Des dizaines de milliers de mails, des documents confidentiels, des carnets d'adresses, des agendas, des correspondances professionnelles mais aussi privées... Le Parlement européen va devoir changer radicalement son système de sécurisation des messageries de l’ensemble des députés européens. Car la démonstration vient d'être faite, par un hacker, de la fragilité de la sécurité des serveurs de mails au sein du Parlement.

Mediapart a ainsi pu constater que ce hacker a eu accès, ces derniers mois et de manière régulière, à l’ensemble des mails reçus par les 14 députés, assistants parlementaires et employés européens qu'il avait sélectionnés de manière aléatoire pour les besoins de sa démonstration, après avoir réussi à entrer dans le logiciel de messagerie Microsoft Exchange utilisé par le Parlement. Il s'agit des députés :
Markus Pieper (Allemagne, PPE/CDU),
Jean-Jacob Bicep (France, Verts),
Maurice Ponga (France, UMP),
Constance Le Grip (France, UMP),
Ana Gomes (Portugal, Socialiste),
Aldo Patriciello (Italie, Le Peuple de la liberté).

Les assistants parlementaires sont :
Sonia Léa Rouahbi (Jean-Jacob Bicep),
Ivan Forte (Aldo Patriciello),
Alexandra Carreira (Ana Gomes),
Perrine Orosco (Mauric Ponga).

Les deux collaborateurs de groupes politiques sont :
Mélanie Vogel (Verts),
Céline Bayer (Socialistes et démocrates).

Enfin, les deux employés du Parlement travaillant pour les services informatiques et sécurité sont :
Dimitrios Symeondis,
Antonio Inclan.

Exemple de mails d'eurodéputés. Cliquer pour agrandir.

« C’était un jeu d’enfant », affirme à Mediapart l’intéressé. « Avec un ordinateur portable bas de gamme équipé du wifi et quelques connaissances que tout le monde est capable de trouver sur internet, n’importe qui est capable de faire la même chose. » Le « pirate » n’a eu qu’à s’installer dans un lieu public proche du parlement de Strasbourg, à portée des députés, puis à lancer sa machine. Seule partie un peu technique, « il faut ensuite s’arranger pour que les téléphones portables des gens se trouvant à portée passent par le wifi de mon ordinateur pour se connecter à internet ».

À partir de là, la récupération des données est d’une simplicité déconcertante. Une bonne partie des smartphones de nos élus européens sont en effet équipés d’une application de Microsoft dénommé « Active Sync » qui, régulièrement, se connecte aux serveurs mails du Parlement pour vérifier si l’utilisateur a reçu de nouveaux messages. Or, dans cette application, sont enregistrés ses identifiants et mots de passe. En cas de problème, et notamment de tentative d’intrusion, le téléphone affiche alors un message abscons, « sur lequel la plupart des gens appuient sur OK sans même l’avoir lu », explique le hacker. « Ce qui permet à l’ordinateur portable qui est au milieu de déchiffrer les communications à son niveau, avant de les re-chiffrer et de les envoyer au vrai serveur. »

Concrètement, en s’interposant entre le téléphone portable et le serveur de Microsoft Exchange, l’attaquant récupère les identifiants et mots de passe de toutes les personnes visées, lui offrant ainsi l’accès à l’ensemble de leur compte, c’est-à-dire l’ensemble des mails reçus et envoyés, les agendas personnels et, « avec un peu d’effort », les fichiers éventuellement stockés sur des comptes personnels au sein du réseau du parlement européen.

Grâce à cette méthode, ce sont donc un ensemble de données particulièrement sensibles qui se retrouvent à la portée de « presque n’importe qui »… L’un des aspects les plus inquiétants de ce piratage vient peut-être, outre sa simplicité, du fait qu’il s’attaque aux téléphones portables des personnes utilisant un point d’accès wifi. Il peut donc s’opérer depuis n’importe où. Que les députés soient à Strasbourg, en Chine où à Washington, il suffit de s’installer à proximité avec un ordinateur, d’attendre que certains commettent l’imprudence de cliquer sur « OK » lorsque le message s’affiche, et l’intrus accède à toutes leurs données.

Mediapart a constaté que le hacker s’est limité aux dossiers « messages reçus » de 14 députés, assistants parlementaires et employés du parlement européen. Il n’a copié aucun des autres dossiers et informations personnelles. Son intention était avant tout de délivrer, par l’exemple, un message politique en faisant de la question de la sécurité informatique un enjeu central des futures élections européennes.

« D’un côté, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et économique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grâce à leur espionnage, peuvent décider de l’avenir d’un homme politique ou influer sur des décisions », explique-t-il. « Si, avec du matériel aussi ridicule, il est possible de s’immiscer dans le réseau de communication de responsables politiques chargés de décider de la politique européenne, que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause. »

Malgré la multiplication des révélations sur l’espionnage mondial pratiqué par les États-Unis, nos responsables politiques n’auraient pas encore pris conscience de l’ampleur du problème. « J’ai l’impression de voir des pantins », affirme le hacker qui explique avoir voulu « les secouer un peu » pour « améliorer la prise de conscience » et, « qui sait, améliorer les choses pour le prochain mandat ». Outre les « comportements catastrophiques » en matière de sécurité de certains élus, il dénonce également le choix de Microsoft comme sous-traitant, qui rend « quasi impossible le chiffrement des messages en raison d’un système propriétaire excluant les logiciels standard ».