Ce mardi 25 novembre, le site de l’association We Sign It n’affiche plus qu’une page de maintenance : « Très prochainement, wesign.it va faire peau neuve. Cependant, suite à des avaries techniques, nous interrompons notre service jusqu’à la mise en ligne de son remplaçant. Toutes les pétitions ainsi que leurs signatures ont été sauvegardées. »
Le terme « avaries techniques » cache une série d’actes malveillants dont le site a été la cible depuis le 17 novembre. À cette date, We Sign It avait accueilli la pétition « Noël sans Amazon », qui appelle à boycotter le géant américain. Deux jours plus tard, une première vague de fausses signatures était présentée comme une « cyberattaque de grande ampleur » par deux des députés à l’origine de la pétition, Matthieu Orphelin (ex-LREM) et François Ruffin (LFI). Leur propos exagéré, comme nous vous l’expliquions en détail, a concentré l’attention sur les protections du site de We Sign It, très faibles, et sur son usage de versions de logiciels largement dépassées.
Plusieurs personnes se sont engouffrées dans les brèches techniques pour profiter de l’attention portée à la situation. Le petit site associatif, tenu par trois personnes et sans compétences techniques en interne, a essayé de résoudre tant bien que mal les incidents. Mais le samedi 21 novembre, un collectif a utilisé l’adresse email de tous les députés, de sénateurs, de plus de 100 journalistes et de médecins pour signer la pétition Noël Sans Amazon. Il n’en fallait pas plus pour que les personnes concernées montent au quart de tour contre WeSignIt, qui ne fait pas de double vérification des signatures par email. C’est la goutte de trop : la pétition, qui comptait alors plus de 33 000 « vraies signatures » est mise hors ligne. Le député Matthieu Orphelin précisait à l’AFP, reprise par BFM, que cette décision visait à protéger la pétition contre de nouvelles attaques.
Un compte revendique un accès à l’admin
Malheureusement pour We Sign It, ce retrait n’a pas suffi. Le lundi 23 novembre à 21h, une personne créait le compte Twitter @WeSignOff, puis publiait des captures d’écrans qui suggéraient l’obtention d’un accès au compte administrateur de We Sign It. Elle aurait donc eu accès aux commandes du site et à certaines informations. Le compte a écrit une suite de messages : « fermer votre site vraiment … » (sic) en identifiant We Sign It. Puis il sous-entendait avoir exploité une « faille des années 2000 », et l’utilisation d’un mot de passe faible. Cette publication n’a été repérée qu’un jour plus tard par le hacker Baptiste Robert sur son compte Twitter très suivi @fs0c131y.
À peine une heure après le relai de Baptiste Robert, le site affichait une page blanche, avec le seul message : « Voila le site est secu !! Pas compliquer ». Contacté sur cette attaque, We Sign It n’est pas encore revenu vers nous, et nous ne pouvons que spéculer sur l’ampleur de l’incident.
Désormais, l’association va attendre le déploiement de la nouvelle version de son site pour le rétablir. Prévue initialement pour avril, elle a été financée par un crowdfunding de 15 000 euros sur le site Hello Asso. Pierre Lalu, chef de projet de We Sign It expliquait récemment à Cyberguerre que cette nouvelle version intègrera des mises à jour, de nouvelles protections, une mise en conformité RGPD et un système pour limiter le nombre de signatures consécutives. Mais peut-être que ces nouvelles garanties ne suffiront pas à remettre la pétition « Noël sans Amazon » en ligne.
Dans le Parisien, le député Matthieu Orphelin expliquait avoir organisé une réunion d’urgence le mardi 24 novembre (avant cette dernière attaque) avec les autres initiateurs de la pétition. L’objectif : déterminer s’ils remettraient la pétition en ligne. « Les deux options se valaient, mais il y avait plus de monde qui préférait ne pas remettre en ligne la pétition pour le moment », a précisé l’élu. Pierre Lalu expliquait plus tôt à Cyberguerre qu’il avait proposé aux porteurs de la pétition de l’héberger sur une version à part de leur site (en « standalone »), mieux sécurisée. Avec l’incident de la nuit passée, la question de la remise en ligne de la pétition ne devrait se poser à nouveau qu’aux alentours du premier décembre, date visée par l’association pour déployer son nouveau site.
Procédures judiciaires engagées
Toujours dans le Parisien, Matthieu Orphelin expliquait qu’il allait porter plainte contre X pour « entrave au fonctionnement d’un système de traitement », auprès du procureur de la République. Selon l’AFP, l’Assemblée nationale se penche quant à elle sur l’histoire des fausses signatures, évoquée lors de la conférence des présidents de l’Assemblée nationale qui réunit le président de l’Assemblée Richard Ferrand et les chefs de file parlementaire.
D’après les sources de l’AFP, les questeurs chargés de l’administration générale de l’Assemblée nationale, doivent écrire « à l’ensemble des députés pour leur faire part de la possibilité de s’associer directement à la plainte qui va être déposée ».
La plainte de Matthieu Orphelin viserait la ou les personnes qui s’en sont pris à We Sign It, tandis que celle des parlementaires viserait le collectif Covistead, qui revendique l’usage de leurs données personnelles (email, nom) pour leur coup de communication.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.