Les mails des eurodéputés ont été piratés par un hacker
21 novembre 2013 | Par Jérôme Hourdeaux
Des dizaines de milliers de mails et de données personnelles : un hacker a pénétré les messageries des députés européens pour faire la démonstration des immenses failles dans la sécurité informatique de l'institution. Il met en cause le choix de Microsoft qui équipe le Parlement et les « comportements catastrophiques » des élus. Malgré le scandale de la NSA, bon nombre d'institutions restent des passoires.
Des dizaines de milliers de mails, des documents confidentiels, des carnets d'adresses, des agendas, des correspondances professionnelles mais aussi privées... Le Parlement européen va devoir changer radicalement son système de sécurisation des messageries de l’ensemble des députés européens. Car la démonstration vient d'être faite, par un hacker, de la fragilité de la sécurité des serveurs de mails au sein du Parlement.
Mediapart a ainsi pu constater que ce hacker a eu accès, ces derniers mois et de manière régulière, à l’ensemble des mails reçus par les 14 députés, assistants parlementaires et employés européens qu'il avait sélectionnés de manière aléatoire pour les besoins de sa démonstration, après avoir réussi à entrer dans le logiciel de messagerie Microsoft Exchange utilisé par le Parlement. Il s'agit des députés :
Markus Pieper (Allemagne, PPE/CDU),
Jean-Jacob Bicep (France, Verts),
Maurice Ponga (France, UMP),
Constance Le Grip (France, UMP),
Ana Gomes (Portugal, Socialiste),
Aldo Patriciello (Italie, Le Peuple de la liberté).
Les assistants parlementaires sont :
Sonia Léa Rouahbi et Melanie Vogel (Jean-Jacob Bicep)
Ivan Forte (Aldo Patriciello),
Alexandra Carreira (Ana Gomes),
Perrine Orosco (Mauric Ponga).
La collaboratrice d'un groupe politique est :
Céline Bayer (Socialistes et démocrates).
Enfin, les deux employés du Parlement travaillant pour les services informatiques et sécurité sont :
Dimitrios Symeondis,
Antonio Inclan.
Exemple de mails d'eurodéputés. Cliquer pour agrandir.
« C’était un jeu d’enfant », affirme à Mediapart l’intéressé. « Avec un ordinateur portable bas de gamme équipé du wifi et quelques connaissances que tout le monde est capable de trouver sur internet, n’importe qui est capable de faire la même chose. » Le « pirate » n’a eu qu’à s’installer dans un lieu public proche du parlement de Strasbourg, à portée des députés, puis à lancer sa machine. Seule partie un peu technique, « il faut ensuite s’arranger pour que les téléphones portables des gens se trouvant à portée passent par le wifi de mon ordinateur pour se connecter à internet ».
À partir de là, la récupération des données est d’une simplicité déconcertante. Une bonne partie des smartphones de nos élus européens sont en effet équipés d’une application de Microsoft dénommé « Active Sync » qui, régulièrement, se connecte aux serveurs mails du Parlement pour vérifier si l’utilisateur a reçu de nouveaux messages. Or, dans cette application, sont enregistrés ses identifiants et mots de passe. En cas de problème, et notamment de tentative d’intrusion, le téléphone affiche alors un message abscons, « sur lequel la plupart des gens appuient sur OK sans même l’avoir lu », explique le hacker. « Ce qui permet à l’ordinateur portable qui est au milieu de déchiffrer les communications à son niveau, avant de les re-chiffrer et de les envoyer au vrai serveur. »
Concrètement, en s’interposant entre le téléphone portable et le serveur de Microsoft Exchange, l’attaquant récupère les identifiants et mots de passe de toutes les personnes visées, lui offrant ainsi l’accès à l’ensemble de leur compte, c’est-à-dire l’ensemble des mails reçus et envoyés, les agendas personnels et, « avec un peu d’effort », les fichiers éventuellement stockés sur des comptes personnels au sein du réseau du parlement européen.
Grâce à cette méthode, ce sont donc un ensemble de données particulièrement sensibles qui se retrouvent à la portée de « presque n’importe qui »… L’un des aspects les plus inquiétants de ce piratage vient peut-être, outre sa simplicité, du fait qu’il s’attaque aux téléphones portables des personnes utilisant un point d’accès wifi. Il peut donc s’opérer depuis n’importe où. Que les députés soient à Strasbourg, en Chine où à Washington, il suffit de s’installer à proximité avec un ordinateur, d’attendre que certains commettent l’imprudence de cliquer sur « OK » lorsque le message s’affiche, et l’intrus accède à toutes leurs données.
Mediapart a constaté que le hacker s’est limité aux dossiers « messages reçus » de 14 députés, assistants parlementaires et employés du parlement européen. Il n’a copié aucun des autres dossiers et informations personnelles. Son intention était avant tout de délivrer, par l’exemple, un message politique en faisant de la question de la sécurité informatique un enjeu central des futures élections européennes.
« D’un côté, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et économique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grâce à leur espionnage, peuvent décider de l’avenir d’un homme politique ou influer sur des décisions », explique-t-il. « Si, avec du matériel aussi ridicule, il est possible de s’immiscer dans le réseau de communication de responsables politiques chargés de décider de la politique européenne, que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause. »
Malgré la multiplication des révélations sur l’espionnage mondial pratiqué par les États-Unis, nos responsables politiques n’auraient pas encore pris conscience de l’ampleur du problème. « J’ai l’impression de voir des pantins », affirme le hacker qui explique avoir voulu « les secouer un peu » pour « améliorer la prise de conscience » et, « qui sait, améliorer les choses pour le prochain mandat ». Outre les « comportements catastrophiques » en matière de sécurité de certains élus, il dénonce également le choix de Microsoft comme sous-traitant, qui rend « quasi impossible le chiffrement des messages en raison d’un système propriétaire excluant les logiciels standard ».
Services multiples et sans protection
La révélation de ce piratage tombe à un moment particulièrement sensible pour le parlement européen qui, depuis plusieurs semaines, multiplie les auditions dans le cadre de son enquête« sur la surveillance de masse de la NSA », et la complicité des entreprises américaines, dévoilées par Edward Snowden.
Ainsi, lundi 11 novembre, le comité LIBE (Libertés civiles, justice et affaires intérieures) auditionnait des représentants de Google, Facebook et Microsoft pour entendre leurs explications sur, notamment, de nouveaux documents publiés par l’ex-employé de la NSA. Le 30 octobre dernier, le Washington Post a en effet révélé l’existence d’un programme de la NSA baptisé MUSCULAR lui permettant d’intercepter les informations circulant entre les « data centers », ces entrepôts hébergeant les serveurs où sont stockées les données des utilisateurs, de Google et de Yahoo. Ce système de collecte permet à l’agence d’accéder directement, chaque jour, à plusieurs millions de données de toutes sortes.
© Reuters
Lors de ces auditions, le député européen Claude Moraes a voulu interroger Dorothee Belz, vice-présidente de Microsoft chargée des affaires juridiques, sur les mesures de sécurité mises en place par le géant du logiciel pour protéger les données stockées sur ses serveurs. « Ce que je peux dire aujourd’hui, c’est que le transport de serveur à serveur n’est généralement pas chiffré », a admis Dorothee Belz. « C’est pourquoi nous sommes actuellement en train de revoir notre système de sécurité. » En théorie, ce sont ainsi les données échangées entre n’importe lequel des multiples services proposés par Microsoft, de Outlook à Hotmail en passant par le Xbox Live, qui circulent sans protection.
Ce n’est pas la première fois que la sécurité des produits du géant américain et leur utilisation par des institutions publiques sont remises en cause. Cela fait même de nombreuses années qu’associations et experts s’insurgent contre le manque de vigilance des responsables politiques vis-à-vis de Microsoft, entreprise régulièrement accusée de laisser dans ses logiciels des « backdoors », c’est-à-dire des vulnérabilités pouvant offrir un accès caché.
« Choisir Microsoft, cela revient tout simplement à offrir les clefs aux Américains », assène Éric Filiol, expert en sécurité informatique et ancien cryptanalyste au sein de la DGSE. « En plein scandale Prism, nous ne pouvons pas nous offusquer de ce que les Américains nous espionnent tout en utilisant les outils de l’ennemi », explique-t-il. « Si par exemple vous prenez Skype, qui appartient à Microsoft, vous le faites de France. Mais leurs serveurs, eux, sont basés aux États-Unis. Donc si la NSA veut avoir accès à telle ou telle conversation, il leur suffit d’en faire la demande et Microsoft, en vertu du Patriot Act, a l’obligation de leur fournir les clefs. De plus, on sait que techniquement, il y a des choses cachées. Ce sont des boîtes noires, et en plus des boîtes noires légales. »
Il existe toute une littérature ancienne sur ces fameux « backdoors » que les autorités américaines imposeraient à leurs entreprises nationales afin de s’assurer un accès sur les produits vendus à l’étranger. Le parlement français s’était lui-même penché sur la question dès 2001, à l’occasion d’un rapport d’information de la commission de la défense sur « Echelon », un autre programme de surveillance mondiale de la NSA ayant lui aussi fait scandale à la fin des années 1990. Le rapporteur, Arthur Paecht, y explique notamment que des « spécialistes de la DGA (ndlr - Direction générale des armées) qui travaillent au centre électronique de l’armement (CELAR) à Rennes » lui « ont fait la démonstration (…) de l’existence de failles ou de fonctions cachées dans certains logiciels ».
« Depuis de nombreuses années, ces failles technologiques sont dénoncées par des chercheurs ou des spécialistes », écrivait le rapporteur. « Elles sont d’autant plus redoutables qu’elles émanent de produits d’origine américaine qui représentent près de 80 % du marché mondial. » Face aux démentis de Microsoft, Arthur Paecht affirme que « leur existence aurait cependant été confirmée au gouvernement français dans un rapport "Sécurité des systèmes d’information : dépendance et vulnérabilité ", de l’amiral Jean Marguin commandé par la Délégation aux affaires stratégiques (DAS) du ministère de la défense et remis début février 2000 ».
Avec de tels avertissements, on peut s’étonner que les administrations publiques, qu’elles soient françaises ou européennes, aient depuis continué, régulièrement, à choisir Microsoft. Surtout lorsque l’on sait que parmi les membres de la commission de la défense ayant enquêté sur le scandale Echelon, figuraient Jean-Yves Le Drian, Jean-Marc Ayrault et François Hollande, respectivement actuels ministre de la défense, premier ministre et président de la République.
Plusieurs ministères français
Le parlement européen est loin d’être la seule administration à avoir décidé de faire confiance à Microsoft. La Commission européenne, qui s’était pourtant engagée à favoriser les logiciels libres, c’est-à-dire ouverts et ne dépendant d’aucune entreprise, est elle aussi équipée de logiciels de la société fondée par Bill Gates, et ce depuis 1993. Ce contrat, portant sur 36 000 postes, a été encore renouvelé au mois de septembre 2011, sans appel d’offres ni mise en concurrence.
Et la France n’est pas en reste. Régulièrement, des institutions, souvent parmi les plus sensibles, décident encore de confier tout ou partie de leur parc informatique à Microsoft. L’exemple le plus marquant est sans doute celui du ministère de la défense.
En 2008, le site PC INpact révélait ainsi que la société avait proposé à au moins deux ministères français un contrat dit « open bar », c’est-à-dire dans le cadre duquel un droit d’usage portant sur une série de logiciels est accordé pour une durée de quatre ans à un certain nombre d’ordinateurs en échange d’un montant forfaitaire de 100 euros hors taxes par poste. Le contrat, que Mediapart a pu consulter (voir ci-contre), a été signé par le ministère de la défense en Irlande le 24 février 2009, sans qu’aucun appel d’offres n’ait été passé. Il concerne au total 188 500 postes de travail, soit un montant total de près de 19 millions d’euros.
La révélation de cet accord cadre avait provoqué la colère des associations de promotion du logiciel libre. En 2010, l’Aful (Association francophone des utilisateurs de logiciels libres) avait écrit aux parlementaires pour faire part de ses inquiétudes. « Est-il stratégiquement sage de donner à une société étrangère la main sur l’intégralité des systèmes d’information du ministère de la défense, indispensables à l’exercice de ses missions ? » s’interrogeait notamment l’association.
De son côté, l’April (Association pour la promotion et la recherche en informatique libre) avait déposé une demande de communication de documents administratifs auprès de la Cada (Commission d’accès aux documents administratifs) qui a finalement abouti au mois d’octobre dernier. L’association a obtenu trois documents retraçant le processus ayant conduit à la signature du contrat. Or ceux-ci montrent que le choix de Microsoft était loin de faire consensus au sein de l’armée française.
Ainsi, dans un rapport de 2008, un groupe d’experts estimait que « compte tenu des risques élevés et du surcoût par rapport à la situation actuelle, le groupe de travail déconseille la contractualisation sous forme de contrat global sauf à la limiter au périmètre de la bureautique ». Selon l’April, « ces documents montrent que le choix d’un contrat open bar fait bien suite à une décision politique qui a visiblement été prise en amont des études sur la faisabilité et les risques ».
« Quand j’ai appris l’existence de ce contrat, en tant qu’ancien militaire, j’ai bondi », raconte Éric Filiol. « Comme je l’ai écrit à ce moment-là : il y a plusieurs façons de trahir son pays, en voilà une. Il n’y a même plus besoin d’espionner, même plus besoin de Prism : nous leur offrons nos données. Aux États-Unis par exemple, il est interdit pour les administrations d’utiliser des technologies qui ne soient pas américaines. »
Reste à savoir pourquoi, dans ces conditions, les responsables politiques continuent à placer des réseaux aussi sensibles entre les mains d’une société aussi contestée. « Il y a tout d’abord le poids énorme des lobbys », témoigne Isabelle Attard, députée EELV à l’Assemblée nationale, particulièrement mobilisée pour la défense du logiciel libre. Microsoft est en effet connu pour organiser de nombreux petits-déjeuners et présentations à l’intention d’élus et de décideurs politiques. « Au début de ce mandat, j’ai moi-même été invitée par Microsoft, dans l’un de leurs "show-rooms" », raconte Isabelle Attard.
Ensuite, poursuit l’élue, « il y a une totale méconnaissance de ces problématiques par les décideurs politiques ». « Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n'en voient pas l’intérêt. On me dit "Isabelle, tu exagères…", voire "Tu es parano", même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »
En France, pourtant, le premier ministre Jean-Marc Ayrault a signé, le 19 septembre 2012, une circulaire fixant des « orientations pour l’usage des logiciels libres dans l’administration ». Au mois de mai dernier, Isabelle Attard a déposé au total 37 questions écrites, une pour chaque ministère du gouvernement, afin de savoir comment ces consignes étaient appliquées. À ce jour, seuls 11 ont répondu. « Malheureusement, peu d’entre eux semblent avoir compris l’importance de ce choix pour la sécurité », regrette Isabelle Attard.
« Aujourd’hui, beaucoup d’administrations sont dépendantes d’une entreprise », poursuit la députée, « alors que le logiciel libre, c’est l’indépendance, la durabilité et la sécurité ». « Les pouvoirs publics sont financés par nos impôts et le logiciel libre devrait être un des aspects du service public », insiste de son côté Frédéric Couchet, délégué général de l’April. « J’espère que ce sera un des thèmes des élections européennes. Mais malheureusement, le numérique n’est pas vu comme un enjeu de société. On a l’impression que, malgré tout ce qui est révélé, ils s’en foutent… »
Contacté par Mediapart, le service de presse du parlement européen n'a pas souhaité réagir dans l'immédiat, préférant attendre la publication de notre article.
l'article sur le site de Mediapart