Les «Macron Leaks» posent plus de questions qu'ils ne font scandale

Par

La diffusion des mails de proches du nouveau président, à quelques heures de la fin de la campagne, a surpris de nombreux observateurs. Elle est pourtant le fruit d'une opération de longue haleine lancée il y a plusieurs mois par l'extrême droite américaine pro-Trump et pro-Poutine. De nombreux points restent à éclaircir, comme la participation éventuelle des services russes à cette opération qui semble, à première vue, être un fiasco.

Cet article est en accès libre. Découvrez notre offre spéciale ! S'abonner

Il y aura un avant et un après Macron Leaks. La publication, vendredi soir, de plusieurs milliers de mails piratés dans les boîtes de collaborateurs d’Emmanuel Macron est inédite, tant au niveau de sa forme que de son timing, de la manière dont les documents ont été mis en ligne ou encore des groupes suspectés d’être à la manœuvre derrière cette opération.

Ce « leak », diffusé par les réseaux pro-Trump américains, a laissé perplexes de nombreux experts et pose de nombreuses questions. Ce piratage a-t-il été réalisé, comme les précédents, par des hackers affiliés aux services russes ? Si oui, comment s’est nouée leur alliance avec l’extrême droite américaine ? Quel crédit accorder à ces documents, dont certains ont été truqués et diffusés d’une manière particulièrement grossière ? Comment expliquer l’amateurisme et l’échec de cette campagne, qui s’est finalement retournée contre ses initiateurs, alors que les hackers s’étaient montrés particulièrement efficaces lorsqu’il s’était agi d’influer sur la campagne américaine ? Mediapart revient sur cet épisode et fait le point sur ce qu’il est possible de savoir à l’heure actuelle.

  • La mobilisation de « l’alt-right » pro-Trump

La diffusion des « Macron Leaks » n’était pas une surprise. Elle était annoncée depuis plusieurs jours, certes au milieu d’une myriade de fausses rumeurs pour la plupart nauséabondes, sur la rubrique « /pol » du site 4Chan. Il est impossible de comprendre l’origine des Macron Leaks sans évoquer ce site communautaire anglophone. 4Chan est une institution du Net. Lancé en 2003, initialement pour échanger des images de mangas et dessins animés japonais, ce forum anglophone est devenu un bastion de la liberté d’expression. Il est divisé en différentes rubriques thématiques où les utilisateurs peuvent poster anonymement tout type de contenu, sans aucune censure. C’est dans ce grand foutoir que sont nés une bonne partie des grands mèmes et phénomènes du Web.

4Chan a toujours été une des plateformes de prédilection de trolls de tout poil cherchant à tester les limites de la liberté d’expression en postant des contenus particulièrement odieux, notamment dans la rubrique « /pol » (pour « politiquement incorrect »). Mais jusqu’à il y a encore peu, c’est une culture libertaire qui prédominait. C’est notamment grâce à elle que 4Chan a pu héberger les premiers pas des Anonymous, alors que ceux-ci lançaient leur guerre contre l’Église de scientologie en 2010.

Mais dès cette époque, comme le racontait Le Monde le 31 mars dernier, la culture libertaire et « politiquement incorrecte » de 4Chan a commencé peu à peu à être gangrénée par l’extrême droite. À partir de 2011, la rubrique /pol a commencé à accueillir des néonazis, anciens utilisateurs du site Storm Front.

Depuis, la nouvelle orientation politique de toute une partie de la communauté de 4Chan n’a cessé de s’affirmer, au point de jouer un rôle crucial durant la dernière campagne présidentielle américaine. À cette occasion, ces cybermilitants à la fois pro-Trump et pro-Poutine se sont même donné un nouveau nom : la « Trump’s Troll Army » ; et un symbole, un personnage de comics, « Pepe the frog ». Œuvrant depuis 4Chan mais également sur la plupart des réseaux sociaux, ils sont à l’origine de la création et de la propagation d’un nombre considérable de « fake news » sur Hillary Clinton. Certains se sont même vantés d’avoir, déjà, réussi à pirater les iPhone et iPad du directeur de campagne de la candidate, John Podesta, pour en effacer toutes les données.

Après la victoire de Donald Trump, son « armée de trolls » s’était donné une nouvelle mission : « faire gagner Marine ». À cette occasion, « Pepe the Frog » est devenu « Pepe Le Pen » et l’alt-right américaine a tissé des liens étroits avec la « fachosphère » française pour mener « The Battle of France ». Mais les méthodes sont restées les mêmes : création et diffusion de fake news et relais massifs sur les réseaux sociaux.

Une des variantes du mème "Pepe the Frog" appliqué à la France Une des variantes du mème "Pepe the Frog" appliqué à la France

  • Une opération brouillonne et contre-productive

Un des aspects les plus marquants des « Macron Leaks », c’est l’amateurisme de l’opération et la grossièreté des méthodes employées. Pour bien mesurer l’incurie de l’extrême droite, il faut revenir au mercredi 3 mai, au soir du débat entre Emmanuel Macron et Marine Le Pen.

Alors que les deux candidats s’accrochent sur la question des affaires politico-financières, la représentante du Front national lâche : « J’espère qu’on n’apprendra pas que vous avez un compte offshore aux Bahamas, ou ne je sais pas… j’en sais rien. » Le même soir, apparaissent sur 4Chan deux « documents » censés prouver l’existence du fameux compte. L’information est relayée par les mêmes comptes et les mêmes sites de l’alt-right américaine à l’origine des différentes rumeurs sur Hillary Clinton, comme le site Rebel TV ou Disobedient Media.

Comme l’a montré le site Numerama, les fameux documents n’étaient en fait que des faux grossiers. Mais dès ce soir-là, Marine Le Pen atteste par sa déclaration ses liens avec la communauté à l’origine des fake news.

Les deux jours suivants, des messages pullulent sur la page /pol, soit pour annoncer de nouveaux documents, soit pour propager de fausses rumeurs sur Emmanuel Macron. Puis, vendredi en début de soirée, un utilisateur de 4Chan poste un message muni d’un lien permettant de télécharger l’ensemble des documents. Immédiatement, l’information se propage sur les réseaux sociaux grâce aux réseaux de l’alt-right américaine pro-russe. Cette fois encore, c’est le rédacteur en chef de The Rebel TV, Jack Posobiec, qui a été le premier à annoncer la mise en ligne des documents sur Twitter et à lancer le hashtag #MacronLeaks.

« La similitude entre les deux est assez incroyable, expliquait dès le lendemain à Mediapart Nicolas Vanderbiest, chercheur belge, spécialiste des phénomènes d’influence et auteur du site Reputatio Lab. Ça part du compte @JackPosobiec et tout de suite, c’est repris par les cadres de la propagande numérique du FN. Ce sont exactement les mêmes comptes de riposte du FN, suivis par la communauté russophile pro-Trump, comme @Messmer ou @KimJongUnique, ou encore WikiLeaks. Et ensuite, on a les cadres du FN, comme Philippot, qui s’affichent avec ces gens en les relayant. »

Beaucoup d’experts se sont également interrogés sur le moment choisi pour diffuser ces documents. Vu la masse de données, livrées brutes à quelques heures de la clôture de la campagne, il n'y avait en effet quasiment aucune chance que des informations valides en soient tirées et publiées par les médias. Le jour du scrutin, en revanche, les réseaux de l’extrême droite pro-Trump/pro-Poutine se sont à nouveau mobilisés. Durant une bonne partie de la journée, ils ont inondé les réseaux sociaux de fake news illustrées de documents tirés des Macron Leaks, mais bien souvent truqués d’une manière si grossière qu’aucun n’était crédible, comme dans ce faux mail visiblement traduit de l'anglais à l'aide d'un logiciel. L'ensemble des images et détournements était systématiquement accompagné du hashtag #macronleaks.

Au bout du compte, l’opération #MacronLeaks a été un échec retentissant. Malgré une impressionnante mobilisation, aucune des fake news n’a pris. Au contraire, l’amateurisme des messages, souvent traduits dans un français approximatif, la mauvaise qualité des montages ont largement contribué à la ridiculiser. Le Front national, lui, a définitivement montré son vrai visage et ses liens étroits avec l’alt-right américaine pro-russe, par ailleurs détaillés dans une enquête du site Buzzfeed.

  • Une alliance russo-américaine ?

Si la diffusion des Macron Leaks est visiblement le fait d’une alliance entre les extrêmes droites américaine et française, reste à savoir qui est l’auteur du piratage. Sans surprise, la Russie fait figure de coupable idéal. Plus précisément, tous les regards se sont immédiatement tournés vers « Fancy Bear », un groupe de hackers fortement suspectés de travailler pour les services de renseignement militaires russes, le GRU. « Fancy Bear », qui agit sous plusieurs noms dont « APT28 » ou encore « Guccifer 2.0 », n’en serait pas à son coup d’essai. C’est lui qui, notamment, était à l’origine des piratages des mails du parti démocrate américain ou encore de l’Agence mondiale antidopage.

L’équipe de campagne d’Emmanuel Macron avait elle-même alerté durant la campagne sur plusieurs tentatives de piratage dont elle avait fait l’objet. Et au mois d’avril dernier, la société de sécurité informatique japonaise Trend Micro avait publié un long rapport résumant deux années d’activités de Fancy Bear. On y apprenait notamment que, parmi les cibles du groupe, figuraient les boîtes mails de l’équipe d’En Marche!. Il semblerait donc logique que les mails publiés vendredi dernier soient le fruit de l’opération rapportée par Trend Micro.

Dès le 6 mai, Vitali Kremez, directeur de recherche chez Flashpoint, une autre société ayant travaillé sur Fancy Bear, a d’ailleurs affirmé à Reuters avoir trouvé des liens reliant les Macron Leaks à l’une des émanations du groupe. Le directeur de la NSA, Mike Rogers, a lui-même appuyé cette hypothèse mardi 9 mai en révélant que ses services étaient « au courant des activités russes » en France et en avaient averti leurs homologues français.

D’autant plus que plusieurs éléments factuels sont déjà venus conforter la piste russe. Tout d’abord, plusieurs experts ont trouvé, dans les métadonnées de plusieurs documents, des caractères écrits en cyrillique. Y figurent même un nom, Georgiy Petrovich, employé d'Eureka, une société travaillant comme sous-traitant des services russes.

Mais l’attribution d’une attaque informatique reste un exercice particulièrement complexe et délicat. Il faudra certainement encore des mois pour arriver à une certitude. Déjà, plusieurs experts s’étonnent, notamment dans les colonnes de Wired, de ces preuves si évidentes laissées à la vue de tous. C’est un peu comme si, lors d’un cambriolage, le voleur laissait ses empreintes digitales sur la porte et sa carte d’identité sur la table du salon.

L’enquête à venir permettra peut-être d’y voir un peu plus clair. Dès vendredi soir, le parquet de Paris a annoncé l’ouverture d’une enquête pour « accès frauduleux à un système de traitement automatisé de données » et « atteinte au secret des correspondances ». Elle a été confiée à la Brigade d'enquêtes sur les fraudes aux technologies de l'information (Befti). Elle dépendra cependant en partie de la collaboration des autorités russes et américaines.

On notera sur ce point l’annonce, mardi soir, du limogeage par Donald Trump du patron du FBI, James Comey, chargé de l’enquête sur l’intervention de la Russie dans la campagne américaine. Beaucoup d’observateurs soulignent également le curieux silence du président américain, qui s’était félicité de la diffusion des mails du parti démocrate, sur les Macron Leaks, alors qu’une partie de l’opération a été menée par des ressortissants américains.

  • Les Macron Leaks : fake ou pas fake ?

Vu la masse de documents diffusée, il est pour l’instant encore impossible de dire avec certitude si de faux documents ont été insérés dans les Macron Leaks. Dès vendredi soir, l’équipe de campagne d’En Marche! attestait l’authenticité d’une partie des documents en reconnaissant, dans un communiqué, avoir été piratée. Mais elle ajoutait : « Ceux qui font circuler ces documents ajoutent à des documents authentiques nombre de faux documents afin de semer le doute et la désinformation. »

Le communiqué ne précisait pas s’il faisait référence aux documents en eux-mêmes ou aux versions grossièrement trafiquées qui circulaient alors sur les réseaux sociaux. La découverte de caractères cyrilliques dans les métadonnées invite cependant à la plus grande prudence. Qu’il s’agisse là d’une énorme maladresse des services russes ou d’une tentative de manipulation, cela prouve que les documents ont été manipulés avant leur mise en ligne. Si les métadonnées ont été modifiées, rien ne garantit que le document lui-même ne l’ait pas été.

Pour l’instant, aucun faux avéré n’a été découvert, hormis peut-être un mail évoquant une transaction en bitcoins. Cette cryptomonnaie fonctionne en effet sur un système de validation des transactions par une communauté, le blockchain. Chaque bitcoin est ainsi censé être traçable depuis sa création et chaque transaction est enregistrée dans un registre public. Or des internautes ont relevé qu’il n’y avait aucune trace de la transaction imputée au membre de l’équipe d’En Marche! dans le mail en question.

Comme l’a expliqué le responsable numérique de la campagne d’Emmanuel Macron, Mounir Mahjoubi, l’équipe d’En Marche! se savait depuis longtemps la cible de hackers. Et elle aurait relativement tôt mis en place des contre-mesures. L’attaque ayant été menée par le biais d’une opération de « phishing » (hameçonnage), consistant à créer de faux sites pour y piéger des utilisateurs et récupérer leurs identifiants, l’équipe d’En Marche! a mis en place une série de leurres. Cette technique aurait pu conduire les attaquants à pirater un de ces faux comptes, alimentés volontairement par de faux documents.

Contacté par Mediapart, Mounir Mahjoubi se veut très prudent sur la question et explique être incapable à l’heure actuelle de dire s’il a bien réussi à piéger les hackers. « Depuis vendredi, nous sommes parfois présentés comme des héros, notamment dans la presse américaine. Mais il faut rester très prudent », explique-t-il. « L’équipe d’En Marche!, c’est une PME. Nous avons zéro moyen d’enquête et nous avons monté cette opération avec nos moyens quand nous avons constaté que nous faisions l’objet d’attaques répétées. Le but était avant tout de les inonder avec de fausses informations. Si grâce à cela nous avons réussi à leur faire perdre ne serait-ce qu’un quart d’heure de leur vie, je suis déjà satisfait ! »

En attendant toute information nouvelle, seule une vérification factuelle de chaque document pris individuellement permettra d’en assurer l’authenticité.

  • Quelles conséquences ?

Si le but des Macron Leaks était d’influer sur l’élection présidentielle française en faveur de Marine Le Pen, force est de constater que l’opération est un véritable flop. Leur diffusion a même eu l’effet inverse, en liant ouvertement le Front national à l’extrême droite américaine pro-russe la plus virulente qui soit. En participant à cette opération, la fachosphère française s’est en grande partie ridiculisée.

Il est cependant possible que le but de l’opération n’ait pas été d’influer sur l’élection, mais sur les premiers mois du mandat du nouveau président. L’avenir dira si, oui ou non, les Macron Leaks contiennent des informations réellement gênantes.

Ils ont pourtant déjà fait une victime indirecte : WikiLeaks. L’organisation fondée par Julian Assange était déjà au cœur des précédentes publications de documents piratés par Fancy Bear, notamment celle des mails du parti démocrate. Elle a pourtant toujours nié tout contact avec le gouvernement russe, une hypothèse totalement plausible. Dans son rapport, la société Trend Micro expliquait en effet que, pour diffuser leurs documents, les hackers de Fancy Bear avaient l’habitude de se faire passer pour des lanceurs d’alerte et de contacter des médias.

Vérifiés par des journalistes ou par les experts de WikiLeaks, les documents étaient ainsi en quelque sorte blanchis. Un rapport commun des services de renseignement américains, remis en janvier à Donald Trump, reconnaissait d’ailleurs – certes, du bout des lèvres – la qualité du travail de l’organisation. « Moscou a très probablement choisi WikiLeaks en raison de sa réputation, autoproclamée, d’authenticité. Les révélations via WikiLeaks ne contenaient aucune preuve de trucage », expliquait le rapport.

Si les Macron Leaks proviennent bien d’une opération de piratage menée par des hackers liés à la Russie, cela signifie soit que WikiLeaks n’a pas souhaité les diffuser, soit que Moscou a désormais décidé de se passer de leurs services. Dans cette dernière hypothèse, il s’agirait d’un nouveau coup dur. D’autant plus que l’organisation, et son fondateur, ont réagi aux Macron Leaks d’une manière qui a choqué de nombreux internautes. Même si elle n’a jamais hébergé les documents, l’organisation les a très vite relayés, pas de la même manière que l’extrême droite, mais avec une distance que beaucoup leur ont reprochée.

Mais c’est surtout Julian Assange qui s’est attiré les foudres des réseaux sociaux. Fidèle à ce qui semble être désormais une inéluctable déchéance, le fondateur de WikiLeaks a multiplié les messages à tendance conspirationniste, dont on ne sait s’il s’agit de provocations ou de réels questionnements, notamment lorsqu’il se demande si ce n’est pas « le sexisme » qui a fait perdre Marine Le Pen…

Enfin, et surtout, les Macron Leaks sont une très mauvaise nouvelle pour tous les lanceurs d’alerte et les organisations qui les soutiennent. Chelsea Manning ou encore Edward Snowden avaient lancé un véritable mouvement en faveur du « whistleblowing » et leurs exemples étaient censés susciter d’autres vocations. Suivant cet engouement, de nombreuses plateformes de « leaks », souvent mises en place par des médias, ont vu le jour ces dernières années. En manipulant et en détournant cette évolution de la société dans un but politique, les auteurs des Macron Leaks ont d’ores et déjà réussi à jeter l’opprobre sur ce mouvement et le doute sur tout futur « leak » touchant une personnalité politique.

Prolongez la lecture de Mediapart Accès illimité au Journal contribution libre au Club Profitez de notre offre spéciale

Mediapart travaille actuellement sur les documents contenus dans les Macron Leaks afin d'en évaluer leur authenticité et leur éventuel intérêt public à être publiés.