Présidentielle : trois questions sur les soupçons de piratage informatique ciblant En marche !

Une société de cybersécurité affirme qu'un groupe de hackers russes a tenté de déstabiliser la campagne d'Emmanuel Macron, confirmant les dires de l'équipe du candidat.

Emmanuel Macron, lorsqu\'il était ministre de l\'Economie, dans un train entre Bruxelles et Paris, le 29 avril 2015.
Emmanuel Macron, lorsqu'il était ministre de l'Economie, dans un train entre Bruxelles et Paris, le 29 avril 2015. (ELODIE GREGOIRE / REA)

L'équipe d'Emmanuel Macron dénonçait, en février, "plusieurs milliers d'attaques" contre ses structures informatiques. Dans un rapport consulté par Libération et 20 Minutes, lundi 24 avril, la société de cybersécurité Trend Micro confirme que le mouvement En marche ! a été la cible, pendant les derniers mois de la campagne présidentielle, de pirates informatiques identifiés comme appartenant au groupe de hackers russes Fancy Bear. 

Franceinfo explique ce que l'on sait de ces attaques.

Que sait-on de ces tentatives de piratage ?

Entre le 15 mars et le 17 avril, selon Libération, la société Trend Micro "a repéré quatre sites web reproduisant des pages d’accueil de services en ligne Microsoft, avec des adresses destinées à tromper les utilisateurs". Les noms de domaine suivants ont été créés : onedrive-en-marche.fr, mail-en-marche.fr, portal-office.fr et accounts-office.fr. L'objectif de ces noms, dont deux imitent le nom du site officiel d'Emmanuel Macron (en-marche.fr), est d'inciter les destinataires d’un mail frauduleux à se connecter et renseigner identifiant et mot de passe. 

Cela s'appelle du phishing, ou hameçonnage, un mode opératoire très fréquent, "dont le groupe de pirates informatiques [Fancy Bear] est effectivement coutumier", précise Libération. Un autre détail accuse Fancy Bear. Les noms de domaine ont été achetés auprès d’un bureau d’enregistrement allemand "en utilisant la même adresse mail que pour d’autres opérations du groupe" et les sites étaient localisés chez un hébergeur britannique déjà repéré dans des campagnes passées, détaille un responsable de Trend Micro, cité par le quotidien. 

Selon le rapport de Trend Micro, cité cette fois par 20 Minutes, les hackers ont aussi "tenté d’infecter des ordinateurs avec un malware [logiciel malveillant] Javascript [un langage informatique utilisé sur les pages web] à la recherche d’éventuelles failles" de sécurité.

Connaît-on les conséquences de ce piratage ?

L'équipe d'Emmanuel Macron affirme que ces manœuvres n'ont pas eu d'effet. "Ce rapport confirme ce que nous avions identifié depuis le mois de janvier", écrit le mouvement dans un communiqué, publié mercredi. "Au moins cinq opérations avancées de 'phishing' qui ciblaient assez largement et nominativement les membres l’équipe de campagne", avaient été repérées. "Nous sommes cependant en mesure de confirmer qu'aucune donnée de notre campagne n’a été compromise à ce stade" précise le communiqué.

"Certaines personnes ont cliqué sur les liens, mais n’ont renseigné ni identifiant ni mot de passe", explique Mounir Mahjoubi à Libération, et aucune donnée n'a été volée. Le responsable numérique d'En marche ! assure que des habitudes ont été instaurées pour se protéger de ce type d'attaques : surveillance des connexions depuis des adresses IP inhabituelles et absence de fichiers sensibles dans les e-mails, notamment. Le communiqué ajoute que les salariés ont, depuis, notamment été formés à détectés les tentatives de phishing.

Que sait-on du groupe Fancy Bear ?

Ils sont connus sous plusieurs noms : Fancy Bear, Pawn Storm, ou encore APT28 et Sednit. Ils sont soupçonnés par les autorités américaines de travailler directement pour le renseignement militaire russe (GRU). Actif depuis 2004, Fancy Bear n'attire l'attention que depuis trois ans, selon Libération. Sa signature a été repérée "chez des entités gouvernementales et militaires américaines et européennes, des opposants russes à Vladimir Poutine, des militants ukrainiens, des médias [dont le New York Times et Al-Jezira)", liste le quotidien. TV5 Monde compte aussi parmi leurs cibles. La chaîne avait subi une attaque, en 2015, réalisée sous le nom "Cyber Caliphate".

En octobre, Washington a notamment accusé le groupe d'être responsable du piratage des e-mails du Comité national démocrate (DNC) et de ceux du directeur de campagne de Hillary Clinton, publiés par WikiLeaks. Il leur est aussi reproché d'avoir extrait des documents internes de l’Agence mondiale antidopage, révélant l'utilisation de produits par des sportifs olympiques, jamais contrôlés positifs, car couverts par des autorisations à usage thérapeutique. Nombre d'athlètes américains étaient ainsi dénoncés, ce qui avait été perçu comme des "représailles", après l'exclusion des athlètes russes des JO.