21/02/2017

Le pire : l'équipe est au courant depuis des mois et n'a rien fait

Le site Fillon2017.fr est un gruyère ouvert aux hackers

Par Johan Weisz

Avec ses 19 failles de sécurité, pas besoin d’être un hacker russe pour faire tomber le site de François Fillon. « On est d’accord sur le fait que des hackers pourraient faire tomber [le site] », reconnaît le boss de la campagne digitale.

Le site de campagne de François Fillon est un gruyère, avec plus de 19 failles de sécurité connues. C’est presque un miracle qu’un masque d’anonymous ne se soit pas encore retrouvé en page d’accueil de Fillon2017.fr ! Et le pire, c’est que depuis deux mois et demi l’équipe de campagne est au courant.

« Une semaine après le second tour de la primaire, nous avons signalé à l’équipe de campagne que c’était risqué », explique à StreetPress Maximilien Wecxsteen, de l’agence web Sooyoos, qui travaille sur le prochain site du candidat.

Au sein de la team Fillon, Gautier Guignard en charge de la campagne digitale, reconnaît qu’un hacker pourrait mettre son site hors service :

« On est d’accord sur le fait que des hackers pourraient faire tomber [le site] »

Tout le monde est au courant

L’info sur les vulnérabilités du site Fillon2017.fr est publique depuis plusieurs semaines. Sur le site Reflets.info, le journaliste Antoine Champagne et le hacker Olivier Laurelli ont alerté depuis le 7 février sur les bugs du site de campagne Fillon. Sur une plateforme comme wpscans.com n’importe quel wannabe hacker peut lister les failles de sécurité du wordpress de la campagne Fillon. Mais Gautier Guignard, le responsable de la campagne web, demande à StreetPress de ne pas sortir d’article :

« Vous n’allez pas quand même sortir votre article cet après-midi ? Alors que la sortie de notre nouvelle plateforme, plus sécurisée, est imminente ? »

Sauf que la faille ne date pas d’hier ! « C’est un peu surréaliste ! Comme si la sécurité des données de campagne était la dernière des préoccupations des politiques », juge le journaliste Antoine Champagne.

Gruyère sarthois

De fait, installé sous wordpress, le logiciel de blog le plus répandu, Fillon2017.fr est fabriqué en mode low-cost. Il est basé sur un thème graphique à 48$. Surtout, il compte 18 mises à jour de retard et 4 extensions périmées.

Rassurez-vous tout va bien ! / Crédits : DR

Comme les mises à jour corrigent des failles de sécurité, Fillon 2017 est très vulnérable. Un scan du site liste 19 failles. Sans compter que les règles de sécurité de base pour un wordpress ne sont pas en place : la page de connexion est celle d’origine, vulnérable à la moindre attaque par « brute force ». Une méthode de hacking à la portée d’un bébé pirate. Surtout, la liste des 8 administrateurs du site n’est pas non plus cachée, ce qui ouvre la porte aux attaques par phishing, de la même nature que celles qui ont visé la campagne d’Hillary Clinton.

C’est l’agence Jin qui a réalisé la plateforme initiale, indique l’équipe Fillon. Mais désormais l’agence Sooyoos – qui notamment réalisé le site du micro-parti de Fillon, Force Républicaine, a pris la main. Son co-fondateur Maximilien Wecxsteen, détaille :

« Des parties du site pourraient tomber. On a dit tout de suite [début décembre] qu’on ne prenait pas la responsabilité du site tel quel. »

Lorsqu’elle prend la main sur la plateforme, la nouvelle agence pare au plus pressé :

« Depuis janvier, on a commencé par cacher des parties du site, qui n’allaient pas du tout. »

La web agency indique attendre impatiemment le « go » de l’équipe Fillon pour sortir une nouvelle version du site : « Ca sera un wordpress à jour. Et même niveau serveur, ce sera bien plus sécurisé. » Côté Fillon, le boss du numérique, Gautier Guignard annonce à StreetPress une sortie à venir de la nouvelle plateforme. Peut-être « jeudi » 23 février ou « la semaine prochaine ».

Fillon, Macron, même gruyère

« Et ce sont les sont les mêmes qui nous font de grands discours sur le numérique ! », s’agace Antoine Champagne, le journaliste de Reflets.info.

Car Fillon n’est pas le seul à n’avoir que faire de la sécurité numérique. Ainsi quand le 13 février l’équipe d’Emmanuel Macron alerte sur des tentatives de hacking contre le site de En Marche, cela fait une semaine qu’Antoine Champagne et Olivier Laurelli ont signalé d’importantes failles de sécurité sur le site de Macron. Autant dire que si un hacker professionnel avait vraiment voulu hacker En Marche, ça aurait été fait fissa. Antoine Champagne :

« Macron et ses hackers russes, c’est une vaste blague ! »

Heureusement, le 16 février En Marche sort sa nouvelle plateforme. L’ancien site était, comme celui de Fillon, un wordpress ouvert aux quatre vents.

Baladez vous à l’intérieur du site des Jeunes avec Macron, c’est ouvert

Mais ça n’est pas fini ! Lundi 20 février, Antoine Champagne publie des écrans du site des Jeunes avec Macron, dans lequel n’importe quel internaute peut se balader dans les archives, dénicher les certificats, avoir accès aux fichiers uploadés, etc…

Vous aussi, faites le test ;-)

Une petite visite dans le site des jeunes avec Macron ? / Crédits : DR

Plus grave, les adresses mails des inscrits à la newsletter des Jeunes avec Macron sont à cette heure publiques. L’adresse mail étant la porte d’entrée pour un opération de phishing, c’est comme si les équipes Macron laissaient la porte grande ouverte aux « hackers russes » qu’elles dénoncent dans les articles de presse.

Nous on a trouvé dans les fichiers de 2015 le premier logo des Jeunes avec Macron.

Il était magnifique, non ?