France

Le piratage des données de l'UMP revendiqué

Pourquoi le fichier a-t-il été piraté? De quand date-t-il? Qui a été piraté? Qu'y a-t-il dans ce fichier? Foire aux questions sur les données personnelles de cadres de l'UMP rendues disponibles sur Internet par des pirates.

Jean-François Copé, sortant de l'Elysée en mars 2010. REUTERS/Philippe Wojazer
Jean-François Copé, sortant de l'Elysée en mars 2010. REUTERS/Philippe Wojazer

Temps de lecture: 8 minutes

Des données personnelles de centaines de partisans et cadres de l'UMP, députés, sénateurs ou membres de cabinets ministériels, ont été piratées et sont disponibles librement sur Internet, rapportait Rue89 le 8 novembre, après avoir été alerté par une start-up qui réalise une veille sur les communications entre les hackers. Le point sur ce que l'on sait, régulièrement mis à jour.

Qui a été piraté et comment?

Le parti majoritaire a affirmé le 8 novembre que la base de données diffusée «n’est pas un fichier de l’UMP», et que «certaines des informations qui y apparaissent ne sont pas des données que collecte l’UMP». Le groupe UMP à l’Assemblée a en revanche confirmé sur BFM TV le mercredi 9 que cette base de données était bien «un fichier du groupe UMP, tous les groupes parlementaires en ont un». Le président du groupe UMP Christian Jacob a dit dans un communiqué avoir décidé de porter plainte pour vol de données informatiques et violation du secret des correspondances.

Ceux qui affirment être les auteurs de la fuite ont publié mercredi 9 novembre un communiqué sur le site Pastebin, le même site où les données ont été diffusées. Ils y expliquent:

«- Les données sont issues d’une société d’hébergement & création de sites internet privée. (mes-conseils.fr)
- La faille a été découverte par un “google dork”, il s’agit d’une faille SQL flagrante.
- L’exploitation de ce genre de faille s’apprend en quelques minutes avec google/youtube.
- Ces failles SQL étaient présentes sur ~30 sites personnels de personnalités de l’UMP.»

Cette revendication est-elle crédible? Oui, selon le site Reflets.info, qui écrit:

«Une première lecture nous laisse croire qu’il ne s’agit pas du tout d’un fake. Le formatage du fichier tel que collé dans Pastebin nous a tout de suite fait penser à un dump SQL.»

Si cette version vient à être confirmée, elle reflète d’importantes failles dans la sécurisation des données des députés de l’UMP, comme l’écrivent les auteurs du communiqué:

«Qui est “irresponsable”? Qu’est-ce qui est “grave”?
- Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quand à la sécurité des données qu’il héberge?
- Certains députés, qui confient à ce webmaster privé leurs identifiants officiels de député?
[...] Plus de fichiers=plus de fuites»

Une conclusion avec laquelle est entièrement d’accord le député (UMP) Lionel Tardy, qui rappelle qu’il avait prévenu contre ce genre de risques informatiques le 7 juillet à l’Assemblée nationale lors d’un débat sur la proposition de loi relative à l’identité.

Retour au sommaire

Qu’y a-t-il dans ce fichier?

Un peu de tout: près d’un millier de personnes dont on peut voir le prénom, le nom, le statut (député, sénateur, ministre, collaborateur, député européen). Les renseignements divergent ensuite: des statuts maritaux, des professions et des formations, le nombre d’enfants et leur date de naissance pour certains, des numéros de téléphone portable, des adresses mails personnelles...

Première indication: le fichier n’est pas exhaustif. Il concerne 216 députés (sur 225 membres du groupe UMP à l’Assemblée), 21 députés européens (sur 24), 27 ministres (sur 34) et 115 sénateurs (sur 132). En plus de ces élus et membres du gouvernement, on retrouve 292 collaborateurs dont on ne sait pas grand-chose, et 26 «autres» parmi lesquels un commissaire européen.

De quand date le fichier?

Difficile de le savoir avec exactitude. Henri Cuq, député mort en juin 2010, n’est pas dans le fichier, ce qui indique qu’il a été mis à jour après cette date. Inversement, Gabriel Biancheri est décédé le 29 décembre 2010 mais figure sur le fichier. En fait, il semblerait que comme dans beaucoup de bases de données, certains champs aient été mis à jour récemment et d’autres aient été oubliés. Edouard Courtial a été nommé secrétaire d’Etat le 28 septembre 2011, et figure bien dans le fichier dans la catégorie «ministre», mais son remplaçant à l’Assemblée nationale est en «autre» et non dans la catégorie «députés». La partie «sénateurs» du fichier semble dater d'avant septembre 2011, puisque Pierre Charon, Roger Karoutchi ou Christophe Béchu par exemple, tous trois élus aux dernières sénatoriales, ne font pas partie du listing.

LV1 Allemand pour les députés

De toutes ces catégories de membres de l’UMP, celle sur laquelle on retrouve le plus d’informations est de loin les députés. Une colonne est ainsi dédiée à leur pratique des langues. Première découverte: un quart des députés 216 députés UMP présents dans la base de donnée ne parle pas un mot dans aucune langue étrangère. Une proportion qui reste faible par rapport aux 47% des Européens qui ne parlent aucune langue étrangère.

Sans surprise, l’anglais est la langue étrangère la plus parlée sur les bancs UMP de l’Assemblée, plus de 67% des députés listés dans le fichier qui la pratiquent. Mais les niveaux sont disparates: si 12 députés UMP sont bilingues en anglais, 25 ne pratiquent l’anglais que «lu et écrit», tandis que 2 ont simplement des notions.

Les députés de l’UMP ont été de bons élèves, et ils sont nombreux à avoir pris allemand première langue: 40 d’entre eux parlent la langue de Goethe (5 bilingues), contre seulement 31 pour l’espagnol. Vient ensuite l’italien avec 13 pratiquants puis l’arabe et le portugais avec 2 députés chacun. Mentions spéciales pour le seul député UMP bilingue en occitan, et pour celui qui maîtrise la langue des signes.

Natalité, mariage et métiers

Autre enseignement, les députés UMP montrent l’exemple au niveau de la natalité. Avec une moyenne de 2,5 enfants (et un record de 8 pour l’un d’entre eux), ils sont significativement au dessus du taux de fécondité à l’échelle de la France, lui-même un des plus élevés d’Europe avec 2,01 enfants par femme en 2010.

Le mariage est populaire sur les bancs de l’UMP: 78% des députés présents dans le fichier sont mariés, contre seulement 9% de divorcés, 2% de célibataires et une personne en «vie maritale».

Enfin, on en apprend plus sur les métiers des membres du groupe UMP de l’Assemblée. Sur les 212 dont on a la profession, les cadres (actuels et anciens pour les retraités) sont les plus nombreux sur le côté droit de l’hémicycle avec 18 représentants, suivis de près par les avocats avec 16 députés, les chefs d’entreprises (13) et les retraités (13).

Les métiers médicaux sont fortement représentés avec 7 chirurgiens, 12 médecins, 3 pharmaciens et 5 vétérinaires. On trouve aussi entre autres des enseignants (4), professeurs (10), administrateurs civils (6) et agriculteurs (3).

Retour au sommaire

Est-ce qu’on a le droit de poster un lien vers cette base de donnée en ligne?

Il est interdit d’utiliser ces données personnelles, par exemple en se constituant son propre fichier téléphonique, puisqu’elles ont été diffusées de manière illégale, sans autorisation des intéressés. Diffuser ces données serait porter atteinte à la vie privée des personnes concernées.

Quant au lien hypertexte, il est également risqué: la loi punit de cinq ans d’emprisonnement de 300.000 euros d’amende le fait de diffuser à un tiers qui n’a pas qualité pour recevoir des données à caractère personnel dont la divulgation pourrait porter atteinte à la considération ou à la vie privée des intéressés. A noter que ces peines ne peuvent être prononcées que sur plainte d’une victime.

Des médias pourraient tenter de poster le lien vers la base de données au nom du droit à l’information qui primerait là sur la protection de la vie privée, mais il n’est pas certain qu’ils l’emporteraient devant un juge (on pourrait très bien arguer la possibilité d’informer sans donner un accès direct aux données).

Retour au sommaire

Que risquent les pirates?

En publiant cette base de données sur Internet, les pirates pourraient être poursuivis pour violation d’un système de traitement automatique de données, traitement automatisé de données à caractère personnel illicite, et atteinte à la vie privée.

Un blog, qui dans son «à propos» dit livrer les coordonnées de toutes ces personnes pour «toutes les victimes de l’UMP» et a posté des liens vers la base de données ainsi que la fiche de quelques personnalités (Eric Ciotti, Jean-François Copé et Christian Estrosi) pourrait être fermé à la demande des intéressés, le groupe UMP à l'Assemblée ou le parti majoritaire.

Un juge peut ordonner à Tumblr, la plateforme qui héberge le blog, de communiquer les renseignements en sa possession sur les blogueurs, même si ce serait sûrement plus compliqué que cela, les blogueurs pouvant très bien créer un Tumblr avec une adresse mail qui n’est pas à leur nom.

Avec une ordonnance du juge, les personnes qui ont lancé la procédure peuvent aussi demander à Tumblr l’adresse IP du blogueur, puis voir à quel fournisseur d’accès internet celle-ci a été allouée, et avec une nouvelle ordonnance demander au FAI de transmettre les informations personnelles sur cette adresse IP.

Plus simple et rapide, un juge peut prescrire selon la procédure de requête une suspension du blog puisqu’il viole la loi française. Tout ça est potentiellement compliqué par le fait que Tumblr est une plateforme de blog américaine. Si l’entreprise n’a pas de bureaux à Paris, il faudra faire suivre les ordonnances du juge à son quartier général aux États-Unis.

Retour au sommaire

Les fichés savaient-ils qu’ils sont fichés?

Il est obligatoire de prévenir les personnes fichées qu’une base de données va être constituée, et de leur indiquer le but de cette base ainsi que de leur donner un droit d’accès.

Les quelques députés et sénateurs que nous avons contactés n’étaient pas au courant de leur présence dans une telle base, mais il est tout à fait possible que les avertissements estampillés Cnil soient écrits en bas et en petit d’un formulaire de renseignement. D’autant plus si le fichier a été réalisé à partir de plusieurs bases de données croisées par les pirates.

Retour au sommaire

Comment ont réagi les députés et ministres (que nous avons eus au téléphone):

Philippe Meunier, député du Rhône, était lui choqué, estimant que «le fait d’être un personnage public ne justifie en rien la communication de données confidentielles», et que «la divulgation de ce genre de données est un retour au régime de Vichy», «un signe que la société va vraiment mal». Et de conclure: 

«Tous les 8-Mai, je fais des commémorations, dans ma commune, contre le nazisme et le pétainisme, alors je refuse ce genre de divulgation indiscrète.»

Damien Meslot, député de Belfort, s’est dit «pas affolé», expliquant: 

«Mon numéro est dans l'annuaire, les gens m'appellent, je réponds, ça ne me dérange pas [...] je verrai ce qui se passe, mais je ne pense qu'il y ait de problème.»

Mais pour lui, «si les pirates ont eu accès à ces données, c'est qu'ils peuvent peut-être accéder à des données plus confidentielles, des services de renseignement ou des ministères», et «si les pirates peuvent avoir accès à d'autres fichiers de l'UMP, comme des données financières, ou les stratégies de campagnes, là c'est grave».

David Douillet, ministre des Sports, ne compte pas porter plainte, ni changer son numéro de téléphone et son mail, à moins qu’on le harcèle vraiment. Il a ajouté qu'il avait l'habitude qu'on l'appelle «pour des conneries», donc qu’il n'était pas inquiet.

Michel Lejeune, député de Seine-Maritime, a dit que ça ne le gênait «pas tant que ça» avant d’ajouter: 

«D’ailleurs, plein de gens ont mon numéro, cela ne me pose pas de problèmes particuliers; je fais de nouvelles rencontres chaque jour.»

Le secrétaire général de l'UMP Jean-François Copé a quant à lui rapporté à l'AFP mercredi 9 novembre avoir reçu des «centaines et centaines de messages d'injures, d'insultes à caractère très diversifié» sur son portable depuis le piratage, et précisé qu'il comptait rapidement «changer de numéro de portable».

La veille le député-maire de Nice Christian Estrosi écrivait sur Twitter:

«Bonne blague mais grâce à la réactivité d'orange, j'ai déjà changé de numéro!»

Retour au sommaire

Cécile Dehesdin et Grégoire Fleurot. Propos des députés et ministres recueillis par Alexis Boisseau et Tancrède Bonora.

Merci à Alexandre Nappey du cabinet Meyer et Partenaires, conseils en propriété industrielle, à Maître Alain Bensoussan et à Chloé Torres, du cabinet Alain Bensoussan, dédié au droit des technologies avancées.

Article mis à jour le 9/11/11 avec les réactions de Jean-François Copé et Christian Estrosi, puis le 10/11/11 avec la revendication de l'attaque et la date du fichier.

cover
-
/
cover

Liste de lecture