Le Leak, une stratégie de frappe brute

Le MacronLeaks qui a débuté en fin le 5 mai en fin de journée tombe opportunément pour semer un vrai faux trouble autour de la candidature d’Emmanuel Macron. Et c’est à mon sens le but essentiel de la manœuvre en cours. Avant d’être une livraison documentaire, c’est un « info-missile ».

La stratégie mise en place derrière est assez simple à comprendre : toutes données piratées relayées par Wikileaks sous-entend un « leak », c’est-à-dire une « fuite ». Une fuite, par définition, est un accident involontaire qui ne devait pas arriver. Tout document qui fuite est donc potentiellement un secret rendu public. Qui dit secret, dit fait inavouable. Et fait inavouable est potentiellement illicite…

C’est l’art de tout démarche syllogistique. Si A = B et B = C, alors A = C. Si les documents de l’équipe Macron (A) étaient secrets (B) et si ce qui est secret (B) est délictueux (C), alors les document de l’équipe Macron (A) révèlent des faits délictueux (C).

Ainsi, sans même consulter le contenu du MacronLeaks, le simple fait d’être un Leak pose la question de la probité du piraté, en l’occurrence Emmanuel Macron. Créer un Leak est donc un excellent moyen de salir quelqu’un, même si au final, les documents ne relatent pas de faits illégaux ou même simplement moralement répréhensibles. Bienvenue dans le monde de l’info-guerre.

J’ai téléchargé les archives proposées en pâture par Wikileaks. Rien de difficile, il suffit de cliquer sur le lien proposé par Wikileaks et de faire remonter les documents sur son ordinateur avec un simple logiciel de torrents.

Des milliers de fichiers à analyser

On télécharge alors 9 gigas d’archives zippées, et 11,2 gigas de documents une fois décompressées. Il y a 7 répertoires distincts, appartenant à 5 personnes différentes, sans compter les sous-dossiers, dont certains appartiennent à des proches des personnes piratées. En tout, on dénombrera plus de 330 dossiers, pour un total de 36 239 fichiers. Certains fichiers contiennent d’autres fichiers : un grand nombre de fichiers sont des emails comportant des pièces jointes. Le nombre de fichiers réel, mais pas forcément authentiques, est donc plus important.

Des natures de documents assez classiques

L’essentiel des fichiers est constitué d’une masse écrasante de fichiers emails (format *.eml), suivie d’une série de fichiers bureautiques Microsoft Office ou Libre Office. Ensuite, on trouve environ 10% de fichiers images. La plupart de ces derniers sont des captures d’écran de PC (en double écran) et de smartphone iPhone. Pour une grande part, le propriétaire avait pris l’habitude de réaliser des captures d’écran de ses conversations sur messagerie instantanée, ce qui ruine toute sécurité de ce type d’application : plus de paroles éphémères et cryptées…

.mp3 1
.ods 1
.odt 3
.exe 4
.mov 5
.gif 8
.rtf 11
.pptx 12
.xls 13
.smmx 21
.mp4 25
.ppt 30
.xlsx 53
.docx 224
.pdf 323
.png 364
.jpg 388
.doc 407
.eml 34346

 

 

 

 

 

 

 

 

Datation des documents

L’ensemble du piratage, pour la totalité des dossiers a eu lieu le 24 avril 2017, tôt le matin, entre 6h et 7h (à confirmer plus tard). Vu la datation horaire, il est difficile de dire s’il s’agit d’une copie à distance, ou discrètement dans des bureaux. Ce type de copie peut autant venir d’un virus trojan distribué via un phishing (avec récupération du dossier emails d’Outlook ou de Thunderbird et du dossiers Documents de l’utilisateur), que d’un simple glisser-déposer sur une clé USB. L’autre possibilité est le hack d’un cloud (Microsoft ou Google Drive). Comme je ne suis pas expert en sécurité, je m’abstiendrai de toute autre réflexion et hypothèse.

Autre datation à noter : certains documents dateraient des années 2002, et relatent des affaires connues. Il s’agit, apparemment, de dossiers d’archives personnelles.

La suite au prochain épisode… avec quelle méthode ?

Il va y avoir de nombreux articles sur le sujet :

Il va être extrêmement difficile de trier les documents et d’identifier ce qui relève du fake et du vrai, car la quantité va noyer tout journaliste ou chercheur tentant de débusquer rapidement un scoop.

Une bonne méthodologie consiste, je pense, à examiner la structure de chaque dossier et vérifier qu’elle est cohérente : la plupart des documents ont un classement particulier. Tout document doit s’inscrire dans la logique de classement choisie par l’utilisateur.

Par ailleurs, on note des grappes thématiques, et il faudra que tout document scandaleux s’inscrive quand même dans une certaine logique thématique globale et ne pas être un orphelin.

On peut aussi travailler sur les propriétés des documents (voire leur contenu binaire), même si cela est facilement changeable, cela peut être un signe d’authenticité / fausseté supplémentaire.

Enfin, il y a la cohérence historique à valider : qui faisait quoi où et quand par rapport à tout document supposé vrai. Ce n’est que par le recoupement que l’on pourra approcher l’exactitude des faits.

Pour ma part, je vais explorer dans mes prochains billets l’ensemble des documents de manière lexicométrique, documentaire, chronologique en m’appuyant sur des outils statistiques. Si cela vous intéresse, n’hésitez pas à vous abonner. Et si vous avez des suggestions, eh bien la porte des commentaires est grande ouverte.