Partager cet article

Trump, son serveur et la banque russe, épisode 2

Donald Trump en meeting à Warren (Michigan), le 31 octobre 2016. JEFF KOWALSKY / AFP.

Donald Trump en meeting à Warren (Michigan), le 31 octobre 2016. JEFF KOWALSKY / AFP.

Quels sont les nouveaux éléments et les théories qui s'opposent dans l'histoire du serveur de la Trump Organization et de ses liens avec Alfa Bank?

Le 31 octobre, le journaliste Franklin Foer publiait une enquête sur les investigations menées par des experts informatiques à propos des curieux échanges entre un serveur de la Trump Organization et celui d'une banque russe. Face aux réponses et interrogations suscitées par son article, il est revenu sur le sujet le 2 novembre dans un deuxième volet, publié ci-dessous. Le premier volet est à lire ici: «Les étranges contacts entre un serveur de la campagne Trump et celui d'une banque russe».

Dans un précédent article, je révélais et interrogeais les étranges contacts entre un serveur de la Trump Organization et celui d'une banque russe. Un serveur qui semblait bizarrement configuré et ne communiquait visiblement et quasi exclusivement qu'avec deux serveurs d'une banque moscovite, Alfa Bank. Mon enquête suivait plusieurs experts informatiques qui, en juillet dernier, étaient tombés par hasard ce serveur. J'y racontais comment, grâce à leur expertise, ils s'y étaient pris pour donner un sens à leur découverte.

Une histoire qui exigeait de fouiller dans les tréfonds d'internet. Ici, l'élément le plus probant du comportement suspect du serveur se trouvait dans une somme de logs de requêtes Domain Name Server (DNS). Il s'agit des communications entre les serveurs permettant à un email d'atteindre sa destination. Les experts informatiques ne disposaient d'aucun mail précis échangé entre Trump et Alfa, mais ils avaient conclu à ces échanges en analysant méticuleusement les logs. Je me suis entretenu avec de nombreux spécialistes du DNS. Selon eux, les données suggéraient fortement une relation entre la banque russe et la Trump Organization, sans la prouver formellement. A mon sens, le sujet méritait d'être porté à l'attention du public, et d'être creusé.

Après la publication de mon article, les réactions de la campagne Trump et d'Alfa Bank n'ont pas tardé, avec des explications bien plus conséquentes que celles que j'avais pu obtenir lorsque je les avais contactés à l'heure de le rédiger. Mon papier a aussi suscité une série d'objections légitimes de la part de journalistes spécialisés et d'experts informatiques, permettant d'élaborer des théories explicatives alternatives. Je les ai prises au sérieux, en estimant qu'elles méritent aussi être portées à l'attention du public et d'être creusées. Les voici.

Est-ce que Trump contrôle le serveur en question?

Dans un post critique fourni, l'expert en cybersécurité Rob Graham écrit: «Des preuves disponibles sur internet, on conclut que Trump ne contrôle pas (directement) le domaine trump-email.com, ni que l'organisation n'a accès au serveur.» Une argumentation que partagent Vox, The Intercept et d'autres, qui estiment que le serveur n'était pas directement piloté par la Trump Organization. Il était bien plutôt administré et géré par Cendyn, un fournisseur spécialisé dans les campagnes marketing pour le secteur hôtelier. Ce qui laisse entendre que la majorité des emails envoyés de cette adresse étaient des courriers de masse, concernant des programmes de fidélisation, des réductions, etc. Au départ, la porte-parole de Trump, Hope Hicks, m'avait répondu que le serveur n'était «plus utilisé depuis 2010». Avant d'ajouter: «Que les choses soient claires, Trump Organization n'envoie ni ne reçoit aucune communication avec ce serveur email». The Intercept a néanmoins trouvé au moins deux de ces mails promotionnels, envoyés par ce serveur en 2015 et 2016.

La relation avec Cendyn est effectivement un point faible de ma théorie. Dans mon premier article, aucun des experts interrogés n'avait pu fournir d'explication factuelle aux échanges entre la Trump Organization et Alfa par le biais de ce serveur. Le problème, c'était que Cendyn était un partenaire de la Trump Organization, payée pour héberger des emails. Et, manifestement, il y avait d'autres moyens, plus simples, pour établir un canal de communication discret que d'en passer par un serveur administré par un fournisseur.

Un autre motif de perplexité était que ce serveur avait été fermé le 23 septembre, soit deux jours après une demande d'explication adressée par le New York Times à Alfa Bank (et une semaine avant que le journal ne contacte Trump). Est-ce que Cendyn avait agi sur les ordres de Trump en fermant mail1.trump-email.com? Je ne peux pas le dire. (Cendyn n'a pas répondu à ma demande de commentaires). Il peut parfaitement s'agir d'une coïncidence. Peut-être que Cendyn a fermé le serveur pour des raisons administratives –par exemple, parce que Trump ne l'a pas renouvelé. Mais Cendyn peut aussi l'avoir fermé pour des raisons techniques. «Ils l'ont peut-être fermé pour le vérifier. Ou peut-être qu'après les demandes des journalistes, ils se sont dit que le serveur était infecté. Ce qui est tout à fait possible», m'explique Emin Gun Sirer, de Cornell. Reste que ni la campagne Trump, ni Cendyn n'ont expliqué pourquoi mail1.trump-email.com avait été fermé.

Est-il possible que les communications entre Trump et Alfa aient été du spam ou des mails promotionnels?

Dans leurs communiqués publiés après la sortie de mon article, la campagne Trump et Alfa Bank donnent deux explications différentes aux requêtes DNS. Selon Alfa, il s'agissait très probablement de ses systèmes de sécurité barrant la route aux spams envoyés par le serveur de Trump. Selon Trump, un autre client de Cendyn, une banque, utilisait ses serveurs pour une application de «gestion d'agenda» afin de coordonner ses rendez-vous avec Alfa. La campagne Trump ne donne pas le nom de cette banque. Il est étrange que Cendyn permette à un autre client d'utiliser les serveurs possédés par Trump, mais la chose est tout à fait possible. Étrange aussi que les techniciens de Mandiant, entreprise de cybersécurité embauchée par Alfa pour y voir plus clair, ne soient pas rapidement tombés sur l'application calendaire et aient clôt le dossier.

Est-ce que le serveur envoyait du spam –des mails non sollicités– et pas des messages commerciaux et promotionnels légitimes? Il existe des bases de données qui répertorient précisément et exhaustivement le spam. J'ai vérifié l'adresse IP de mail1.trump-email.com dans deux d'entre elles, Spamhaus et DNSBL.info. Il n'y avait aucune trace de spams envoyés par cette adresse. Après, peut-être que les spams n'ont pas été consignés parce qu'ils ont été envoyés à une seule banque en Russie. Une hypothèse que L. Jean Camp, chercheuse en informatique à l'université de l'Indiana et source citée dans mon premier article, considère comme assez invraisemblable. «Il est très peu probable que des spams soient envoyés pendant tant de mois sans être jamais captés par un bloqueur de spams, ni que personne ne les ait remarqués durant cette période», me dit-elle.

Le plus probable, c'est que le serveur de Trump ait envoyé des courriers commerciaux, comme ceux de 2015 et 2016 trouvés par The Intercept. Encore une fois, Hope Hicks a été formelle sur le fait que la Trump Organization n'utilisait plus ce serveur depuis des années –et a nié l'envoi de mails à Alfa. Il est possible que l'équipe de campagne n'ait pas connaissance de tous les trucs publicitaires colportés sur internet par la Trump Organization. Ou peut-être Cendyn a envoyé, par erreur, des emails pour le compte des hôtels Trump.

Reste que la théorie publicitaire a aussi quelques lacunes. Dans une campagne promotionnelle, en général, on distribue ses mails à tire-larigot et on cherche à crier sur tous les toits ses bonnes affaires. Pourquoi une telle campagne se serait exclusivement focalisée sur une banque russe et une entreprise de services médicaux basée dans le Michigan (qui avait aussi reçu quelques requêtes DNS)? Et ce même si, comme une critique l'a souligné, les cadres d'Alfa Bank aiment bien séjourner dans les hôtels Trump. Ici aussi, l'explication de ce comportement étrange peut être parfaitement inoffensive. C'est ce que laisse entendre Naadir Jeewa, un consultant spécialiste du genre de systèmes mentionnés dans l'article: «J'ai exclu la malfaisance parce que ces systèmes emails sont atroces. S'ils sont encore fonctionnels, c'est à force de décennies de correctifs et autres bidouillages qui leur ont offert un minimum de sécurité. Mais ils foirent toujours, tout le temps.»

S'agissait-il d'un serveur fermé?

Dans mon article, si des experts informatiques avaient estimé suspecte l'activité entre les serveurs, c'est qu'ils semblaient configurés de manière à restreindre l'accès à quelques interlocuteurs. Mais pour d'autres journalistes et experts, le serveur n'était en réalité «pas aussi hermétique qu'il en avait l'air». Mais nous savons que seuls trois acteurs ont reçu des messages de ce serveur, l'essentiel des communications étant adressées à Alfa Bank. (The Intercept souligne à raison que 19 adresses IP ont cherché l'adresse Trump. Soit un nombre des plus limités, et la majorité des IP sont consignés comme fournisseuses de malwares. The Intercept fait aussi remarquer que ces 19 adresses ne constituent peut-être pas la liste complète. J'y reviens plus bas). Selon les chercheurs en informatique qui ont testé le comportement de mail1.trump-email.com via des outils comme Pingability, il existait bien théoriquement une relation secrète entre les serveurs de Trump et d'Alfa Bank. En essayant de pinguer le site, ils ont reçu comme réponse «521 lvpmta14.lstrk.net n'accepte pas vos messages». Il est possible d'imposer des restrictions –ou, dans le cas du système de Cendyn, de créer une liste à accès contrôlé– pour réguler précisément le nombre d'interlocuteurs. Rien ne permet d'affirmer avec certitude que ces restrictions aient été mises en place.

Et comme le fait remarquer Russell Brandom de The Verge, ce mode de communication ne reste pas secret très longtemps.

«Si les serveurs étaient censés se parler de manière exclusive, pourquoi ne pas se connecter directement, en stockant le lien du domaine IP localement et en shuntant totalement le domaine public? Et même sans cela, pourquoi ne pas se servir d'un compte mail commun ou des dizaines de services de messagerie privée qui laissent bien moins de métadonnées dans la nature? Si vous voulez créer des systèmes de tchat indétectables, vous rencontrerez plein de gros problèmes, mais éviter les archives DNS suspectes n'en fait pas partie.»

Le trafic entre serveurs s'affole-t-il lors des grands événements politiques?

Timothy Lee de Vox et d'autres ont contredit l'idée, soumise par les chercheurs en informatique dans mon article, que le trafic entre les serveurs suivait la chronologie de la campagne présidentielle américaine. «Il y a un pic bien plus petit pendant la Convention démocrate et aucune augmentation significative avant ou pendant la Convention républicaine», souligne-t-il. «En bref, ces données semblent totalement indifférentes au calendrier politique.» Il se demande pourquoi le plus gros pic de trafic survient en août, après les conventions des deux partis.

En réalité, c'est vers la Russie qu'il faut se tourner pour le comprendre, car c'est durant ces semaines que Paul Manafort quitte la campagne Trump, après avoir reçu 12,7 millions de dollars en financements occultes de la part du Parti des Régions, formation ukrainienne et pro-russe. Reste que l'argument central de Lee est compréhensible: le graphique montre de possibles corrélations, il n'atteste pas de liens de causalité.

Les logs DNS sont-ils complets?

The Intercept a eu connaissance de cette histoire et n'a pas souhaité y donner suite, notamment parce que le site doutait de l'intégrité des données que ma source avait en sa possession:

«Quelle proportion des requêtes pour le serveur email de Trump “Tea Leaves” et ses collègues ont-ils pu analyser, sur toutes les requêtes DNS envoyées à ce serveur et sur la totalité d'internet? Comment peuvent-ils être certains que la majorité des requêtes provenaient d'Alfa Bank, alors que la majorité des données collectées n'intégraient même pas les requêtes DNS pour les IP mentionnées dans leur propre rapport? Quelle est leur marge d'erreur? Aucune des analyses que nous (et d'autres journalistes) avons pu obtenir ne peut répondre à ces questions.»

Comme je l'indique dans mon article, il n'existe aucune méthode infaillible pour prouver que ces logs sont complets et qu'ils n'ont pas été modifiés. Si je crois à leur authenticité, c'est à cause de la fiabilité des programmeurs et des universitaires qui l'ont nommément attestée –en particulier Paul Vixie et Jean Camp. En associant leur nom à ces données, ils ont pris des risques considérables. Jean Camp a publié l'intégralité des logs. Ils sont aujourd'hui facilement accessibles et tout un chacun peut forger sa propre opinion quant à leur validité et ce qu'ils démontrent sur les serveurs.

Moi, si j'ai donné suite à cette histoire, c'est parce que j'ai été impressionné par la solidité de la conviction des experts que j'ai consultés. Mes doutes proviennent des éléments matériels qu'ils m'ont présentés et j'ai estimé qu'il aurait été dommageable de ne pas révéler ces données, alors que je pensais qu'elles méritaient d'être connues et analysées avant que les Américains n'élisent leur prochain président.

Le contexte général de mon article, c'est que Donald Trump cultive d'étranges relations avec la Russie et que les tentatives d'inflexion de l'élection par la Russie ont été officiellement reconnues par le gouvernement américain. Entre le candidat républicain et la Russie, tous les croisements ne sont pas suspects: celui que j'ai révélé peut être parfaitement bénin. Comme le faisait remarquer le New York Times, après la publication de mon article, le FBI s'est penché sur l'activité du serveur pour conclure «qu'il pouvait y avoir une explication anodine, comme des messages commerciaux ou du spam, aux contacts entre les ordinateurs». Ou peut-être que cette activité n'a rien d'anodin, comme le pensent des experts informatiques et comme je continue à le croire. (J'ai recontacté huit des neufs chercheurs que j'avais interrogés, tous ont confirmé leurs dires. Je n'ai pas réussi à joindre à temps le dernier). Je concluais mon article en disant que ces serveurs et leur activité méritaient davantage d'explications. Espérons que mon article et le débat qu'il suscite nous rapprocheront de la vérité.

Vous devez être membre de Slate+ et connecté pour pouvoir commenter.
Pour devenir membre ou vous connecter, rendez-vous sur Slate+.
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte