La pétition « Noël Sans Amazon », qui appelait au boycott du géant américain, n'est restée que cinq jours en ligne avant d'être retirée. Cyberguerre revient sur les événements qui ont mené à cette situation, entre communication politique, enjeux de cybersécurité et signatures d'élus usurpées.

La pétition « Noël sans Amazon », publiée le 17 novembre, n’est plus en ligne depuis le 21 novembre. Portée par le député Matthieu Orphelin (ex-LREM) au côté de plusieurs ONG et élus, elle appelait citoyens et citoyennes françaises à ne pas faire leurs achats de Noël sur la plateforme d’e-commerce américaine. L’idée : boycotter l’entreprise de Jeff Bezos au profit des commerces locaux français. Soutenue par plusieurs élus et personnalités de gauches, elle avait récolté 25 000 signatures deux jours après sa publication.

Les auteurs de la pétition avaient décidé de choisir une plateforme autre que Change.org, le golgoth du secteur, pour la déposer. Leur dévolu s’est jeté sur We Sign It, site associatif tenu par trois hommes, dont deux bénévoles et un salarié à mi-temps. Son avantage : des valeurs en accord avec les porteurs de la pétition. Sur leur site, les bénévoles se décrivent comme des « personnes engagées, expérimentées des luttes pour les droits humains, l’écologie, les alternatives économiques à différentes échelles ».

La pétition était hébergée sur le site We Sign It. // Source : We Sign It

Mais ses défauts sont aussi nombreux : le site de We Sign It a été extrêmement mal entretenu, faute de moyens, d’après ses membres. Une nouvelle version devait être déployée plus tôt dans l’année, grâce à un crowdfunding de 15 000 euros effectué en décembre 2019, mais elle a été retardée. Résultat : les versions des logiciels que le site utilise sont dépassées depuis plus de 8 ans pour certaines, et elles sont devenues autant de portes ouvertes aux cyberattaques. Autre conséquence directe de son obsolescence, le site n’est pas conforme au règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Mais surtout, les protections automatiques contre les fausses signatures sur les pétitions y sont presque inexistantes : pas de double confirmation de la signature par email, pas de vérification de l’existence de l’email, pas de restriction contre les emails jetables, pas de CAPTCHA ou de technologie similaire pour empêcher un même utilisateur d’effectuer autant de signatures qu’il le souhaite…

Le terrain était donc idéal pour qu’un scénario catastrophe se produise. Mais jusqu’ici, We Sign It n’avait jamais eu rien de plus que de légers incidents sur ses pétitions. «  Nous avons beau ne pas être à jour, nous n’avons jamais subi ça. C’est de l’acharnement », assène Pierre Lalu, chef de projet de la plateforme et seul salarié, contacté par Cyberguerre. Poussée à bout par une situation qui allait crescendo, l’association a passé la pétition hors ligne. Son représentant précise que les plus de 25 000 signatures sont conservées, et n’exclut pas de faire réapparaître la pétition début décembre, à l’occasion du déploiement de la nouvelle version du site, ou en « standalone » sur une page à part, mieux sécurisée.

Cyberguerre a retracé la suite d’événements qui ont transformé la pétition en un problème hors de contrôle pour We Sign It, pointé du doigt par des dizaines de députés, et instrumentalisé par un collectif anonyme aux méthodes de communication agressives.

Un événement mineur médiatisé comme une cyberattaque de « grande ampleur »

Le 17 novembre, la pétition réussit son lancement : elle reçoit plus de 20 000 signatures en peu de temps, et elle est relayée par plusieurs médias. Ses auteurs ont bien préparé leur coup médiatique, en publiant une semaine avant les soldes du Black Friday, pendant lesquelles certains font leurs courses de Noël.

Deux jours plus tard, le député Matthieu Orphelin publie une vidéo et un communiqué au côté du député François Ruffin (LFI). We Sign It aurait subi une « cyberattaque de grande ampleur », liée à la pétition. Les deux élus, appuyés par une rapide enquête de l’hébergeur qui a géré l’incident, accusent un « expert certifié Amazon ». S’il y a bien eu un acte malveillant, il s’agissait, des propres termes du fondateur d’Octopuce Benjamin Sonntag, qui a géré l’incident, d’un « pétard mouillé », réglé en « 5 minutes ». Quant à l’attribution de l’incident, si elle s’appuie sur certains indices techniques, elle ne peut être, pour l’heure, que supposée.

Les députés Matthieu Orphelin et François Ruffin ont accentué l’ampleur de l’incident. // Source : @François_Ruffin sur Twitter

Malgré ces approximations, l’Agence France-Presse s’est servie abondamment dans le communiqué pour écrire une dépêche, qui sera ensuite reprise par de grands médias nationaux : le Figaro, Ouest-France, 20 Minutes, Libération… La vidéo fait quant à elle le tour de certaines sphères militantes. Résultat : la pétition reçoit une attention polarisée. D’un côté, ceux qui s’insurgent contre la cyberattaque « massive » dont serait victime la plateforme. De l’autre, ceux qui s’énervent contre les raccourcis techniques et les approximations du coup de communication. Rapidement, plusieurs personnes relèvent la vétusté de We Sign It, et en profitent pour triturer ses nombreux défauts.

Le jeudi 19 novembre, le site est confronté à un autre incident, qui s’apparente cette fois-ci à une attaque par déni de service (DDoS) en bonne et due forme. Malgré quelques turbulences, l’hébergeur parvient à résoudre le problème en moins de trois heures. Et le lendemain, vendredi, la situation paraît sous contrôle. C’est le calme avant la tempête.

De fausses signatures d’élus, la goutte de trop pour We Sign It

Samedi 21 novembre, le compte Twitter de We Sign It est identifié dans une pluie de messages lancés par des élus. Laetitia Avia, Éric Bothorel, Coralie Dubost, Roland Lescure, Jean-Michel Mis, Adrien Morenas, Anne-Laure Blin, Patricia Mirralès, Séverine Gripson, Benjamin Griveaux, Brigitte Liso, François de Rugy… la liste paraît interminable.

Tous reprochent la même chose, de façon plus ou moins cordiale : ils ont reçu un message de We Sign It qui leur confirme leur signature à la pétition #NoelSansAmazon. Signature à laquelle ils n’ont jamais consenti, et qui s’oppose parfois à leurs idées politiques. L’association s’excuse publiquement auprès des premiers comptes à s’être manifestés, puis envoie dans la foulée un email dans lequel elle évoque un «  acte malveillant » et renouvelle ses excuses.

« Dès que nous avons vu les signatures de députés, nous les avons retirés de la pétition  », assure à Cyberguerre Pierre Lalu. « Mais ils ont quand même reçu les emails de confirmation. » Dépité par la tournure des événements, le chef de projet de We Sign It l’est aussi par les échanges avec les élus. «  Nous n’avons reçu aucun email de plainte, tous les députés sont directement allés sur Twitter  », affirme-t-il.

Les critiques de We Sign It pointent à raison qu’il n’est pas conforme au RGPD, notamment car il ne recueille pas le consentement des signataires pour le traitement de leurs données, en plus de ne pas faire de double confirmation par email. Pierre Lalu concède ce point, mais il se défend : « la façon dont nous nous occupons de nos données est dans le clou du RGPD.  »

À la fin d’un samedi passé à échanger avec les élus, et une escalade des échanges, la pétition est mise hors ligne.

Un collectif anonyme revendique l’acte malveillant

Dans la nuit de dimanche à lundi 23 novembre, Cyberguerre reçoit un email de l’adresse nepasrepondre@ecrire.elysee.fr, avec un objet plus qu’alarmiste « Validation de votre message au Président ». Il nous demande de confirmer l’envoi d’un long message… qui n’est pas le nôtre, mais qui est bien lié à notre nom et à l’adresse des bureaux de la rédaction.

Drôle d’email reçu lundi matin… // Source : Capture d’écran Cyberguerre.

À la lecture, il s’avère que le contenu de l’email, signé « John Covistead », s’adresse à nous, entre autres. Aucune information sur cet alias, à part l’utilisation du « nous » dans le message, qui suggère qu’il s’agit de plusieurs personnes. Et ces personnes détournent l’utilisation du formulaire de contact de l’Élysée pour relayer leur message de façon remarquée.

D’emblée, le collectif revendique l’incident de We Sign It : « Nous sommes bien à l’origine de la suppression de la pétition de Matthieu Orphelin et François Ruffin « Noël sans Amazon ». Notre objectif n’était pas de militer pour Amazon, bien au con traire ! Depuis dix jours maintenant nous alertons les députés sur la situation cataclysmique de notre société, sans aucune réaction de leur part. » Si leurs revendications touchent plutôt à la gestion de la crise sanitaire, la pétition « Noël Sans Amazon » n’est pas une victime choisie au hasard. Ils la qualifient de «  pétition anecdotique », « dont le seul but est de donner bonne conscience à ses auteurs, en leur donnant le sentiment de ‘faire quelque chose’ ».

Covistead, collectif anonyme

Leur action serait motivée par l’absence de réponse des députés à deux lettres qu’ils ont envoyées, 10 et 6 jours plus tôt. « Alertez-les sur l’effondrement de notre société et sur son autoritarisme grandissant, vous n’aurez aucune réponse. Faites croire qu’ils ont signé une pétition inoffensive et un peu puérile, vous aurez une levée de boucliers venue de députés outrés, sortant de leur torpeur pour crier à l’usurpation d’identité ou pour porter plainte auprès de la CNIL », critiquent-ils.

Cyberguerre a contacté l’adresse indiquée dans l’email. Deux hommes, membres du collectif, ont accepté de nous parler, mais sous de faux noms, par numéro masqué. Ils ont ensuite décliné les questions sur leur collectif. Nous ne savons pas le nombre de personnes qu’il comporte ni leur origine sociale ou géographique. Au début de l’entretien, un des deux hommes explique que l’anonymat « donne un côté mystérieux » qui pourrait servir leur cause. À la fin, l’autre concèdera : « Vu que nous utilisons le formulaire de l’Élysée, et que ce n’est pas ‘légal, légal’, nous nous obligeons à rester dans l’anonymat ». Par ailleurs, le nom du collectif ne donne pas plus d’indications, il s’agit d’une simple référence au personnage de fiction John Steed : « Un des membres est fan de Chapeau melon et bottes de cuir [série télévisée des années 60, ndlr] ».

Tous les députés, 100 journalistes et des médecins pris à partie

Pendant 20 minutes, les deux hommes détaillent à grand renfort d’exemples leurs doléances : ils regrettent les conséquences économiques des mesures sanitaires, s’inquiètent sur la relance future, et critiquent le traitement médiatique de l’épidémie, qu’ils jugent « trop dramatique ».  Ils se disent dépités par l’état de la culture et de l’éducation. « Nous n’avons jamais nié le virus ni dit qu’il ne fallait rien faire. Dès qu’on veut penser autrement que confinement ou mesures de restriction, on est mis dans la case ‘complotante’ », estiment-ils. Les deux hommes ont peur d’être balayés avec l’étiquette de complotiste, et se déclarent « écœurés » par le film Hold Up. 

Concrètement, que veulent-ils ? La suppression des attestations de déplacement dérogatoire au profit d’autres mesures sanitaires, la diminution des frais de sondage du gouvernement, et des investissements dans la lutte contre le réchauffement climatique. Surtout, ils veulent une réponse à leurs messages.

Un script pour passer le CAPTCHA de l’Élysée

Pour y parvenir, le collectif a mis les moyens. Grâce aux compétences de deux d’entre eux, « informaticiens », ils ont profité des faiblesses de We Sign It pour faire signer la pétition « Noël Sans Amazon » par tous les 577 députés, plusieurs sénateurs, 100 journalistes, ainsi que des médecins « régulièrement invités sur les plateaux de télévision ».

Ils avaient déjà utilisé cette même liste de diffusion pour l’envoi de leurs communiqués, toujours par le biais du formulaire de contact de l’Élysée. « Nous faisons ça depuis 10 jours. Le site de l’Élysée a un CAPTCHA, il a donc fallu écrire un script pour le passer. L’outil ne marche qu’une fois sur trois, mais vu que c’est une boucle, cela suffit à envoyer au moins une fois le message. Nous ne sommes pas fans de ce genre de méthode, mais comment faire pour faire entendre autre chose ? Pour qu’au moins on nous réponde ?  » s’interrogent-ils. Et tant pis pour la pétition, victime collatérale de leurs revendications.

Crédit photo de la une : Capture d'écran Cyberguerre

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux