Cela à un air de Russie, cela sent la Russie, cela doit donc venir de Russie. C’est l’idée répandue en ce moment dans les forums de sécurité informatique où l’on tente de comprendre qui a rendu public des masses de dossiers chapardés à l’équipe de campagne du président entrant, Emmanuel Macron…

Prenons l’exemple de FireEye, la firme de cybersécurité qui la première a fait le lien entre la Russie et les pirates du parti démocrate américain connus sous les noms de APT28 et Fancy Bear : cette équipe est maintenant le suspect numéro 1 de l’affaire Macron, concernant les fuites de données vendredi dernier, seulement deux jours avant le second tour des élections.


Comme d’autres l’avaient présumés, selon FireEye les liens entre APT28 et l’attaque informatique dont Macron a été victime sont basés sur ce que l’on appelle les “TTP”: Tactiques, Techniques et Procédures. Les pirates de Macron – de leurs tentatives d’hameçonnage à la dissémination publique des données, ce à quoi le compte Twitter de Wikileaks a partiellement aidé – ont utilisé bon nombre des mêmes TTP que ceux utilisés lors de la précédente activité de APT28, comme l’a dit le directeur de la branche cyberespionnage de FireEye, John Hultqvist.

Il y a aussi les deux adresses IP, toutes deux provenant d’Europe, qui ont servi pour des sites d’hameçonnage ciblant la campagne d’En Marche : onedrive-en-marche.fr et mail-en-marche.fr. Ces sites internet, développés en Mars et Avril, étaient à l’origine attribués par Trend Micro (société d’antivirus) à Fancy Bear (qui a doublé Pawn Storm, groupe de cybercriminels) avant les fuites d’information de ce vendredi.

John Hultqvist ne pouvait que tempérer en disant que l’attaque avait “probablement” été menée par APT28, un groupe qui, selon le gouvernement des Etats-Unis, a été démis de la division centrale d’espionnage du Kremlin, la Direction générale du renseignement. “Cet incident a été prémédité et il est survenu à la suite d’une activité d’ingérence qui était récurrente avec APT28″, a déclaré Hultqvist. Il a cependant ajouté qu'”une concentration anormale de cet adversaire sur la sécurité opérationnelle pourrait retarder considérablement la possibilité de lui attribuer ces actions.”

Alors que ces sites de hameçonnage pourraient avoir été utilisés pour pirater Emmanuel Macron et ses soutiens, il n’y a toutefois pas de preuve qu’ils y sont parvenus ou qu’ils ont mené aux fuites. En gros, il n’y a pas d’information liant les actions connues de Fancy Bear et ses domaines informatiques à ce qui est arrivé à En Marche.

L’entreprise américaine de cybersécurité CrowdStrike, qui a rassemblé de nombreuses preuves de la relation entre le supposé groupe russe Fancy Bear et le piratage du parti démocrate américain, n’a pas trouvé de liens concrets (entre Fancy Bear et le piratage d’En Marche) non plus, après un premier examen des données disponibles (CrowdStrike a précisé qu’elle n’avait pu mener une analyse étendue).

La Russie a précédemment nié toute ingérence de sa part dans les élection américaines ou autres campagnes de cyberespionnage. Le Kremlin n’a pas répondu à la demande de commentaire sur l’idée qu’il pourrait être à l’origine du piratage des données du  parti d’Emmanuel Macron En Marche.

 

Les caractères cyrilliques induiraient en erreur ?

 

Un autre élément renvoyait à la Russie dans l’affaire, mais le but pourrait être de brouiller les pistes.
Les caractères cyrilliques n’étaient pas masqués dans les métadonnées des fichiers volés à Emmanuel Macron. On ne voit pas bien pourquoi ils se trouvaient là. Etait-ce une bourde ? Ou une diversion ? Difficile à dire.

Ces métadonnées se trouvaient là parce que les fichiers étaient édités dans une version en langue russe de Microsoft Excel. Il est clair qu’un utilisateur du nom de “Рошка Георгий Петрович/Roshka Georgy Petrovich” est l’auteur de la moitié des saisies, d’après une analyse de Chris Doman chez AlienVault, spécialiste de la cyberattaque. L’entreprise a remarqué que cela pourrait être une fausse information introduite par les pirates (l’équipe d’Emmanuel Macron a fait savoir que des fausses informations étaient mêlées au tout), ou une erreur de leur part, ou même qu’un employé innocent portant ce nom pourrait avoir été pris dans le piratage.

De plus, d’après ce que Chris Doman m’a dit, il n’a “rien vu de définitif” associant les deux domaines informatiques de hameçonnage trouvés par Trend Micro et les données d’En Marche, “bien que cela semble probable.”

Ce qui brouille encore plus les cartes est le fait que le responsable digital d’En Marche, Mounir Mahjoubi, ait indiqué à la presse que l’équipe d’Emmanuel Macron pourrait avoir introduit elle-même de fausses informations sur ses serveurs pour constituer un “pot de miel”: un appât afin d’attirer les pirates et les piéger en les faisant voler des données étiquetées. Le plus souvent, les pots de miel servent de pièges pour traquer les activités des pirates.