi. 

Sans avoir besoin d'investiguer beaucoup, on remarque qu'une équipe de campagne tire son épingle du jeu. Et ce alors qu'elle refuse d'en parler. Le site En-marche.fr d'Emmanuel Macron est plutôt bien protégé. En plus d'être anonymisé et de bénéficier d'un Cloudflare, le site du candidat est l'un des seuls à avoir une adresse IP IPv6, qui est le successeur du protocole internet version 4 (IPv4).

Son avantage ? Les plages d'adresses sont beaucoup plus étendues. "Pour donner un ordre de grandeur, le protocole IPv4 permet d’avoir un peu plus de quatre milliards d’adresses qui peuvent être attribuées simultanément, contre 340 milliards de milliards d’adresses uniques avec le protocole IPv6", écrit Rue89. Le nouveau protocole offre aussi une meilleure sécurité en terme d'authentification et de confidentialité.

La crainte d'un piratage russe

Outre le piratage venant de personnes malveillantes ou vénales, la présidentielle française pourrait être la cible de la défense et de la sécurité nationale d'acteurs plus importants. Et les yeux sont évidemment tournés vers la Russie. Récemment, la Maison Blanche a directement mis en cause Vladimir Poutine au sujet de plusieurs cyberattaques menées pendant l'élection américaine. Barack Obama a annoncé des représailles.

La situation pourrait-elle se reproduire en France ? "On est dans un climat global où l'agressivité d'un certain nombre de pays se fait davantage sentir, assure prudemment Louis Gautier, le secrétaire général de la défense et de la sécurité nationale. "On est attentif à tous les signaux et on les interprète. Mais on ne pratique pas l'attribution [la désignation d'un coupable]."

Les spécialistes sont en revanche plus alarmistes. "Je ne vois pas pourquoi ça ne pourrait pas se reproduire puisque différentes institutions françaises de la cyberdéfense ont publiquement pointé les risques qui entouraient les systèmes d’information, les banques de données et les sites qui sont en relation directe avec l’élection", prévient Cyrille Bret, maître de conférences à Sciences Po et spécialiste de la géopolitique du monde russe.

Les élections françaises sont d'un très grand intérêt pour les Russes comme les élections allemandes. Ce qui est en jeu, c'est la levée des sanctions adoptées après l'annexion de la Crimée.

Le chercheur détaille la technique employée par les Russes : "Ils ne font pas élire leur candidat. Ce n'est pas comme ça que ça se passe. Ce qu'ils font, c'est créer un maximum de confusion autour des débats nationaux pour instiller un état d'incertitude dans l'opinion publique. C'est une stratégie beaucoup plus indirecte."