En ce moment

    21/02/2017

    Le pire : l'équipe est au courant depuis des mois et n'a rien fait

    Le site Fillon2017.fr est un gruyère ouvert aux hackers

    Par Johan Weisz

    Avec ses 19 failles de sécurité, pas besoin d’être un hacker russe pour faire tomber le site de François Fillon. « On est d’accord sur le fait que des hackers pourraient faire tomber [le site] », reconnaît le boss de la campagne digitale.

    Le site de campagne de François Fillon est un gruyère, avec plus de 19 failles de sécurité connues. C’est presque un miracle qu’un masque d’anonymous ne se soit pas encore retrouvé en page d’accueil de Fillon2017.fr ! Et le pire, c’est que depuis deux mois et demi l’équipe de campagne est au courant.

    « Une semaine après le second tour de la primaire, nous avons signalé à l’équipe de campagne que c’était risqué », explique à StreetPress Maximilien Wecxsteen, de l’agence web Sooyoos, qui travaille sur le prochain site du candidat.

    Au sein de la team Fillon, Gautier Guignard en charge de la campagne digitale, reconnaît qu’un hacker pourrait mettre son site hors service :

    « On est d’accord sur le fait que des hackers pourraient faire tomber [le site] »

    Tout le monde est au courant

    L’info sur les vulnérabilités du site Fillon2017.fr est publique depuis plusieurs semaines. Sur le site Reflets.info, le journaliste Antoine Champagne et le hacker Olivier Laurelli ont alerté depuis le 7 février sur les bugs du site de campagne Fillon. Sur une plateforme comme wpscans.com n’importe quel wannabe hacker peut lister les failles de sécurité du wordpress de la campagne Fillon. Mais Gautier Guignard, le responsable de la campagne web, demande à StreetPress de ne pas sortir d’article :

    « Vous n’allez pas quand même sortir votre article cet après-midi ? Alors que la sortie de notre nouvelle plateforme, plus sécurisée, est imminente ? »

    Sauf que la faille ne date pas d’hier ! « C’est un peu surréaliste ! Comme si la sécurité des données de campagne était la dernière des préoccupations des politiques », juge le journaliste Antoine Champagne.

    Gruyère sarthois

    De fait, installé sous wordpress, le logiciel de blog le plus répandu, Fillon2017.fr est fabriqué en mode low-cost. Il est basé sur un thème graphique à 48$. Surtout, il compte 18 mises à jour de retard et 4 extensions périmées.

    https://backend.streetpress.com/sites/default/files/liste-failles-wordpress-fillon-2017.jpg

    Rassurez-vous tout va bien ! / Crédits : DR

    Comme les mises à jour corrigent des failles de sécurité, Fillon 2017 est très vulnérable. Un scan du site liste 19 failles. Sans compter que les règles de sécurité de base pour un wordpress ne sont pas en place : la page de connexion est celle d’origine, vulnérable à la moindre attaque par « brute force ». Une méthode de hacking à la portée d’un bébé pirate. Surtout, la liste des 8 administrateurs du site n’est pas non plus cachée, ce qui ouvre la porte aux attaques par phishing, de la même nature que celles qui ont visé la campagne d’Hillary Clinton.

    C’est l’agence Jin qui a réalisé la plateforme initiale, indique l’équipe Fillon. Mais désormais l’agence Sooyoos – qui notamment réalisé le site du micro-parti de Fillon, Force Républicaine, a pris la main. Son co-fondateur Maximilien Wecxsteen, détaille :

    « Des parties du site pourraient tomber. On a dit tout de suite [début décembre] qu’on ne prenait pas la responsabilité du site tel quel. »

    Lorsqu’elle prend la main sur la plateforme, la nouvelle agence pare au plus pressé :

    « Depuis janvier, on a commencé par cacher des parties du site, qui n’allaient pas du tout. »

    La web agency indique attendre impatiemment le « go » de l’équipe Fillon pour sortir une nouvelle version du site : « Ca sera un wordpress à jour. Et même niveau serveur, ce sera bien plus sécurisé. » Côté Fillon, le boss du numérique, Gautier Guignard annonce à StreetPress une sortie à venir de la nouvelle plateforme. Peut-être « jeudi » 23 février ou « la semaine prochaine ».

    Fillon, Macron, même gruyère

    « Et ce sont les sont les mêmes qui nous font de grands discours sur le numérique ! », s’agace Antoine Champagne, le journaliste de Reflets.info.

    Car Fillon n’est pas le seul à n’avoir que faire de la sécurité numérique. Ainsi quand le 13 février l’équipe d’Emmanuel Macron alerte sur des tentatives de hacking contre le site de En Marche, cela fait une semaine qu’Antoine Champagne et Olivier Laurelli ont signalé d’importantes failles de sécurité sur le site de Macron. Autant dire que si un hacker professionnel avait vraiment voulu hacker En Marche, ça aurait été fait fissa. Antoine Champagne :

    « Macron et ses hackers russes, c’est une vaste blague ! »

    Heureusement, le 16 février En Marche sort sa nouvelle plateforme. L’ancien site était, comme celui de Fillon, un wordpress ouvert aux quatre vents.

    Baladez vous à l’intérieur du site des Jeunes avec Macron, c’est ouvert

    Mais ça n’est pas fini ! Lundi 20 février, Antoine Champagne publie des écrans du site des Jeunes avec Macron, dans lequel n’importe quel internaute peut se balader dans les archives, dénicher les certificats, avoir accès aux fichiers uploadés, etc…

    Vous aussi, faites le test ;-)

    https://backend.streetpress.com/sites/default/files/jeunes-avec-macron-ouvert.jpg

    Une petite visite dans le site des jeunes avec Macron ? / Crédits : DR

    Plus grave, les adresses mails des inscrits à la newsletter des Jeunes avec Macron sont à cette heure publiques. L’adresse mail étant la porte d’entrée pour un opération de phishing, c’est comme si les équipes Macron laissaient la porte grande ouverte aux « hackers russes » qu’elles dénoncent dans les articles de presse.

    Nous on a trouvé dans les fichiers de 2015 le premier logo des Jeunes avec Macron.

    logo-jeunes-avec-macron.jpg

    Il était magnifique, non ?

    Pour continuer le combat contre l’extrême droite, on a besoin de vous

    Face au péril, nous nous sommes levés. Entre le soir de la dissolution et le second tour des législatives, StreetPress a publié plus de 60 enquêtes. Nos révélations ont été reprises par la quasi-totalité des médias français et notre travail cité dans plusieurs grands journaux étrangers. Nous avons aussi été à l’initiative des deux grands rassemblements contre l’extrême droite, réunissant plus de 90.000 personnes sur la place de la République.

    StreetPress, parce qu'il est rigoureux dans son travail et sur de ses valeurs, est un média utile. D’autres batailles nous attendent. Car le 7 juillet n’a pas été une victoire, simplement un sursis. Marine Le Pen et ses 142 députés préparent déjà le coup d’après. Nous aussi nous devons construire l’avenir.

    Nous avons besoin de renforcer StreetPress et garantir son indépendance. Faites aujourd’hui un don mensuel, même modeste. Grâce à ces dons récurrents, nous pouvons nous projeter. C’est la condition pour avoir un impact démultiplié dans les mois à venir.

    Ni l’adversité, ni les menaces ne nous feront reculer. Nous avons besoin de votre soutien pour avancer, anticiper, et nous préparer aux batailles à venir.

    Je fais un don mensuel à StreetPress  
    mode payements

    NE MANQUEZ RIEN DE STREETPRESS,
    ABONNEZ-VOUS À NOTRE NEWSLETTER