Vendredi soir, alors que la campagne officielle prenait fin, des milliers de documents présentés comme internes à l’équipe d’Emmanuel Macron ont été diffusés sur Internet.

Après l'avertissement de la campagne américaine, les autorités françaises s'étaient préparées à l'éventualité d'un piratage informatique de l'élection française. Cela n'a pas suffi. Vendredi soir, une montagne de documents attribués à des lieutenants d'Emmanuel Macron ont été jetés sur la place publique.

VOIR AUSSI : "Compte d'Emmanuel Macron aux Bahamas" : autopsie d’une intox en plein débat présidentiel

Apparition et diffusion des documents

Tout a débuté à 20h35 heure française sur le forum /pol/ de 4chan, repaire de sympathisants de l’extrême droite américaine. Un message indiquait que 9 Go de documents étaient en ligne sur PasteBin, une application Web de partage de texte et de codes sources.

L’information a très vite été relayée sur les réseaux sociaux, notamment par des comptes pro-Trump. Jack Posobiec, un Américain membre du mouvement nationaliste slave, est le premier compte influent à relayer les documents. Deux jours plus tôt, il avait déjà diffusé l’intox du soi-disant compte offshore d’Emmanuel Macron. Quelques minutes plus tard, il est imité par William Craddick, autre influenceur qui relaie à tour de bras fake news et théories complotistes. Derrière eux, la "patrioshpère", de l’alt-right américaine aux comptes russophiles, se met en action, comme le montre

Mais c’est le compte Twitter de WikiLeaks qui va donner à l’affaire une visibilité mondiale en publiant un tweet à 21h31 heure française, soit une heure après le premier message sur 4chan. Le site de Julian Assange relaie les documents en évoquant "une possible blague du forum 4chan".

Le chercheur belge Nicolas Vanderbiest a cartographié la diffusion des #MacronLeaks sur Twitter vendredi soir :

L’attitude de WikiLeaks est ambiguë : le site a abondamment relayé les documents tout en s’interrogeant sur le timing de cette diffusion via 4chan et en précisant qu’il était trop tard pour que d’éventuelles révélations viennent perturber le scrutin français.

En France, des comptes d’extrême droite s’en emparent aussi. À 23h40, Florian Philippot, vice-président du Front national tweete à son tour :

Que contiennent ces documents ? Sont-ils authentiques ?

Dès vendredi soir, En Marche ! a publié un communiqué expliquant que ces documents ont été obtenus "il y a plusieurs semaines grâce au hacking de boîtes mail personnelles et professionnelles de plusieurs responsables du mouvement". On trouve des échanges de mails en interne ou en externe, des documents de travail, des devis et des factures, des photos, etc. Au total, il y a 15 Go de fichiers, lorsqu’on les décompresse.

En Marche ! précise que "les documents provenant du piratage sont tous légaux et traduisent le fonctionnement normal d’une campagne présidentielle". Leur nature "n’est pas de nature à nous inquiéter sur la remise en cause de la légalité et de conformité des documents concernés", assure le mouvement.

Un grand nombre des documents que les médias ont pu consulter semblent authentiques mais souvent sans intérêt. D’autres sont douteux. En Marche ! a toutefois expliqué que "ceux qui font circuler ces documents ajoutent à des documents authentiques nombre de faux documents afin de semer le doute et la désinformation".

La Russie est-elle derrière tout cela ?

L’enquête pour déterminer la source de l'attaque risque de durer des semaines. Mais la méthode rappelle celle dont avait été victime le Parti démocrate avant l’élection américaine. Sauf que c’était alors directement WikiLeaks qui avait diffusé les emails internes du parti d’Hillary Clinton.

Durant la campagne, Emmanuel Macron et son équipe ont à plusieurs reprises fait état d’attaques informatiques contre En Marche !, mais jamais une exfiltration de données n’avait été évoquée. La Russie avait été pointée du doigt.

Le 25 avril, l’entreprise de sécurité informatique Trend Micro citait nommément un groupe de hackers liés au Kremlin : Pawn Storm (ou encore Fancy Bear, Tsar Team ou APT28). Ces pirates sont soupçonnés d’être à l’origine du piratage du Parti démocrate américain.

Des chercheurs se sont penchés sur les métadonnées des documents des #MacronLeaks. Ils ont constaté que certains fichiers avaient été édités sur des ordinateurs utilisant la langue russe.

Gérard Araud, ambassadeur de France aux États-Unis et soutien d’Emmanuel Macron, a quant à lui dénoncé dans un tweet – supprimé depuis – une "offensive de la dernière chance au profit d’une candidature favorisée par une gouvernement étranger [la Russie, NDLR]".

Quelles suites ?

Ces documents ont été publiés à moins de deux jours du deuxième tour, alors que s’ouvrait la période de réserve qui interdit aux candidats et à leurs soutiens de s’exprimer. L’équipe d’Emmanuel Macron a immédiatement saisi la Commission nationale de contrôle de la campagne (CNCCEP) qui a appelé à ne pas relayer les documents.

François Hollande a assuré, samedi, que cette cyberattaque ne resterait pas "sans réponse". "On savait qu’il y aurait ces risques-là durant la campagne présidentielle puisque ça s’était produit ailleurs", a-t-il déclaré.

Dimanche 7 mai, le parquet de Paris a ouvert une enquête pour "accès frauduleux à un système de traitement automatisé de données" et "atteinte au secret des correspondances", a indiqué à l’AFP une source proche du dossier.

Quelque chose à ajouter ? Dites-le en commentaire.