INTOX. «Nous pouvons dire, nous avons dit, répété ces deux derniers mois que notre source n'est pas le gouvernement russe, et n'est pas un parti», a martelé Julian Assange, dans une interview diffusée hier par Fox News. Le fondateur de Wikileaks fait référence au piratage des mails du directeur de campagne d'Hillary Clinton, John Podesta. Un piratage que les renseignements américains attribuent à la Russie.
D'ailleurs, «un gamin de 14 ans aurait pu pirater les emails de Podesta», insiste Assange. La preuve ? Selon le fondateur de Wikileaks, le mot de passe de Podesta était «password», littéralement «mot de passe», soit l'un des pires choix possibles en termes de sécurité.
L'information est immédiatement reprise par des médias du monde entier, notamment la télévision russe RT ou des journaux français comme Le Figaro.
DESINTOX. Problème : le compte mail de Podesta qui a été piraté était un compte Gmail. Or le service de Google bloque depuis longtemps toute tentative de création ou de modification d'un compte avec le mot de passe «password» ou des dérivés, comme l'ont rapidement noté plusieurs experts en sécurité informatique.
Alors d'où vient le mot de passe dont parle Assange ? Dans les mails de Podesta, on trouve en fait un autre mail, où le directeur de campagne de Clinton évoque bien «password» mais pour se connecter à la session Windows de son ordinateur. Rien à voir donc avec son compte mail. Et le mot de passe n'est d'ailleurs pas tout à fait «password», mais «p@ssw0rd» (une combinaison également rejetée par Gmail comme un mot de passe «faible»).
Capture d'écran, Wikileaks.org
La faute de frappe
Le magazine The Week rappelle surtout que Podesta n'a pas été hacké parce qu'il utilisait un mot de passe faible. Le directeur de campagne de Clinton a ainsi reçu un mail, qui avait tout l'air de venir de Google, et qui lui demandait de changer urgemment de mot de passe. Prudent, Podesta a fait suivre le mail à un conseiller en informatique. L'informaticien a voulu lui répondre que le mail était un faux, mais a alors commis une erreur de frappe, a-t-il expliqué au New York Times : au lieu de taper que le mail était «illégitime», il a indiqué qu'il était «légitime». Podesta ou quelqu'un de son équipe a donc cliqué sur le lien contenu dans le mail, et a entré son mot de passe.
Capture d'écran, The New York Times
Malheureusement pour Podesta, le mail ne venait pas de Google mais de hackers qui ont ainsi pu accéder à la boite mail de Podesta. Le piratage des mails de Podesta n’a donc absolument rien à voir avec la robustesse de son mot de passe.
Ce mail reçu par Podesta est par ailleurs attribué à un groupe, appelé APT28, particulièrement puissant et considéré comme une menace très sérieuse par des pays comme l'Allemagne et la France. On est bien loin, donc, d'un «gamin de 14 ans».