Medipart

Les mails des eurodéputés ont été piratés par un hacker.

Par Jérôme Hourdeaux

Mardi 26 novembre 2013 // L’Europe

Des dizaines de milliers de mails et de données personnelles : un hacker a pénétré les messageries des députés européens pour faire la démonstration des immenses failles dans la sécurité informatique de l’institution. Il met en cause le choix de Microsoft qui équipe le Parlement et les « comportements catastrophiques » des élus. Malgré le scandale de la NSA, bon nombre d’institutions restent des passoires.

Des dizaines de milliers de mails, des documents confidentiels, des carnets d’adresses, des agendas, des correspondances professionnelles mais aussi privées... Le Parlement européen va devoir changer radicalement son système de sécurisation des messageries de l’ensemble des députés européens. Car la démonstration vient d’être faite, par un hacker, de la fragilité de la sécurité des serveurs de mails au sein du Parlement.

Mediapart a ainsi pu constater que ce hacker a eu accès, ces derniers mois et de manière régulière, à l’ensemble des mails reçus par les 14 députés, assistants parlementaires et employés européens qu’il avait sélectionnés de manière aléatoire pour les besoins de sa démonstration, après avoir réussi à entrer dans le logiciel de messagerie Microsoft Exchange utilisé par le Parlement.

Exemple de mails d'eurodéputés. Cliquer pour agrandir.
Exemple de mails d’eurodéputés. Cliquer pour agrandir.

« C’était un jeu d’enfant », affirme à Mediapart l’intéressé. « Avec un ordinateur portable bas de gamme équipé du wifi et quelques connaissances que tout le monde est capable de trouver sur internet, n’importe qui est capable de faire la même chose. » Le « pirate » n’a eu qu’à s’installer dans un lieu public proche du parlement de Strasbourg, à portée des députés, puis à lancer sa machine. Seule partie un peu technique, « il faut ensuite s’arranger pour que les téléphones portables des gens se trouvant à portée passent par le wifi de mon ordinateur pour se connecter à internet ».

À partir de là, la récupération des données est d’une simplicité déconcertante. Une bonne partie des smartphones de nos élus européens sont en effet équipés d’une application de Microsoft dénommé « Active Sync » qui, régulièrement, se connecte aux serveurs mails du Parlement pour vérifier si l’utilisateur a reçu de nouveaux messages. Or, dans cette application, sont enregistrés ses identifiants et mots de passe. En cas de problème, et notamment de tentative d’intrusion, le téléphone affiche alors un message abscons, « sur lequel la plupart des gens appuient sur OK sans même l’avoir lu », explique le hacker. « Ce qui permet à l’ordinateur portable qui est au milieu de déchiffrer les communications à son niveau, avant de les re-chiffrer et de les envoyer au vrai serveur. »

Concrètement, en s’interposant entre le téléphone portable et le serveur de Microsoft Exchange, l’attaquant récupère les identifiants et mots de passe de toutes les personnes visées, lui offrant ainsi l’accès à l’ensemble de leur compte, c’est-à-dire l’ensemble des mails reçus et envoyés, les agendas personnels et, « avec un peu d’effort », les fichiers éventuellement stockés sur des comptes personnels au sein du réseau du parlement européen.

Grâce à cette méthode, ce sont donc un ensemble de données particulièrement sensibles qui se retrouvent à la portée de « presque n’importe qui »… L’un des aspects les plus inquiétants de ce piratage vient peut-être, outre sa simplicité, du fait qu’il s’attaque aux téléphones portables des personnes utilisant un point d’accès wifi. Il peut donc s’opérer depuis n’importe où. Que les députés soient à Strasbourg, en Chine où à Washington, il suffit de s’installer à proximité avec un ordinateur, d’attendre que certains commettent l’imprudence de cliquer sur « OK » lorsque le message s’affiche, et l’intrus accède à toutes leurs données.

Mediapart a constaté que le hacker s’est limité aux dossiers « messages reçus » de 14 députés, assistants parlementaires et employés du parlement européen. Il n’a copié aucun des autres dossiers et informations personnelles. Son intention était avant tout de délivrer, par l’exemple, un message politique en faisant de la question de la sécurité informatique un enjeu central des futures élections européennes.

« D’un côté, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et économique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grâce à leur espionnage, peuvent décider de l’avenir d’un homme politique ou influer sur des décisions », explique-t-il. « Si, avec du matériel aussi ridicule, il est possible de s’immiscer dans le réseau de communication de responsables politiques chargés de décider de la politique européenne, que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause. »

Malgré la multiplication des révélations sur l’espionnage mondial pratiqué par les États-Unis, nos responsables politiques n’auraient pas encore pris conscience de l’ampleur du problème. « J’ai l’impression de voir des pantins », affirme le hacker qui explique avoir voulu « les secouer un peu » pour « améliorer la prise de conscience » et, « qui sait, améliorer les choses pour le prochain mandat ». Outre les « comportements catastrophiques » en matière de sécurité de certains élus, il dénonce également le choix de Microsoft comme sous-traitant, qui rend « quasi impossible le chiffrement des messages en raison d’un système propriétaire excluant les logiciels standard ».

Mediapart est entré en contact avec le hacker il y a de nombreuses semaines. À cette époque, la principale partie de sa démonstration était déjà réalisée et il cherchait alors à la faire connaître. Mais pas de n’importe quelle manière. Dès le premier contact, il a insisté sur la portée politique de son acte. Outré par le manque de réaction de la classe politique face aux révélations d’Edward Snowden, il souhaitait créer un électrochoc, et faire de la question de la souveraineté numérique un enjeu central des prochaines élections européennes. Il semblait même n’avoir pas consulté les milliers de mails en question.

Dans le respect des principes des hackers « white hat », ou hackers éthiques, qui pénètrent les systèmes de sécurité pour en dénoncer les failles et ainsi les améliorer, il a volontairement limité son piratage aux seuls besoins de sa démonstration : quelques députés et employés du Parlement choisis de manière aléatoire, et à un seul dossier, celui des messages reçus des boîtes mails. S’il a reconnu pouvoir très facilement accéder à un grand nombre d’autres données, il n’en a à aucun moment fait la proposition.

Après avoir vérifié la réalité du hacking, dans des conditions que l’obligation de protection des sources nous interdit de dévoiler, Mediapart a décidé de publier cette information qui est d’un intérêt public évident tant elle démontre le manque de sécurité des systèmes informatiques de nos institutions. Par ailleurs, Mediapart s’est toujours refusé à obtenir des informations par des moyens illicites. Nous n’espionnons ni ne hackons donc personne, pas plus que nous ne payons des informateurs. Nos enquêtes se mènent dans le cadre d’un respect strict du droit de la presse.

Répondre à cet article