At the end of the French presidential debate between frontrunners Emmanuel Macron and Marine Le Pen, the National Front candidate (Le Pen) attacked her rival by saying that she hoped that his offshore Bahamian account would not be revealed. On the next day, she repeated this during a morning political talk show but protected herself by adding that there was no evidence. Macron immediately filed a complaint with the prosecution for the dissemination of fake news to influence the outcome of the presidential election, and the Paris Prosecutor’s Office launched proceedings.

The French media quickly tracked the fake news trail, published at 7 p.m. in the American 4chan right-wing forum, and immediately propagated by dozens of pro-Kremlin twitter accounts with the #MacronCacheCash and #MacronGate tags. The rumor spread and was used only two hours later by Le Pen at the end of the debate.

Two documents were published in the forum, which, according to the anonymous user, expose Emmanuel Macron of having an offshore account. The first is an Operating Agreement for a company registered in the jurisdiction of Nevis Island, with Macron’s signature as the beneficiary and the second is a bank letter from a bank in the Cayman Islands, issued to a company with a similar name. Both documents were refuted by Macron’s campaign headquarters, which published his signatures and a graphology expert report backing the forgery claim.

Bivol studied the metadata of the two documents, which show some interesting details, undetected by the French media so far as they have focused on spreading fake news. Both PDFs appear to have been created with professional high-end equipment manufactured by Canon. Here is what the metadata of the company La Providence LLC’s 14-page Operating Agreement contains:

PDF Version                     : 1.4
Linearized                      : No
Create Date                     : 2017:05:03 04:22:12-04:00
Creator                         : Canon iR-ADV 6255  PDF
Modify Date                     : 2017:05:03 04:27:37-04:00
XMP Toolkit                     : Adobe XMP Core 5.2-c001 63.139439, 2010/09/27-13:37:26
Creator Tool                    : Canon iR-ADV 6255  PDF
Metadata Date                   : 2017:05:03 04:27:37-04:00
Producer                        : Adobe PSL 1.2e for Canon
Format                          : application/pdf
Document ID                     : uuid:44930959-0000-2c9e-fc1c-efd800000000
Instance ID                     : uuid:b78218a3-b5dd-48d8-8911-47a87bf3850d
Page Count                      : 14

The specified time of the file’s creation 4:22 a.m. Eastern Standard Time; the file was last modified five minutes later at 4:27 a.m. on May 3, the day of the debate. The scanning machine is a Canon iR-ADV 6255, professional-grade black and white printer. The price of this gadget (new) is USD 29,999 and it looks like this:

The second file is in color and contains a single page. In its metadata we read the following:

PDF Version                     : 1.4
Linearized                      : No
Create Date                     : 2017:05:03 04:23:15-04:00
Creator                         : Canon iPR C700  PDF
Modify Date                     : 2017:05:03 04:27:26-04:00
XMP Toolkit                     : Adobe XMP Core 5.2-c001 63.139439, 2010/09/27-13:37:26
Creator Tool                    : Canon iPR C700  PDF
Metadata Date                   : 2017:05:03 04:27:26-04:00
Producer                        : Adobe PSL 1.2e for Canon
Format                          : application/pdf
Document ID                     : uuid:7a930959-0000-2c9e-fcff-0d6e00000000
Instance ID                     : uuid:510044f5-8850-4054-a6c4-3fb911957f0d
Page Count                      : 1

This file was created just a minute after the previous one, at 4:23 a.m., and was last changed four minutes later. The Canon iPR C700 color printing machine that has scanned the document costs over USD 100,000 and looks like this:

What conclusions can be drawn from these scarce data? If the metadata in these two documents are original and not manipulated, it is obvious that the masterminds of the discrediting claim have access to high-end equipment that is used by large companies or institutions. The time of creation of the two documents, which is only a minute apart, indicates that the two machines were in the same room and they were, most likely, operated by two people. Moreover, the date of the files’ creation that coincides with the day of the debate, contradicts the anonymous source’s assertion that the documents had been sent to many French journalists, but no one paid attention to them.

However, it is important to note that time parameters are not a reliable indicator since such devices are difficult to set up and/or may not be set correctly for local time and the factory default data might have been kept.

More interesting is the unique identifier UUID. In Document ID, it is in version 2 and contains information on the time and the MAC address of the device that is unique to its network card.

The UUID of both devices contains the 2c-9e-fc characters. These are Canon’s MAC addresses, which confirm the printers’ descriptive data. Moreover, it is not a problem to get to the printers themselves, as their addresses are globally unique. The black-and-white printer has a MAC address 2C-9E-FC-1C-EF-D8 and the color one – 2C-9E-FC-ff-0D-6E.

In addition, metadata may be manipulated, which is impossible to prove, but such manipulation would also be a sign of high professionalism, not an amateur forgery concocted by Macron’s opponents and Le Pen’s fans.

It is ironic that Canon in French means cannon – a killing machine.


Canon pour Macron

La fausse nouvelle d’un compte d’Emmanuel Macron dans un paradis fiscal paraît bien trop professionnelle

Vers la fin du débat de l’entre-deux-tours entre Emmanuel Macron et Marine Le Pen, la candidate du Front National a attaqué son adversaire en disant qu’elle espérait qu’on ne lui découvre pas un compte bancaire quelque part aux Bahamas. Le lendemain, elle a répété ceci dans une matinale, mais en indiquant bien, avec prudence, qu’elle n’avait pas de preuves. Macron a immédiatement déposé plainte pour diffusion de fausse nouvelle en vue de détourner les suffrages et le parquet de Paris a ouvert une enquête.

Les médias français ont rapidement remonté le fil de la fausse nouvelle publiée à 19 h. dans le forum américain 4chan, terrain de prédilection pour l’expression des idées l’extrême droite ainsi que pour la diffusion anonyme de toute sorte de théories complotistes. La « nouvelle » a été reprise immédiatement par des dizaines de comptes twitter pro Kremlin avec les tags #MacronCacheCash et #MacronGate. La rumeur se répand pour être utilisée à peine deux heures plus tard par Le Pen en fin de débat.

Le post sur le forum publie deux documents qui, selon le profil anonyme, démontrent qu’Emmanuel Macron possède un compte offshore : le premier représente les statuts d’une société, immatriculée par la juridiction de l’île de Niévès, portant la signature de Macron dans la qualité de bénéficiaire, et le deuxième est une lettre d’une banque des îles Caïmans, délivrée à une société portant un nom similaire. Les documents ont été réfutés par le QG de Macron, publiant ses signatures et une expertise de graphologie prouvant la contrefaçon.

Bivol a examiné les métadonnées des deux documents qui montrent des détails intéressants, pour le moment restés en dehors des regards des médias français qui se concentrent sur la diffusion de la fausse nouvelle. Les deux fichiers PDF semblent être créés au moyen d’un équipement professionnel très haut de gamme, produit par Canon. Voici le contenu des métadonnées du fichier de 14 pages des statuts de la société La Providence LLC :

PDF Version                     : 1.4
Linearized                      : No
Create Date                     : 2017:05:03 04:22:12-04:00
Creator                         : Canon iR-ADV 6255  PDF
Modify Date                     : 2017:05:03 04:27:37-04:00
XMP Toolkit                     : Adobe XMP Core 5.2-c001 63.139439, 2010/09/27-13:37:26
Creator Tool                    : Canon iR-ADV 6255  PDF
Metadata Date                   : 2017:05:03 04:27:37-04:00
Producer                        : Adobe PSL 1.2e for Canon
Format                          : application/pdf
Document ID                     : uuid:44930959-0000-2c9e-fc1c-efd800000000
Instance ID                     : uuid:b78218a3-b5dd-48d8-8911-47a87bf3850d
Page Count                      : 14

L’heure indiquée de création du fichier est 04 :22 temps est américain et le fichier a été modifié une dernière fois cinq minutes plus tard à 04 :27 le 3 mai, jour du débat. Le matériel utilisé pour le scan est une imprimante noir et blanc de type professionnel Canon iR-ADV 6255. Le prix de ce jouet neuf est de 29 999 USD et il ressemble à ceci :

Le deuxième fichier est en couleurs et comporte une page. Ses métadonnées nous indiquent ce qui suit :

PDF Version                     : 1.4
Linearized                      : No
Create Date                     : 2017:05:03 04:23:15-04:00
Creator                         : Canon iPR C700  PDF
Modify Date                     : 2017:05:03 04:27:26-04:00
XMP Toolkit                     : Adobe XMP Core 5.2-c001 63.139439, 2010/09/27-13:37:26
Creator Tool                    : Canon iPR C700  PDF
Metadata Date                   : 2017:05:03 04:27:26-04:00
Producer                        : Adobe PSL 1.2e for Canon
Format                          : application/pdf
Document ID                     : uuid:7a930959-0000-2c9e-fcff-0d6e00000000
Instance ID                     : uuid:510044f5-8850-4054-a6c4-3fb911957f0d
Page Count                      : 1

Ce fichier est créé une minute seulement après le précédent, à 04 :23 et a été modifié en dernier 4 minutes plus tard. L’imprimante couleurs Canon iPR C700 sur laquelle le scan a été fait coûte plus de 100 000 USD et ressemble à ça :

Quelles sont les conclusions à tirer de ces données parcimonieuses ? Si les métadonnées de ces deux documents sont originales et non manipulées, il est évident que les créateurs de l’attaque disposent d’un accès à un matériel haut de gamme, présent dans de grandes sociétés ou institutions.

L’heure de création des deux documents, d’un décalage d’une minute seulement, montre que probablement les deux machines se trouvaient dans la même pièce et que les opérations ont été effectuées très probablement par deux personnes. D’autre part la date du jour du débat contredit l’affirmation de la source anonyme que les documents avaient été envoyés à de nombreux journaliste français dont personne n’y a prêté attention.

Ceci dit, il est important de noter que les paramètres temporels ne sont pas un indicateur fiable car la configuration de ce type de machines est difficile et il est tout à fait possible qu’elle ne le soient pas correctement par rapport au temps et à l’heure locale, gardant par défaut les données de leur fabrication.

Ce qui est plus intéressant, c’est l’identifiant unique UUID. Dans Document ID, il s’agit d’une version 2 et il comporte une information sur le temps et l’adresse MAC de l’appareil, qui est unique pour sa carte réseau.

Les UUID des deux appareils comportent les symboles 2c-9e-fc . Ce sont des adresses MAC du fabricant Canon, ce qui confirme en soi les données identifiant les imprimantes. De plus, il n’y aurait pas de difficulté d’arriver aux imprimantes elles-mêmes, étant donné que leurs adresses sont uniques au plan mondial. L’imprimante noir et blanc a l’adresse MAC 2C-9E-FC-1C-EF-D8, quant à l’imprimante couleur, c’est : 2C-9E-FC-ff-0D-6E

Bien entendu, il est possible que les métadonnées soient manipulées et c’est impossible de le prouver, mais une telle manipulation ne ferait que confirmer le haut degré de professionnalisme, pour arriver au point de créer un UUID conforme, y glissant les adresses MAC d’appareils réellement existants pour tromper l’adversaire. De plus, la source des fichiers PDF comporte beaucoup de références renvoyant à des Canon du type % CANON_PFINF_TYPE2_TEXTOFF

Finalement, la version d’une manipulation est moins probable et il serait plus vraisemblable que les fichiers proviennent effectivement de ces deux appareils. Et dans les deux cas, à savoir des métadonnées authentiques pointant sur des scanners Canon ou bien des métadonnées manipulées, le mode opératoire est professionnel et pas du tout celui d’une affaire montée de façon amateur par des adversaires de Macron et supporters de Le Pen.

Ce qui est amusant, c’est que Canon en français est bien une arme qui tue.

This post is also available in: Bulgarian