Déjà auteur d’un pertinent rapport paru en août 2018 sur la manipulation de l’information, Jean-Baptiste Jeangène Vilmer, directeur de l’Institut de recherche stratégique de l’École militaire (IRSEM) signe une nouvelle étude, avec The Atlantic Council : The « #Macron Leaks » Operation: A Post-Mortem. Voici ce qu’on retient de la lecture de ce nouveau rapport fort intéressant.
L’ingérence étrangère n’est pas nouvelle dans le jeu des élections électorales des différents pays. Mais elle est facilitée, ces dernières années, par le développement des plateformes numériques et par les risques accrus de manipulation de l’information. À cela, s’ajoutent des facteurs structurels tels que la crise de confiance envers les institutions, le rejet des élites, la crise de la presse, rendant l’influence extérieure plus puissante encore dans le processus démocratique.
Force est de constater que d’après une analyse géopolitique de la scène internationale, ces dernières années, la Russie se retrouve souvent sur le banc des accusés dans le domaine. L’ingérence dans les élections démocratiques semble être, pour ce pays, un outil considérable afin de développer son influence internationale. Dans son plan sur la politique étrangère, publié en 2013, la Russie réalise une interprétation offensive du soft power, pouvant être utilisé pour « exercer une pression politique sur des États souverains et s’immiscer dans leurs affaires intérieures, déstabiliser leur situation politique, manipuler l’opinion publique. »
Moscou considère ces actions comme défensives, se positionnant comme victime d’une guerre de l’information menée par l’Occident et en particulier les États-Unis. À noter que la Russie n’est certainement pas le seul pays à être accusée d’ingérence dans des processus démocratiques : la Chine (dans l’élection de 2018 à Taïwan), ou encore l’extrême droite américaine (lors des élections présidentielles de 2016, des élections françaises de 2017 ou des élections fédérales allemandes de 2017) sont aussi dans le viseur.
Pendant la campagne présidentielle française de 2017, Emmanuel Macron et Marine Le Pen se sont affrontés au second tour. Une opération coordonnée visant à saper la candidature d’Emmanuel Macron a été mise en place à travers trois axes : une campagne de désinformation composée de rumeurs, de fausses nouvelles et de faux documents ; un piratage informatique ciblant les ordinateurs des membres de l’équipe de campagne ; une fuite de 15 Go de données volées – dont plus de 21 000 emails -, publiées deux jours avant le second scrutin. Cette fuite a été largement partagée sur Twitter par une armée de trolls et de faux comptes (bots) avec le hashtag #MacronLeaks. En l’espace de 24h, ce sont plus d’un demi-million de tweets qui ont été diffusés, d’abord par les auteurs de la fuite, ensuite par les détracteurs du candidat d’En Marche. Cette fuite de données n’étant que le dernier maillon de la chaîne d’une initiative bien plus large, l’auteur de l’étude détaillée ici, parle plutôt de « l’opération Macron Leaks ».
Le rapport de Jean-Baptiste Jeangène Vilmer revient sur le déroulement des faits, avec des documents, tweets, dates… à l’appui, pour se remémorer chaque étape de cette opération. Un document extrêmement fouillé dont la lecture est vivement conseillée. Nous nous focaliserons ici uniquement sur ce qui est dit des raisons de l’échec de cette ingérence, et des leçons à en tirer pour l’avenir.
Il convient de rappeler, pour commencer, que la fuite des données n’a pas influencé de manière significative les électeurs français. Pourquoi cette intrusion étrangère a-t-elle échoué ? Comment expliquer cet échec ? Que retenir, à l’avenir ?
Des structures électorales et médiatiques solides
Les premières raisons sont d’ordre structurel. En effet, l’environnement politique et médiatique de la France est moins vulnérable que dans certains autres pays. Contrairement aux États-Unis, par exemple, où la campagne peut s’étaler sur deux ans, la durée de la campagne en France est très réglementée : la campagne non officielle commence un an avant le premier tour du scrutin et la campagne dite officielle débute quelques semaines avant le vote. De plus, les élections se déroulent en deux tours.
D’autre part, en France, la publicité politique payante est interdite, les six mois précédents les élections, selon la réglementation. Les publicités officielles non payantes le sont, à durée égale, et sur les chaînes nationales de télévision et de radio. Les temps d’antenne attribués aux candidats et partis politiques dans les médias sont aussi décomptés par le CSA, pour assurer une équité de traitement. La loi exige aussi que les auteurs de sondages d’opinion soient transparents sur leur méthodologie. Et ce type de sondage est interdit le jour précédant le scrutin et le jour du scrutin. C’est ce qu’on appelle le « black out médiatique », démarrant à minuit la veille des élections.
Ensuite, l’environnement médiatique en France est assez fort : les Français ont, par tradition, l’habitude de s’informer via les médias grand public traditionnels. L’information par les réseaux sociaux ou par les tabloïds est beaucoup moins importante qu’aux États-Unis ou au Royaume-Uni.
Enfin, la cyberattaque contre TV5 Monde en 2015 et les attaques de propagande djihadiste en ligne, ont permis de sensibiliser les citoyens français, ces dernières années, à travers les médias, au risque d’attaque informatique à des fins de manipulation de l’information.
Le facteur « chance » : un enchaînement de maladresses des attaquants
La chance qu’ont eue les équipes de campagne d’Emmanuel Macron a été d’être face à des cyberattaquants quelque peu… négligents.
L’arrivée d’Emmanuel Macron au second tour n’était pas prévisible un an à l’avance : contrairement aux États-Unis, par exemple, où Hillary Clinton était une cible planifiée de longue date. D’autre part, Macron est un candidat jeune, trop jeune pour avoir un lot de casseroles à utiliser contre lui, de quoi couper l’herbe sous le pied aux attaquants : « C’est un scénario cauchemardesque pour une agence de renseignement, du point de vue délais. Se trouvant ainsi pris au dépourvu par un homme politique rapide, propre, sur lequel on n’a pas le temps de trouver le moindre secret ni de préparer un scandale », explique thaddeus t. grugq, un chercheur en sécurité information.
Que faire face à cette masse de données dont les courriels de l’équipe d’Emmanuel Macron ne donne rien ? Les rendre scandaleux, quitte à modifier maladroitement leurs contenus… Un résultat peu convainquant mais finalement, est-ce que semer le doute n’était pas plus important que convaincre de manière effective ? L’existence même d’une fuite de données pouvait porter préjudice au candidat d’En Marche, quand bien même son contenu était vide d’information à charge. Ce qui explique sûrement le fait que ces leaks ont été déployés au dernier moment, à quelques heures du « black out médiatique » et que les données étaient si volumineuses (gonflées artificiellement, comme nous l’expliquerons plus tard.)
Mais les auteurs de cette attaque n’ont pas réussi à mobiliser les communautés en ligne et les médias français se sont gardés de diffuser de l’information sans vérification. De son côté, l’équipe de Macron a réagi extrêmement vite.
Le public et les observateurs retiendront surtout l’amateurisme de cet épisode, avec de faux documents absurdes, mal rédigés. Les courriels mentionnant la masturbation ou la cocaïne étaient trop exagérés pour être crédibles. Quant à la rumeur autour de l’homosexualité d’Emmanuel Macron, si un argument de cette nature pouvait avoir une quelconque influence dans un pays comme la Russie ou les États-Unis, ce n’est pas un argument en France qui pourrait potentiellement changer le vote des citoyens de manière massive. Le coming out de Bertrand Delanoë, la liaison de François Hollande, la fille cachée de François Mitterrand… Le passé l’a démontré à maintes reprises : les Français ne se soucient pas vraiment de la vie privée de leurs dirigeants. Du moins, pas lorsqu’ils sont dans l’isoloir.
Autre erreur culturelle : lancer cette opération sur les réseaux par des robots… en anglais, car la fuite a d’abord été propagée par la communauté américaine de droite. Un choix stratégique maladroit, quand on sait que la France n’est pas la championne des langues étrangères. Et que les Français sont, pour beaucoup, hostiles aux actions américaines et sceptiques à leur sujet.
Anticipation
- Leçon 1 : Apprendre des autres
La campagne américaine de 2016 a servi d’exemple pour sensibiliser le public français au risque de désinformation. Une stratégie mise à nue est tout de suite beaucoup moins efficace. La même tactique peut même conduire à l’inverse des résultats voulus.
- Leçon 2 : Utiliser les bons outils administratifs
Les Macrons Leaks ont montré qu’un gouvernement peut intervenir à condition que les mesures mises en œuvre le soient à travers des autorités administratives indépendantes et non politiques. Trois institutions ont joué un rôle crucial. Tout d’abord, le Conseil constitutionnel qui veille au bon déroulement de l’élection présidentielle, a mis en place un site web dédié qui a accueilli 1,3 million de visiteurs. Ensuite, la Commission nationale pour le contrôle de la campagne électorale pour l’élection présidentielle (CNCCEP) avait pour fonction de surveiller la campagne et de veiller au respect des principes d’égalité entre les candidats et de neutralité des services publics au cours de la campagne. Enfin, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui gère les questions de cybersécurité des acteurs stratégiques français.
Dans les faits, le SGDSN a chargé l’ANSSI du suivi en ligne de la campagne et a demandé de signaler à la CNCCEP et au Conseil constitutionnel, toute activité suspecte.
- Leçon 3 : sensibiliser
En 2016, le SGDSN et l’ANSSI ont alerté les partis politiques du risque de cyberattaques et de désinformation, pendant la campagne, en tirant notamment les leçons de l’élection présidentielle américaine de 2016. Tous les partis politiques, à l’exception du Front national, ont participé à un atelier sur la cybersécurité organisé par l’ANSSI. Mais surtout, l’agence nationale a fourni au personnel de la campagne des outils utiles pour surveiller et détecter des activités suspectes dans les systèmes d’information : attaques DDoS, activités inhabituelles, intrusions… C’est ainsi que les équipes d’Emmanuel Macron ont pu réagir et anticiper les attaques et élaborer des réponses adéquates aux violations de sécurité.
En février 2017, l’ANSSI – apportant les conseils de la DGSE- se rend au siège de campagne d’Emmanuel Macron pour les avertir qu’ils sont surveillés, qu’ils doivent être prudents avec Telegram (l’application russe de messages chiffrés et instantanés). L’équipe passe alors de Telegram à WhatsApp. L’ancien conseiller d’Emmanuel Macron, Ismaël Emelien, se souvient non sans ironie : « Nous avions le choix entre les KGB ou la NSA. Nous avons choisi la NSA. »
Sur le dossier sensibilisation, le rôle des journalistes a aussi été important, comme la plateforme de fact checking CrossCheck, un projet de journalisme collaboratif soutenu par Google News Lab. Plus d’une centaine de journalistes ont scruté les informations lors de l’élection pendant dix semaines avant le passage aux urnes.
- Leçon 4 : Se montrer déterminé
Le rapport de l’IRSEM retrace quelques déclarations fortes du gouvernement français, qui montre que le pays ne se laissera pas faire face à des tentatives d’inférences étrangères. Ainsi, en décembre 2016, le discours de Jean-Yves Le Drian, alors ministre de la Défense, annonçant la création d’un cyber-commandement. Quelques semaines plus tard, il déclare au Journal du Dimanche : « … en visant le processus électoral d’un pays, on attente à ses fondements démocratiques, donc à sa souveraineté (…) La France se réserve le droit de riposter par tous les moyens qu’elle juge appropriés. Cela peut passer par l’arsenal cyber dont nous disposons mais aussi par des moyens armés conventionnels. »
Un mois plus tard, le ministre des Affaires étrangères, Jean-Marc Ayrault, déclare à l’Assemblée nationale : « [Il faut] faire clairement connaître les limites à ceux qui seraient tentés de porter atteinte à ce principe de la non-ingérence et le faire clairement et y compris en prenant des mesures de rétorsion lorsque cela est nécessaire, car aucun État étranger ne peut influencer le choix des Français, aucun État étranger ne peut choisir le futur président de la République. »
Le même message est aussi transmis, par la voie diplomatique, par le ministre à son homologue russe et par François Hollande à Vladimir Poutine.
Ces déclarations ont-elles vraiment eu un effet dissuasif ? Selon le rapport de l’IRSEM, l’amateurisme de l’attaque prouve qu’en quelque sorte les assaillants n’ont pas été soutenus par toutes les forces étatiques disponibles. Un proche de Macron le traduisait ainsi : « Les services français sont convaincus que ça venait du Kremlin. Que ça sorte une heure avant la fin de la campagne officielle prouve d’une certaine façon que Poutine n’a pas voulu déstabiliser la campagne. Mais il voulait qu’on sache qu’il aurait pu le faire. Ça permet d’établir un rapport de forces.»
- Leçon 5 : prendre des précautions (techniques)
En mars 2017, la France a annoncé la fin du vote électronique des citoyens à étranger en raison d’un risque extrêmement élevé de cyberattaque.
- Leçon 6 : faire pression sur les plateformes numériques
Dix jours avant le vote, Facebook a annoncé avoir pris des mesures contre plus de 30 000 faux comptes – le chiffre se rapprocherait en fait davantage de 70 000-.
C’est la première fois que Facebook prend une mesure aussi radicale, se vantant de vouloir lutter contre les fake news. Jusqu’au dernier week-end du second tour, des comptes Facebook et aussi Twitter sont suspendus, pour la plupart appartenant à la « fachosphère ». Les militants d’extrême droite crient alors à la censure.
Ces mesures sont le fruit de pressions exercées à la fois pas les États mais aussi par l’opinion publique sur les plateformes numériques, principal lieu de propagation de la désinformation.
Réactions
- Leçon 7 : rendre publiques les tentatives de piratage
Le vendredi 5 mai à 23h56, quelques heures après la fuite des documents, et quatre minutes avant le silence électoral, l’équipe de campagne d’Emmanuel Macron publie un communiqué de presse indiquant que le parti a été victime d’une opération de piratage massive et coordonnée. Ils expliquent que parmi de vrais documents, de nombreux faux ont été rajoutés afin de semer le doute et de désinformer le public. Le communiqué conclut que cette opération est clairement une tentative de déstabilisation démocratique, du même genre que celle observée lors de la campagne américaine.
- Leçon 8 : Contrôler les informations divulguées
L’équipe numérique de campagne d’En Marche avait mis en place plusieurs pièges dans lesquels les cyberattaquants sont tombés : création de boîtes mails fictives, mais avec de vrais noms ; insertion de faux documents… Une tactique visant à rendre la lecture des documents plus flous, afin de faire perdre du temps aux assaillants qui doivent alors déterminer le vrai du faux…
Non sans humour : en effet, parmi les faux mails, les hackers ont par exemple pu lire un échange entre un certain David Teubey et un Greg Latache (!), avec en copie CC de ce mail, bill.trumendous[a]cia.gov. L’échange parle de la suppression d’avions Airbus, remplacés après les élections par des modèles Boeing – une histoire bien connue des amateurs de théories du complot qui voient la CIA partout et pensent qu’Emmanuel Macron est une marionnette américaine. David Teubey et Greg Latache sont des personnages inventés par deux humoristes français il y a plus de dix ans et Bill Trumendous (Tremedous) est un agent de la CIA dans le film d’espionnage français OSS 117 : Lost in Rio.
Une stratégie malicieuse de discréditer les fuites malveillantes.
- Leçon 9 : Rester concentré et riposter
Selon Mounir Mahjoubi, le but de ces attaques était de déconcentrer les équipes de Macron. Ces dernières ont à la fois continué à diffuser leur programme politique et ont aussi répondu aux questions des internautes sur les #MacronLeaks, via les réseaux sociaux.
- Leçon 10 : Utiliser l’humour
Comme vu précédemment, l’humour a renforcé la visibilité et la popularité de la riposte des équipes de campagne.
- Leçon 11 : Faire appliquer la loi
Violant le code électoral, la fuite a été renvoyée sur le bureau du procureur général de Paris, qui a ouvert une enquête, ensuite confiée à la brigade d’enquête sur les fraudes informatiques de la police de Paris.
- Leçon 12 : détruire les lieux de propagande
Au lendemain du premier tour, Emmanuel Macron refuse l’accréditation aux équipes de RT et Sputnik pour couvrir la campagne. Le candidat leur reproche leur propagation systématique de fausses informations. La mesure a été largement critiquée, côté Russie, alimentant l’opinion russe selon laquelle la France dénigre la Russie.
Mais la France suit pourtant la position européenne : depuis novembre 2016, selon le Parlement européen, RT et Sputnik ne sont des « pseudo agences de presse », plutôt des organes de propagandes. Après, son élection, Emmanuel Macron assumera sa position lors de la conférence de presse, en présence de Vladimir Poutine, dont on se souvient, où le président fraîchement élu réaffirme que RT et Sputnik se comportent, non pas comme des journalistes mais comme des organes d’influence et de propagande trompeuses.
- Leçon 13 : Banaliser le contenu de la fuite
L’épluchage des milliers de mails et mémos de la fuite n’a montré aucun comportement illégal. Les contenus de ces documents sont finalement très banals. Ce qui a renforcé l’image de la campagne du candidat jugée au regard de cette fuite, toujours « propre ». La fuite s’est avérée tellement avantageuse pour les équipes d’En Marche que des théories du complot ont même émis l’idée que le staff aurait lui-même lancé la fuite…
- Leçon 14 : Cloisonner la communication
Les courriels n’ont rien divulgué de confidentiel car depuis le début de la campagne, les équipes d’En Marche étaient conscientes de la vulnérabilité intrinsèque des messageries. Un membre l’avait expliqué : « Il y avait trois niveaux de communication : le simple et le logistique par courrier électronique, le confidentiel sur les applications chiffrées et le sensible en face à face… » Rien d’offensant ni de compromettant dans les mails, donc, aucune blague sur les journalistes ou des célébrités, etc.
- Leçon 15 : Inviter les médias à adopter un comportement responsable
Le soir de la fuite, l’équipe de campagne d’En Marche alerte le CSA, qui envoie un courrier électronique aux chaînes de télévision et de radio leur demandant de s’abstenir de tout commentaire. Dans la foulée, la CNCCEP, la commission électorale, publie un communiqué de presse qui appelle « l’attention des médias sur le sens des responsabilités dont ils doivent faire preuve, alors que sont en jeu la libre expression du suffrage des électeurs et la sincérité du scrutin. Il demande donc aux organes de presse, et notamment à leurs sites internet, de ne pas rendre compte du contenu de ces données, en rappelant que la diffusion de fausses informations est susceptible de tomber sous le coup de la loi, notamment pénale. »
La plupart des médias ont joué le jeu, conscient du risque d’ingérence étrangère, aux vues du timing, appelant parfois même leurs lecteurs à la plus grande prudence et assurant que l’enquête sera faite sur ces révélations pour savoir leur véracité ou non.
Storytelling
Au-delà de la riposte du parti En Marche et des autorités françaises, de nombreux autres acteurs, parfois internationaux, ont permis d’y voir plus clair sur l’analyse de cette attaque. L’intelligence collective, à travers les réseaux sociaux, l’avis de certains chercheurs, ont permis de rapidement comprendre l’origine de la fuite -la droite américaine- sur les plateformes numériques et de faire dérailler le récit des attaquants. Certains analystes ont produit des observations quelques heures à peine après le lancement des fuites : cela a été possible car ils observaient les réseaux sociaux depuis des mois.
Ce type d’analyse doit entrer, selon le rapport de l’IRSEM, dans une réelle stratégie nationale. Les initiatives de la société civile sur Internet doivent être encouragées et développer, tout comme tout ce qui pourra permettre de dénicher les trolls, les robots et les acteurs de la désinformation sur la toile.
Enfin, selon le spécialiste en sécurité informatique, Ben Nimmo, la vérification des faits ne suffit plus : « Nous sommes moins confrontés à une guerre de l’information qu’à une guerre narrative. Nous avons les faits, mais ils ont les histoires. Il faut déconstruire les leurs, montrer les sources de désinformation », prendre les lecteurs par la main pour les emmener dans cette investigation. De cette manière, « ce sont eux qui deviendront les Sherlock Holmes. »