Pétition Pass vaccinal, comment la discréditer techniquement ou historique d’une décrédibilisation d’action citoyenne

« Quand on voit ce qu’on voit, que l’on entend ce qu’on entend et que l’on sait ce que qu’on sait, on a raison de penser ce qu’on pense. » ― P. Dac



INTRODUCTION

La pétition au million de signatures ne vous aura certainement pas échappé durant ce court interlude des fêtes de fin d’année.

Ce Vendredi 31 décembre 2021, dernier jour de l’année, j’avais prévu une détox digitale.

Pause que j’ai brusquement interrompue après quelques alertes de mes outils de veille sur #twitter, #telegram et #facebook.

Une pétition contre le #passvaccinal commençait petit à petit à créer le buzz…

Je n’ai donc pas résisté à la tentation de voir de quoi il était question et j’ai écourté mon jeûne digital… (juste une petite heure promis).



DISCLAIMER

Il est nécessaire d’apporter une précision de taille comme à l’accoutumée ! Cet article n’a pas de visée politique. Il ne s’agira nullement d’exprimer mon opinion pro ou anti-vax. Mais plutôt de montrer et de façon que j’espère impartiale, comment deux camps opposés #provax versus #antivax (ici anti-vax) peuvent instrumentaliser une pétition. Ajoutons à cela qu’hormis ces deux clans, d’autres personnes opportunistes et/ou groupes peuvent de même (et se sont d’ailleurs) invités dans cette danse… Mais peu importe, ce ne sera pas mon propos.



CONTEXTE

Depuis vendredi 31 décembre 2021 au soir, et pendant tout le week-end, quelques articles ont émergé ici et là, mais aucun pour expliquer de quoi il s’agissait.

Aussi, pour mon premier article de cette année 2022, je vous propose une analyse (sans rentrer dans des considérations trop techniques) de cette pétition et de tout le bruit qu’elle engendre.



Chronologie de mon analyse

Vendredi après-midi

En ce début d’après-midi, j’ai donc décidé de me pencher sur cette pétition. Je commence toujours mes investigations par un tour d’horizon des réseaux sociaux (et ce qu’en dit l’opinion publique) mais aussi des quelques groupes privés extrémistes, #provax, #antivax, #complotistes dans lesquels je suis “tapi” depuis quelques temps… Par souci d’impartialité, je ne posterai aucune information sur ces groupes “plus” secrets…

En m’intéressant rapidement à ce que l’on trouve publiquement autour de “pétition pass vaccinal” à savoir sur Twitter et Facebook, j’obtiens rapidement ces quelques informations :

  • Premièrement, la pétition circule depuis au moins depuis le mardi 26 décembre 2021

  • Deuxièmement, elle a été relayée par des comptes d’artistes ou politiques influents entre le mercredi 29 et le jeudi 30 décembre, (je ne citerai volontairement pas ces comptes… l’idée étant de rester le plus impartial possible tout du long de cette analyse) ;

  • Troisièmement, à la suite de ces partages, le nombre de signatures concernant la pétition a littéralement explosé !


Je suis donc allé sur le site en question. Ce vendredi à 17h, la pétition ne comptait pas loin de 1 082 000 signataires.

J’ai ensuite voulu rapidement m’enquérir de l’évolution du nombre de signataires les jours précédents.

Pour ce faire, parmi tous les excellents outils à disposition, se trouve le site wayback machine, connu comme étant la mémoire d’internet à un instant T.

À ma grande surprise, je me suis rendu compte que cette pétition circulait depuis le mardi 21 décembre 2021 mais qu’elle n’a pris de l’ampleur que quelques jours après.

Voici les captures allant du mardi 21 décembre 2021 au dimanche 02 janvier 2022:

  • Pour démarrer, un graphe d’ensemble ne montrant qu’une partie de l’évolution du nombre de signatures
    PETITION-01.png

  • Du mardi 21 au dimanche 26 décembre 2021, 306 076 signatures

PETITION-1.png

PETITION-2.png

  • Du lundi 27 au jeudi 30 décembre 2021, 965 003 signatures

PETITION-3.png

  • Le vendredi 31 décembre 2021, 1 050 604 signatures

PETITION-4.png

  • Le vendredi 31 décembre 2021, Aucune signature

PETITION-5.png

  • Le dimanche 2 janvier 2022, 1  148 570 signatures

PETITION-6.png


Ces quelques captures d’écran donnent un très bon aperçu de la cinétique d’évolution depuis le début de l’opération “pétition pass vaccinal” puis avec le relais par des personnalités politiques et artistes français (certains s’étant depuis le début de la pandémie érigé ou autoproclamé en figure de proue des antivax).

Jusqu’au dimanche 26 décembre 2021, on observait une quasi stagnation du nombre de signataires. Suite au relais sur twitter et facebook par lesdits comptes influents, on se rend compte d’un bond fulgurant des signataires passant de 300 000 à 900 000 en quelques heures.

Il est aussi à noter qu’à partir du 30 décembre, un changement dans la gestion des signataires intervient. Nous y reviendrons plus loin dans cet article.

Après cette investigation, je décide de me rendre sur le site pour comprendre ses aspects techniques et voir comment se décline le formulaire permettant de soutenir la pétition.



Mais avant d’aller plus loin, j’aimerais attirer votre attention, et tout particulièrement en cette période d’élection présidentielle, sur une des techniques phares qu’utilise l’opposition mais pas que… afin de discréditer par tous moyens un meeting, un discours, une pétition …

Différents moyens sont souvent usités dont une relative à l’informatique. Ainsi, si votre site internet n’est pas sécurisé et bien c’est du pain béni pour des pirates informatiques ! (Par exemple, lors du premier meeting de #Zemmour, cette tactique a été utilisée pour réserver des places qui sont ensuite restées vacantes ! Il en a été de même lors de la primaire de la droite qui a vu Pécresse gagner et j’en passe… )

Le numérique est une arme redoutable dans le monde hyper digitalisé dans lequel nous vivons. Je reviendrai plus tard là-dessus !



Voici donc le formulaire permettant de signer la pétition :

PETITION-7.png

Ça ne vous sautera certainement pas aux yeux, mais à moi si ! Et très probablement à tous ceux travaillant de près ou de loin à la sécurisation des systèmes informatiques.

Sans faire plus tarder le suspense, voici ce que j’ai constaté : Une absence totale de système “visible” de protection, pour empêcher toute forme d’opération d’automatisation ! On peut tout aussi facilement discréditer une pétition en créant de fausses signatures (et c’est ce qui s’est passé quand certains ont pris conscience de la faille qui existait dans le système) qu’en supprimant certains votes.

(Au passage, ce genre de plateforme fermée attise différentes formes de suspicion.)

Dans ces deux situations, et même si cela semble profiter aux deux camps, la démocratie est la grande perdante. On peut d’ailleurs facilement se projeter dans le monde numérique de demain où le vote électronique sera de plus en plus présent. Mais sans moyens de régulation et expertises rendues par des individus rompus et formés à ces tactiques, difficile de faire grandir notre démocratie.Lorsqu’il s’agit de communiquer nos données personnelles à des plateformes, il est primordial de savoir qui sont les personnes qui les récupèrent et les exploitent mais encore plus quel traitement leur sera réservé !

Concrètement, si l’on revient à cette pétition, rien n’empêche une personne ayant à sa disposition beaucoup de temps, de moyens financiers (ou non !), de signer à plusieurs reprises la pétition. De même, rien n’empêche un groupe aux velléités diverses de créer un petit bot (comprenez programme informatique automatisé) pour envoyer toutes les heures, toutes les minutes, toutes les secondes une nouvelle signature… vous voyez un peu plus ?!

Après ce constat, j’ai pris le temps de coder un de ces petits bots pour tester mes assertions.


NOTA SUR UN POINT TRÈS IMPORTANT: Dans mes activités variées allant de consultant en #cybersécurité, #hacker éthique ou encore de #bugbounty hunter, ce genre de vulnérabilité est monnaie courante. Aussi ai-je déjà un outil qui ne demande qu’à être adapté en fonction de la cible.


Volontairement, aucun code ou capture d’écran concernant cette partie ne sera donné. Mais imaginez-vous qu’avec un peu d’ingéniosité, un tel outil est capable de générer des identités toutes plus vraisemblables les unes que les autres avec nom, prénom, téléphone, mail, adresse postale, ainsi que messages pour / contre ou neutre et bien plus. Tout cela généré et envoyé en fonction d’un intervalle de temps totalement modulable. J’omets volontairement une autre partie plus avancée de l’outil permettant de modifier sa localisation à souhait et ce dans l’optique de contourner des protections de base visant un filtrage par adresse IP (ce serait comme présenter un passeport à chaque fois différent lors d’un contrôle d’identité)

Une fois mon outil adapté, j’ai pu réaliser un banc de tests en signant 4 fois la pétition avec parfois la présence aléatoire de commentaires positifs ou négatifs.

A aucun moment, je n’ai influé d’une quelconque façon dans cette pétition. Aucune signature n’aura été supprimée ou rajoutée après ces 4 tests étalés sur 30mn.


A ce stade de l’analyse, accordons-nous le temps d’une pause et prenons un peu de recul… Si moi, en à peine 20 min et sans “intention malveillante”, suis capable de faire cela, qu’en est-il des personnes plus motivées et mal intentionnées, ou des groupes à buts clairement hostiles ? Voyez-vous comment on peut de ce fait discréditer ou jeter l’opprobre sur n’importe quelle campagne ou pétition numériquement et ainsi rajouter de l’huile sur le feu ? Vous saisissez sans peine comme moi les dangers de ces dérives ….

[…]

18h à l’horloge… A ce moment de mon investigation, je décide de m’arrêter et de ne reprendre que dimanche dans l’après midi avec un petit blogspot pour vous relater tout cela.



Dimanche après-midi

En reprenant ce dimanche 2 janvier 2022 là où je m’étais arrêté, il s’était produit dans l’intervalle beaucoup de changements ! Entre-temps, de nouveaux messages publics et privés avaient fleuri sur les réseaux ainsi que quelques articles dans la presse. En effet, comme je m’en doutais, je n’avais pas été le seul à noter les failles de sécurité du site. A cette différence près (et notable !) que nos intentions n’étaient absolument pas les mêmes ! D’après les messages que j’ai pu lire, le site a apparemment subi de nombreuses attaques informatiques, certaines même très violentes.

En me replongeant dans la phase d’investigation, j’ai constaté que certains messages  relatant ces attaques ont été postés sur facebook et twitter.

Au bout de quelques minutes, mon attention est captée par un message diffusé sur la page d’accueil principal, faisant état d’un changement d’affichage dans la gestion des signataires !

Nul doute qu’à la suite de ces attaques, les équipes du site tentent de reprendre le parfait contrôle et (mieux) sécuriser le système.

En effet, le site affirme qu’un nettoyage des signatures frauduleuses est opéré à intervalles réguliers en se basant sur les adresses IP… sauf qu’en restant totalement technique et impartial, je suis loin d’être convaincu par cette manière de procéder :

  • Primo, il s’agit d’une méthode (très) chronophage en tout cas sur les premières heures voire jours de sa mise en place ;

  • Deuxio, avec un outil comme le mien ou bien plus élaboré, cela n’empêcherait malheureusement pas des personnes malintentionnées de contourner les nouvelles sécurités !



CONCLUSION

Je m’arrêterai là concernant cette analyse. Le débat autour du pass vaccinal sera de plus en plus polarisé au gré de l’actualité et des mesures gouvernementales qui seront annoncées. D’ailleurs, quel dîner de réveillon n’aura pas été parasité par ce débat ô combien inflammable ? Beaucoup de gens n’ont pas les grilles de lecture adéquates pour comprendre les enjeux (j’en conviens très complexes). Je fais partie de ces personnes. Mais je reste intimement convaincu de la nécessité d’exercer son esprit critique surtout dans ces temps troublés de #pandémie. La quête de vérité est cruciale face à la #désinformation, arme puissante dans ce monde hyper digitalisé dans lequel nous vivons. Nombreux sont les personnes, groupes, entreprises et gouvernements qui en jouent (extrêmement bien de surcroît) !

J’ose espérer que vous aurez appris quelque chose de cette lecture.

Essayons toujours d’exercer notre esprit critique. Exigeons une transparence sur les systèmes traitant de nos données personnelles ainsi que leur stockage et leur traitement. Depuis le début du #covid, vous avez certainement remarqué une hausse massive du nombre de #cyberattaques et des sites/applications du quotidien victimes de divulgations massives des #donnéescitoyennes. Aujourd’hui, la donnée est le nouvel opium pour de nombreuses entreprises et gouvernements. Mal protégées, elles ne concourent qu’à déliter notre identité numérique (et renforcer la société de surveillance idoine dans laquelle nous vivons.)

NOTA : Si vous souhaitez re-publier cet article dans votre média, reprendre des parties de cette analyse ou aller plus loin vous pouvez me contacter par mail📧 contact[at]saxx[dot]fr

Vous pouvez aussi utiliser ma clé GPG pour échanger avec moi en toute sécurité : 0xB3242203F717B15E

Cybèrement vôtre,

SaxX