Le journal Mediapart révèle, interview à l'appui, qu'un hacker a pu facilement accéder aux e-mails institutionnels d'eurodéputés, assistants parlementaires et employés européens, en profitant du fait que le Parlement Européen a choisi la solution Microsoft Exchange et le protocole propriétaire ActiveSync pour la synchronisation des e-mails.
"Ces derniers mois et de manière régulière", le hacker a eu accès à l'ensemble des e-mails de 14 personnes "qu'il avait sélectionné(e)s de manière aléatoire pour les besoins de sa démonstration", explique Mediapart. Muni d'un ordinateur portable, "le « pirate » n’a eu qu’à s’installer dans un lieu public proche du parlement de Strasbourg", pour y créer un hotspot WiFi sur lequel se connectaient les smartphones passant à proximité. "Un jeu d'enfant", assure-t-il.
"Une bonne partie des smartphones de nos élus européens sont en effet équipés d’une application de Microsoft dénommé « Active Sync » (…) Concrètement, en s’interposant entre le téléphone portable et le serveur de Microsoft Exchange, l’attaquant récupère les identifiants et mots de passe de toutes les personnes visées, lui offrant ainsi l’accès à l’ensemble de leur compte, c’est-à-dire l’ensemble des mails reçus et envoyés, les agendas personnels et, « avec un peu d’effort », les fichiers éventuellement stockés sur des comptes personnels au sein du réseau du parlement européen", résume Mediapart.
Le journal, qui fait porter l'essentiel de la responsabilité du piratage sur Microsoft, n'explicite pas cependant comment le hacker obtient les identifiants et mots de passe en clair alors que le protocole Exchange ActiveSync (EAS) permet l'activation du protocole SSL, qui peut-être n'est pas imposé par le Parlement. Selon le hacker, le choix du protocole EAS rend "quasi impossible le chiffrement des messages en raison d’un système propriétaire excluant les logiciels standard".
En effet, EAS ne peut être implémenté qu'en payant une licence d'exploitation à Microsoft, contrairement aux protocoles IMAP (mails), CalDAV (agenda) et CardDAV (contacts). Cependant, Microsoft Exchange est supporté par la plupart des smartphones du marché : Android, iPhone, BlackBerry (pour les e-mails uniquement avant BlackBerry 10), Windows Phone… L'explication semble donc curieuse.
(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n'est pas celui attendu, et demande confirmation à l'utilisateur s'il souhaite tout de même s'y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)
Pour le hacker, la simplicité avec laquelle il a eu accès aux mails des députés, et donc à leurs conversations sur les législations en cours ou les problèmes diplomatiques, pose un réel problème démocratique. De tels moyens sont très facilement mis en oeuvre par les puissances étrangères, ou par des lobbys privés.
"Si, avec du matériel aussi ridicule, il est possible de s’immiscer dans le réseau de communication de responsables politiques chargés de décider de la politique européenne, que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause", dénonce-t-il.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !