L’attaque s’est produite une heure avant minuit vendredi soir. Le moment n’a pas été choisi au hasard puisqu’il correspond en France à l’entrée en vigueur de la période de « réserve », autrement dit du silence radio imposé aux médias, à la fois sur les candidats et leurs programmes.
Comme en mars dernier, ce sont des courriels, des « documents comptables », des photos, des pièces jointes du mouvement En Marche! qui se retrouvent de manière massive sur les réseaux sociaux. Outre les dizaines de milliers de fichiers « légaux » piratés, ce qui change, ici, c’est le saupoudrage de fausses informations glissées dans cette masse de données.
Il est encore trop tôt pour dire si des informations compromettantes sont présentes. En revanche, il est sûr qu’il y a là effectivement une entreprise de « déstabilisation ». En décidant de mettre en ligne ces dizaines de milliers de documents juste avant la clôture de la campagne, le ou les pirates interdisent en effet toute enquête ou même tout commentaire sur ces données.
« Fake news »
Autre élément indiquant que nous sommes là face à une volonté de nuire à quelques heures du second tour, la présence parmi ces données internes du mouvement En Marche! de fausses informations, les fameuses « fake news » qui ont miné la campagne américaine.
Sans rentrer dans le détail et le contenu des données incriminées, comme le demande expressément aux médias la commission électorale, les experts consultés sur le sujet par RFI ont notamment parlé de captures d’écrans grossièrement retouchées. Prouvant notamment qu’on est là en face d'un as du copier-coller, plutôt qu’un pirate informatique de haut vol. « On a affaire à quelqu’un qui ne connaît pas grand-chose sauf en déstabilisation », explique ainsi Damien Bancal, spécialiste en cybercriminalité.
« C‘est un individu qui profite d’une constellation de comptes Twitter et de personnes souhaitant relayer ce genre d’informations sans même les vérifier, l’important étant de faire boule de neige avec toutes ces données que personne n’ira vérifier », poursuit le rédacteur du site Zataz.com.
Extrême droite américaine
« Le pirate est connu sous le pseudonyme de Jack Posobiec, souligne encore Damien Bancal. Il utilise une connexion intraçable qui vient de Lettonie. En gros, il peut tout simplement venir de Dunkerque. » Mais Jack Posobiec est le rédacteur en chef de The rebel TV proche de Donald Trump aux Etats-Unis. Il était déjà derrière la rumeur du « pizza gate » visant Hillary Clinton pendant la campagne américaine. Il se serait appuyé ici sur des relais en France
La méthode employée est la même que lors de la diffusion d’une première vague de pseudo-documents détournés en début de semaine. Le pirate ou le groupe de pirates utilise le forum anonyme 4chan pour diffuser les données. Les trolls prennent ensuite le relais et rediffusent les rumeurs sur l’ensemble des réseaux sociaux. En plus de ces « fake news », « des dizaines de milliers d’emails, de photos et de pièces jointes, datant du 24 avril au plus tard (soit le lendemain du premier tour) » ont été mis sur la place publique, estime WikiLeaks.
Le site fondé par Julian Assange assure toutefois ne pas être à l’origine de ce piratage. En mars dernier, un rapport de la société de cybersécurité Trend Micro estimait que le mouvement En Marche ! avait déjà fait l’objet d’une tentative d’hameçonnage (« phishing »), cette fois attribuée à un groupe de hackers russes connu sous les noms de Pawn Storm et Fancy Bear.
François Hollande a réaffirmé ce samedi la mobilisation et la vigilance de la France face aux cybermenaces. « On savait qu'il y aurait ces risques-là durant la campagne
présidentielle puisque ça s'était produit ailleurs. Rien ne sera laissé sans réponse », a-t-il déclaré à l'issue d'une visite d'une exposition à l'Institut du monde arabe, à Paris, en compagnie du roi du Maroc Mohammed VI.