Interview Trend Micro : Le MacronLeaks, une opération d’intox exceptionnelle
Loïc Guézo, CyberSecurity Strategist pour Trend Micro, aborde le MacronLeaks. Derrière ce piratage se cache une tentative de déstabilisation d’un processus électoral en France.
Le MacronLeaks a-t-il dévoilé toutes ces facettes sombres ? A priori, non. La récente tentative de déstabilisation visant Emmanuel Macron et son mouvement En Marche ! juste avant le deuxième tour de l’élection présidentielle fait du bruit.
C’est la première tentative de nuisance à grande échelle d’un processus électoral en France (l’élection présidentielle qui plus est).
Une enquête en France est ouverte : l’ANSSI (agence nationale de la sécurité informatique) prend la main sur les sujets techniques pour l’établissement des faits mais c’est la BEFTI (brigade d’enquêtes sur les fraudes aux technologies de l’information) qui mène les investigations policières.
Avec la fin de l’élection présidentielle, Mounir Mahjoubi, responsable de la campagne numérique d’Emmanuel Macron, explique comment des faux comptes ont été volontairement créés (avec de faux codes d’accès) « avec énormément d’informations, pour leur faire perdre du temps, et qu’il y ait un doute permanents sur la véracité des documents récupérés ».
Objectif : ralentir les velléités des assaillants pour percer le système de protection.
Interrogé ce matin par France Inter, il assure que certains faux grossiers, selon lui, ont été partagés lors de la diffusion de ces « MacronLeaks ». Ce qui fournirait quelques éclairages sur les intox propagés et analysés par Trend Micro.
Auparavant, l’éditeur de solutions de sécurité informatique avait publié un rapport sur le groupe de cyber-espionnage Pawn Storm (connu sous le nom de Fancy Bear ou APT28).
Avant le MacronLeaks, ce groupe avait déjà tenté d’accéder aux boîtes mails de l’équipe de campagne d’En Marche !
Il est également suspecté de se trouver derrière divers assauts comme TV5 Monde et le Bundestag en 2015 ou la campagne de Hillary Clinton dans la course à la Maison Blanche en 2016.
Entretien avec Loïc Guézo, CyberSecurity Strategist pour Trend Micro.
(Interview téléphonique réalisée le 10/05/17)
ITespresso.fr : Comment analysez-vous le MacronLeaks ?
Loïc Guézo : Ce MacronLeaks ne porte pas forcément bien son nom. De notre point de vue, ce n’est pas un leaks comme on l’entend traditionnellement.
C’est-à-dire une fuite d’information qui donne lieu à une analyse au préalable, à un filtrage de données nominatives puis à une diffusion grand public pour de véritables révélations.
Ici, nous sommes dans une mise à disposition brutale d’une masse d’informations manifestement obtenue par piratage informatique.
Le timing pour démarrer la diffusion des éléments était très particulier. La propagation a démarré juste avant le début de la période de réserve (1) qui clôt le deuxième tour de la campagne présidentielle (à minuit dans la nuit du vendredi 5 mai au samedi 6 mai) et laissant peu de temps au candidat pris à partie de commenter et aux médias d’informer convenablement les citoyens.
Cette action est davantage perçue comme une tentative de déstabilisation et d’intox qu’un leaks « au sens noble » du terme.
ITespresso.fr : Quel est le contexte de cette attaque ?
Loïc Guézo : Juste avant cette opération MacronLeaks, TrendMicro a publié un rapport d’activité sur le groupe de cyberespionnage Pawn Storm portant sur une durée de deux ans.
Nous avions déjà détecté une attaque de phishing ciblée dans l’équipe d’Emmanuel Macron via Pawn Storm, qui a été confirmée par Mounir Mahjoubi [Directeur de la campagne numérique du mouvement En Marche !]. Elle s’inscrit dans de multiples tentatives de phishing visant le mouvement politique.
Dans le cas du MacronLeaks, cinq opérations de phishing ont ciblé des membres de l’équipe (2). A priori, ce n’est pas l’infrastructure réseau d’En marche ou la messagerie du mouvement qui a été piraté fin avril mais des webmails par des accès personnels.
Un volume de 15 Go de documents décompressés (9 Go compressés) a été propagé avec des mails simples et peu volumineux à analyser.
En l’état actuel des éléments diffusés, on a rien trouvé de compromettant à propos de la probité d’Emmanuel Macron. Il s’agit davantage d’une opération exceptionnelle d’intox visant le candidat.
ITespresso.fr : De votre point de vue, est-ce une véritable tentative de déstabilisation du processus électoral en France ?
Loïc Guézo : Cela ne fait guère de doutes. On peut souligner la concomitance de certaines déclarations troublantes de l’équipe de campagne du Front National comme la question fausssement innocente de Marine Le Pen concernant le faux compte d’Emmanuel Macron aux Bahamas pendant le débat télévisé du deuxième tour (4 mai). Ou le tweet ravageur portant sur le MacronLeaks de Florian Philippot (Vice-Président du FN) à 23h40 le vendredi soir (5 mai).
La diffusion de ce flux d’intox MacronLeaks est un acte délibéré mais on ne connaît pas les véritables auteurs.
Après, sur le timing, on peut avoir plusieurs interprétations : en balançant les éléments par tweets au dernier moment, on pouvait espérer un effet viral décuplé comme un pavé lancé dans la mare.
Mais on peut aussi considérer que, dans la perspective d’une cuisante défaite du Front national à l’élection présidentielle, on décide de lancer un assaut ultime avec la documentation aspirée depuis plusieurs semaines (le piratage serait survenu le 24 avril selon En Marche).
ITespresso.fr : Il faut du temps pour bidouiller l’information collectée en vue d’une rediffusion massive sous forme de fake news…
Loïc Guézo : Les auteurs auraient pu s’y lancer auparavant. Quand on voit les fake news qui ont été diffusées, c’est du brut avec des éléments inventés qui n’ont rien à voir avec la documentation d’origine.
Comme la soi-disante coke commandée par Macron. Ou la pseudo-correspondance entre le directeur des affaires générales d’En Marche qui communique avec un membre de la CIA à propos des Airbus A400M qu’il faudra mettre à la casse une fois l’élection remportée en échange d’avions de transport militaire du concurrent américain Boeing.
Cela tourne à la blague parfois : le pseudo compte CIA.gov copié est attribué à Bill Tremendous [un personnage du film « OSS 117 : Rio ne répond plus » qui sert de correspondant de la CIA au déroutant espion français joué par Jean Dujardin].
On a retrouvé l’exploitation de Pokémon sur fond de mails dans lesquels on a repris les mêmes polices de caractères et des vraies adresses mail En-Marche.fr retrouvées dans les leaks.
Mais la fabrication de fake news portait essentiellement sur la diffusion de tweets d’intox avec des photos en copie d’écran.
Généralement, ce n’est même pas un faux créé à partir d’éléments issus du leaks. C’est une fausse information créée de toute part et qui fait référence au hashtag #MacronLeaks pour être plus facilement partagée.
On trouve aussi dans la masse d’information des archives qui remontent à l’affaire Gemplus entre 2002 et 2004 en lien avec des courriers de Ziad Takieddine [un troublant homme d’affaires franco-libanais qui a trempé dans des scandales politiques]. Transformé en fausse information du type « Macron veut armer Daesh ». C’est du pur délire.
On trouve aussi des fichiers Excel de comptabilité d’En Marche ! intégrant des méta-données en cyrillique qui fait apparaître le nom d’un employé d’une société habilité par le FSB (services secrets russes).
Tout est fait pour brouiller les pistes.
ITespresso.fr : Peut-on associer le MacronLeaks à Pawn Storm ?
Loïc Guézo : En l’état actuel, non. C’est peut-être une manipulation artisanale émanant de mouvements d’extrême-droite, inspirée par Pawn Storm. Le phishing n’étant qu’un des outils dans l’arsenal de Pawn Storm.
Entre le recours simple au phishing, l’usage des données qui paraît un peu bricolo pour un résultat d’impact médiatique tournant au flop, ce n’est pas le mode opératoire beaucoup plus percutant de Pawn Storm.
ITespresso.fr : Après la présidentielle, peut-on s’attendre à des attaques similaires pour les législatives ?
Loïc Guézo : Il faut s’attendre éventuellement à d’autres fuites d’information sur la campagne présidentielle. Il peut y avoir d’autres secousses. Il n’est pas exclu que Pawn Storm prépare quelque chose de son côté.
Pour les législatives, les cibles seraient plutôt les centrales des partis politiques plutôt que les candidats individuellement engagés par circonscription. Peut-être en visant les principaux protagonistes. Le risque me paraît globalement plus faible.
ITespresso.fr : Après les déstabilisations observées par voie électronique aux Etats-Unis et en France, c’est le signe d’une nouvelle menace pour les démocraties ?
Loïc Guézo : C’est une période fascinante car on s’appuie sur les réseaux sociaux, la psychologie humaine, les phénomènes de masse et la manipulation d’opinion publique. C’est susceptible d’influencer les votes.
La prochaine cible sérieuse sera les élections législatives en Allemagne de 2017 avec l’enjeu de la chancellerie.
ITespresso.fr : En tant qu’éditeur de solutions de sécurité informatique, quelles solutions pouvez-vous apporter aux équipes de campagnes dans le cadre d’élections ? Que préconisez-vous ?
Loïc Guézo : Le niveau de phishing est très professionnel, que l’on peut contrer à partir du moment où les mécanismes de l’attaque sont identifiés. Mais le risque zéro n’existe pas.
Un parti politique doit être en mesure de contrôler son empreinte numérique pendant une campagne. A priori, la première sensibilisation réalisée auprès des équipes de campagne semble avoir été bien faîte dans le courant de l’automne 2016 sous la houlette de l’ANSSI.
Si la messagerie corporate d’En Marche via Office 365 était protégée, il faut aller beaucoup plus loin en étendant la sécurité aux accès par les comptes personnels de type Yahoo ou Gmail et recourir à la double authentification quand c’est possible. Une option sécurité & cloud de Trend Micro est disponible dans ce sens pour les grandes entreprises et les PME.
Il faudra peut-être passer par l’interdiction du mélange permissif des comptes pros et persos.
(1) Période de réserve : à deux jours du scrutin, elle induit l’interdiction de toute forme de propagande politique et dure jusqu’à dimanche 20h00 (avec les premières évaluations sorties des urnes qui sortent). Selon le Conseil constitutionnel, elle vise à « garantir la sincérité du scrutin et d’éviter toute forme de pressions intempestives sur les électeurs ».
(2) LeMagIT évoque les boîtes de messagerie électronique piratées du trésorier, de Quentin Lafay (plume d’Emmanuel Macron) et des députés Alain Tourret et Anne-Christine Lang. De même que le compte Box de Pierre Person, fondateur du groupe Jeunes avec Macron.