L’équipe de campagne d’Emmanuel Macron a été la cible d’au moins cinq cyberattaques depuis le mois de janvier par un groupe de pirates informatiques qui pourrait opérer à partir de la Russie selon plusieurs services de renseignement et entreprises de cybersécurité.

En Marche ! l’a précisé mercredi dans un communiqué, en s’appuyant sur un rapport de la firme japonaise de cybersécurité Trend Micro qui a étudié deux ans de mode opératoire d’un groupe qu’elle appelle « Pawn Storm » mais qui a été baptisé par ses concurrentes d’autres noms tels que « Strontium », « Fancy Bear », « Sednit » ou « APT28 ».

Ce groupe est apparu en 2004 selon Trend Micro (vers 2007 selon Microsoft) et s’est spécialisé dans le vol de données informatiques qu’il utilise pour porter atteinte à la crédibilité de ses victimes.

Dans le cas de Macron, « le seul candidat de la campagne présidentielle française à figurer parmi ses cibles », l’attaque a consisté à envoyer des mails corrompus à des membres de son équipe électorale pour ensuite pénétrer dans le système informatique et tenter de voler des informations. C’est la technique dite du hameçonnage (« phishing »).

« Nous sommes cependant en mesure de confirmer qu’aucune donnée de notre campagne n’a été compromise à ce stade », affirme le communiqué.

La dernière cyberattaque contre le clan Macron date du 17 avril dernier, selon Trend Micro.

Des attaques tous azimuts, un seul groupe

L’intérêt du rapport est qu’il met en relation de nombreux incidents, qu’il attribue à un seul groupe de pirates. En date du 5 avril, c’est le système informatique de la Fondation Adenauer qui a été infiltré. En 2016, George Soros, le philanthrope américain accusé par Moscou d’avoir encouragé les révolutions dans les anciens pays satellite de l’URSS, en a fait les frais. Des mails de sa Fondation ont été diffusés par le site dcleaks.org qui serait lié à « Pawn Storm ». De juillet 2015 à août 2016, c’est le compte de Colin Powell, l’ancien secrétaire d’Etat de George Bush, qui a été hacké.

Le groupe utilise des paravents pour se dissimuler. « Plus d’une fois, Pawn Storm s’est présenté comme des hacktivistes ou des lanceurs d’alerte », écrit la firme japonaise . Dans certains cas, les informations recueillies ont été fournies à des médias afin d’influencer l’opinion publique ou le cours des élections.

La CDU allemande, la Convention du parti démocrate aux Etats-Unis, le bureau du Premier ministre turc, des journaux comme le New York Times ou Hurriyet, les ministères de la Défense de Hongrie ou d’Espagne, les forces armées de Lettonie auraient été ciblés. Ce constat rejoint celui de Microsoft qui déclarait en novembre 2016 que « plusieurs installations de l’Otan et certains pays européens de l’Est » ont été visés « de même que des journalistes, des conseillers politiques et des organisations liées à l’activisme politique en Asie centrale ».

L’attaque qui avait paralysé TV5 Monde en 2015 est aussi attribuée à ce groupe, qui se présentait à l’époque comme un énigmatique « CyberCaliphate ».

Des leurres pour tromper l’internaute

Le groupe utilise une stratégie d’attaque en plusieurs vagues, tirée du jeu d’échecs, qui consiste à avancer plusieurs pions à la fois vers une cible. Contre Macron, quatre vagues de campagnes de messages électroniques piégés ont ainsi été enregistrées par Trend Micro, aux noms de domaines à chaque fois différents. A savoir onedrive-en-marche.fr, (15 mars 2017), portal-office.fr (14 avril 2017), mail-en-marche.fr (12 avril 2017) et accounts-office.fr (17 avril 2017).

Les pirates utilisent d’autres techniques, comme le « tagnabbing », qui consiste à changer l’URL d’un site pendant que l’utilisateur est occupé à visionner sur son ordinateur un autre site internet. Lorsque l’utilisateur revient sur ce site, le site substitué lui demande de retaper son mot de passe pour se reconnecter. « Pawn Storm » se sert aussi de fausses pages d’antivirus, comme « Google Defender » ou « Webmail Outlook » pour tromper l’utilisateur et le faire cliquer sur des liens qui introduisent un virus dans l’ordinateur, la tablette ou le smartphone. Enfin, il utilise des mails avec des titres séduisants (« Russian soldiers quit over Ukraine ») pour attirer le lecteur.

(Google Defender)

(Webmail Outlook)

Des soupçons mais pas de preuves

Mais qui a les moyens pour mener autant d’attaques ? Le 7 octobre dernier, le Département de la sécurité intérieure aux Etats-Unis et le bureau de la National Intelligence avaient placé la barre très haut, affirmant dans un communiqué « que seuls les responsables les plus élevés de la Russie peuvent avoir autorisé ces activités ». Une accusation démentie par le Kremlin, qui demande des preuves, et par Vladimir Poutine qui parle d « hystérie ».

Trend Micro se garde bien d’accuser la Russie dans son rapport. Mais il y a des indices, déjà relevés par la firme américaine FireEye. Le premier est que les principales victimes de ces attaques sont les Etats-Unis et leurs alliés, les dissidents russes ou des militaires ukrainiens pro-occidentaux. Dans le cas d’Emmanuel Macron, la Russie pourrait juger opportun de décrédibiliser un candidat désireux de relancer l’Union européenne et pas de le quitter, comme le prône Marine Le Pen.

Un autre indice est que, dans l’affaire qui concerne TV5 Monde, l’enquête a démontré selon L’Express, que des lignes de codes ont été tapées sur un clavier cyrillique et à des moments correspondant aux heures de bureau à Saint-Pétersbourg et à Moscou.

Stefan Meister, spécialiste de la Russie dans le think tank Deutsche Gesellschaft für Auswärtige Politik (DGAP), a récemment déclaré au journal Le Monde, qu’il ne doutait pas que la Russie se soit lancée dans une opération de propagande à partir de 2012-2013, soit par des cyberattaques, soit par de la propagande classique, soit par la manipulation des commentaires en bas des articles publiés par les médias européens. « 2012, c’est l’année où Poutine a été réélu président pour la deuxième fois », dit-il. « Or ce retour au pouvoir s’est fait dans des conditions difficiles, celles des grandes manifestations de l’hiver 2011-2012. A ce moment-là, Poutine a pris conscience du danger que représentaient pour lui non seulement la montée d’une opposition en Russie, mais aussi le fait que celle-ci soit soutenue par les pays occidentaux. Il a donc décidé de contre-attaquer ».

Mais tout cela ne démontre pas l’implication du Kremlin. Malgré les accusations, les preuves n’ont jamais été fournies publiquement par les pays occidentaux. Ou bien manquent-elles ?