Le groupe de pirates informatiques russes Pawn Storm, plus connu sous le nom de Fancy Bear, a tenté de mener des cyberattaques contre la campagne d’Emmanuel Macron, assure le spécialiste de la sécurité informatique Trend Micro.
Des pirates informatiques russes se sont bel et bien intéressés à Emmanuel Macron. Le mouvement En Marche ! du vainqueur du premier tour de la présidentielle française fait partie de la longue liste des cibles du groupe Pawn Storm, également soupçonné d’être à l’origine du piratage des courriers électroniques du Parti démocrate américain. C’est ce qu’affirme un rapport de la société japonaise de sécurité informatique Trend Micro, publié mardi 25 avril.
En février, En Marche ! avait déjà assuré avoir été victime d’attaques par déni de service de la part de pirates informatiques russes avant que cette affirmation soit remise en cause par plusieurs spécialistes. Cette fois-ci, « nous sommes sûrs à 99 % qu’il s’agit d’attaques en provenance de Russie », affirme Loïc Guézo, directeur de la stratégie pour l’Europe du Sud chez Trend Micro, contacté par France 24. Leur but ? Probablement s’introduire sur les comptes e-mails et récupérer des informations sur le candidat.
Des fausses adresses pour tendre des pièges
Les équipes du spécialiste japonais de la sécurité informatique ont repéré quatre noms de domaine Internet (onedrive-en-marche.fr, portal-office.fr, mail-en-marche.fr, accounts-office.fr) qui sont en réalité contrôlés par Pawn Storm. « Ce groupe a mis en place une infrastructure spécifique pour cibler le mouvement d’Emmanuel Macron en mars et avril 2017 », explique Loïc Guézo.
Ces fausses adresses Internet ont servi à tendre des pièges aux membres de l’équipe Macron. « Les pirates informatiques peuvent, par exemple, envoyer un e-mail qui semblent légitime, clamant qu’il y a un problème avec les identifiants du destinataire qui doit les ressaisir à l’écran en cliquant sur un lien qui pointe vers une page d’identification qui a l’air d’être innocente mais qui permet, en fait, de voler le mot de passe », détaille l’expert de Trend Micro. Autre méthode : envoyer un e-mail qui contient un lien vers un document piégé sur le serveur des assaillants russes onedrive-en-marche.fr (qui peut prêter à confusion avec le service de stockage Onedrive de Microsoft). L’ouverture du document entraîne l’installation d’un virus sur l’ordinateur de la victime, permettant d’en prendre le contrôle à distance.
C’est le même modus operandi qui a permis à Pawn Storm, aussi connu sous le nom de Fancy Bear ou APT28, d’attaquer les serveurs de messagerie de la campagne d’Hillary Clinton en avril 2016, de viser l’Agence mondiale de lutte contre le dopage en mars 2016 ou encore de cibler plusieurs entités gouvernementales de pays de l’Est depuis 2014. À chaque fois, ces pirates informatiques mettent en place des faux sites, localisés chez le même hébergeur britannique, après avoir acheté les noms de domaine en utilisant toujours la même boîte mail pour passer commande.
Pawn Storm, APT 28 et le Kremlin
Pawn Storm, sous son nom d’APT 28, a été accusé par les services du renseignement américain d’agir sur ordre du Kremlin. Son nom revient si souvent que ce groupe est devenu le symbole d’une forme de cyber Guerre froide, mêlant piratage informatique et propagande en ligne. Trend Micro, de son côté, refuse d’impliquer directement le Kremlin : « Tout ce que nous pouvons dire est que les activités de ce groupe sont systématiquement alignées avec les intérêts du pouvoir russe », note Loïc Guézo. Dans le cas français, « parmi les quatre favoris au premier tour, Emmanuel Macron est celui qui est le plus éloigné des intérêts russes », note-t-il. Il précise aussi que le mouvement de l’ancien banquier est le seul, à sa connaissance, à avoir été pris pour cible par Pawn Storm durant la campagne électorale.
L’opération contre En Marche ! n’aurait abouti à rien selon Mounir Mahjoubi, responsable de la stratégie digitale du favori au deuxième tour, contacté par Libération et 20 Minutes. Cet ancien président du Conseil national du numérique reconnaît avoir retrouvé des traces de ces tentatives d’attaques, mais « aucune des boîtes mail n’a été hackée ». Il refuse aussi d’accuser un groupe particulier, tout comme Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi). « Le mode opératoire ressemble beaucoup à [Pawn Storm], mais on ne peut absolument pas exclure qu’un groupe très compétent puisse chercher à les imiter », prévient-il.
Ces bémols ne remettent absolument pas en cause la conviction de Loïc Guézo. Selon lui, Emmanuel Macron prend des gants pour ne froisser Moscou au cas où il serait élu président .
france 24
