brazzik - Fotolia
MacronLeaks, la conséquence d’une sensibilisation insuffisante aux menaces
Les équipes de campagne d’Emmanuel Macron ont bien été piratées. D’importantes quantités de données ont été dérobées. De nombreuses personnes risquent d’être menacées. En cause, notamment, un manque de sensibilisation. Encore et toujours.
Vendredi 5 mai, à quelques heures de la fin de la campagne officielle pour l’élection présidentielle, des pirates ont diffusé, via 4chan notamment, plus de 9 Go de données dérobées aux équipes de campagne d’Emmanuel Macron.
Une demi-surprise, en fait. Car fin avril, dans un rapport sur les activités présumées du groupe Fancy Bear, aussi connu sous les noms d’APT28 ou de Pawn Storm, Trend Micro évoquait des opérations visant le mouvement En Marche ! du nouveau président de la République Française.
Dans un communiqué, les équipes de campagne d’Emmanuel Macron indiquaient de leur côté avoir été visées par « au moins cinq opérations avancées de phishing qui ciblaient assez largement et nominativement les membres de l’équipe de campagne ». Elles expliquaient au passage avoir misé sur la formation ou encore la surveillance des activités réseau pour se protéger. Mounir Mahjoubi, directeur de la campagne numérique de celui qui n’était alors que candidat, assurait à l'époque « qu’aucune de ces boîtes mail n’a été hackée ».
Une sensibilisation insuffisante au phishing
Si les données diffusées juste avant le second tour de l’élection sont authentiques, cette affirmation est erronée : les boîtes de messagerie électronique de Cédric O (trésorier), de Quentin Lafay (plume d’Emmanuel Macron) et des députés Alain Tourret et Anne-Christine Lang ont bien été piratées avec succès. De même que le compte Box de Pierre Person, fondateur du groupe Jeunes avec Macron.
Dans les fichiers de ce dernier, on trouve bien une note de sécurité informatique datant de début 2016. Il y est fait mention des moyens de communication, avec la recommandation d’utiliser Telegram, ou FaceTime plutôt que d’envoyer des messages et de passer des appels en clair. Il est également conseillé de chiffrer les données stockées sur des clés USB.
On trouve par ailleurs, dans l’ensemble des fichiers diffusés, des éléments laissant à penser que certaines personnes ont utilisé le logiciel de messagerie instantanée chiffré Threema. Mais la note relative à la sécurité informatique ne contient pas d’indication sur les risques d'hameçonnage, ni sur le chiffrement des données stockées localement et/ou en mode Cloud.
Des leurres pour ralentir les attaquants
Selon le Daily Beast, les équipes d’En Marche ! auraient cherché à leurrer les attaquants pour, au moins, les ralentir.
Comme le relève, non sans satisfaction, Gadi Evron, patron de Cymmetria, Mounir Mahjoubi avait précédemment expliqué à nos confrères qu’il était possible de « noyer ces adresses de phishing avec de multiples identifiants et mots de passe, des vrais, des faux, de sorte que les personnes derrière ces pages passe beaucoup de temps à trouver » les véritables identifiants.
Pas question, en tout cas, d’aller jusqu’à imaginer que les équipes de campagne d’Emmanuel Macron aient préparé et disséminé de faux documents pour tendre un piège aux attaquants. Dans un communiqué de presse, les équipes d’En Marche ! l’assurent : « les documents provenant du piratage sont tous légaux et traduisent le fonctionnement normal d’une campagne présidentielle ».
Une façon de confirmer que des documents authentiques ont bien été dérobés, et non pas des leurres.
Des motivations troubles
Beaucoup, aujourd’hui, s’interrogent sur les motivations d’une divulgation totalement non structurée. Le corpus de documents divulgué contient beaucoup de fichiers dont la pertinence, pour nuire véritablement à l’image d’Emmanuel Macron, reste largement à démontrer.
Certains fichiers, remontant à 2002, apparaissent dénués de liens avec la campagne et ont été ajoutés au lot en vrac.
Certains, sur Internet, relèvent en outre la présence de métadonnées en Russe dans certains fichiers bureautiques - au nombre de 19 -, semant le doute : ces fichiers ont-ils été falsifiés comme ont pu l’être ceux, diffusés un peu plus tôt, visant à faire croire qu’Emmanuel Macron détiendrait un compte bancaire offshore ?
Russian metadata in hacked e-mails of @EmmanuelMacron any insights, @RT_com @peskov_official ? Who is Рошка Георгий Петрович? #MacronLeaks pic.twitter.com/6MuZ33fw1c
— Anastasia Kirilenko (@anastasiaki) May 6, 2017
Authentiques, maquillés…
C'est à se demander si les pirates n’ont pas cherché, en vain, des éléments compromettants dans toutes ces données collectées entre décembre dernier et fin avril, avant de décider de divulguer l’ensemble dans l’espoir que certains esprits ne s’échauffent, voulant résolument croire à l’existence d’informations au moins embarrassantes dans ce lot.
Devant les caméras de nos confrères de France Info, Mounir Mahjoubi juge d’ailleurs sans ambages que cette opération de la dernière minute « pue la panique ».
New theory, based on latest info about how dull the dump is. They really had nothing interesting, so just packaged everything they could get
— the grugq (@thegrugq) May 6, 2017
... ou complètement faux ?
Durant le week-end, certains internautes ont évoqué la commande d’une drogue de synthèse, par l’une des victimes du piratage, qui aurait été livrée directement à l’Assemblée Nationale. Mais cette accusation apparaît à ce stade plus que douteuse.
La commande aurait en effet été réglée en BitShares. Or le bloc de cette blockchain évoqué dans les documents existe bien, mais il ne correspond à aucune transaction. Il est tout simplement vide. Quant au portefeuille que l'on trouve dans ces "fuites", il est bien référencé mais là encore, son propriétaire n'a fait aucun paiement et n'a reçu aucun fond. Encore plus troublant, le pseudo de ce compte BitShares est un nom et un prénom écrits en Leet, autrement dit, en clair. Or qui irait utiliser un moyen de paiement où toutes les transactions sont publiques, avec son identité réelle, pour acheter des drogues de synthèses illégales ?
@daboloskov @nono2357 @Anarkrypt This block exists on BitShare exchange and the user is recognized with the associated keys, but no transactions pic.twitter.com/FKDnlt5nnv
— Maksym Zaitsev (@cryptolok) May 6, 2017
Dans son communiqué de presse, En Marche ! reconnaît le piratage et le vol de documents authentiques. Mais le mouvement assure en parallèle que « ceux qui font circuler ces documents ajoutent nombre de faux afin de semer le doute et la désinformation ».
Une enquête a été ouverte pour « accès frauduleux à un système de traitement automatisé des données » et « atteinte au secret des correspondances ».
Des milliers de personnes potentiellement vulnérables
Reste que certains documents risquent de menacer directement toutes les personnes impliquées dans les correspondances dérobées et diffusées sans le moindre filtrage. Et pas forcément avec d’éventuelles « affaires ». Il faut également compter avec des milliers d’adhérents et sympathisants des mouvements En Marche ! et Jeunes avec Macron.
De fait, certains fichiers sont des listes contenant une multitude de noms, prénoms, adresses e-mail et numéros de téléphone mobiles. Si ces données sont exactes, il y a là de quoi faire des personnes concernées des cibles de choix pour de nouvelles opérations de phishing.
Et il faut aussi, pour certains, compter avec des risques physiques, de cambriolage en particulier, ou de violences directes : dans le lot de documents se trouvent des photos, prises en intérieur, dans des appartements ou des maisons, assorties des données de géolocalisation produites automatiquement par les smartphones modernes.
Autant d’éléments dont, probablement, peu mesurent la sensibilité. Mais qui plaident en définitive pour l’utilisation élargie du chiffrement, que ce soit pour ses communications ou ses données au repos, y compris avec des outils gratuits comme Cryptomator ou BoxCryptor.