Le piratage de l’Elysée serait l’oeuvre des... Etats-Unis
Dans son édition du 21 novembre, à paraître demain, L’Express publie une enquête détaillée sur le piratage qui a visé l’Elysée en mai dernier. Une opération qui aurait été conduite par un pays allié : les Etats-Unis.
Le 11 juillet dernier, le Télégramme de Brest révélait que l’Elysée avait été la cible de deux cyberattaques lancées courant mai, dont la seconde quelques jours avant l’investiture de François Hollande, fraîchement élu Président de la République. Interrogés sur le sujet lors des Assises de la Sécurité, début octobre, à Monaco, le sénateur Jean-Marie Bockel et Patrick Pailloux, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), s’étaient refusés à tout commentaire. Selon L’Express daté de ce mercredi 21 novembre, l’assaut est venu des Etats-Unis.
Ingénierie sociale et phishing
Selon nos confrères, «les intrus ont réussi à pénétrer au coeur même du pouvoir politique français». Mais ce n’est pas tout : «ils ont pu fouiller les ordinateurs des proches conseillers de Nicolas Sarkozy», mettant ainsi la main sur des «notes secrètes» ainsi que sur «des plans stratégiques ». Les auteurs de l’article, Charles Haquet et Emmanuelle Paquette décrivent ensuite un processus d’ingénierie sociale tel que le décrivent régulièrement les spécialistes de la sécurité des systèmes d’information - non sans peiner parfois à convaincre de la réalité de que qu’ils décrivent. L’opération aurait ainsi débuté sur Facebook par l’étude du profil de personnels de l’Elysée. De quoi permettre aux attaquants de se faire «passer pour des amis» avant de les inviter à se connecter à une version frauduleuse de l’intranet du palais présidentiel. Un piège qui a permis aux attaquants de collecter les identifiants de leurs victimes. Le même genre de piège qui fait des victimes quotidiennement, auprès du grand public, dans le cadre de campagnes d’hameçonnage massif. Mais là, il s’agissait de phishing ciblé.
Un point du récit de nos confrères interroge : selon eux, «une fois à l’intérieur [de l’intranet de l’Elysée], les pirates ont installé un logiciel espion qui s’est propagé d’un ordinateur à l’autre ». Las, l’attaque par phishing semble, telle qu’elle est décrite, viser l’accès à l’intranet plus que l’infection des postes de travail. Un second point qui a peut-être été omis.
Un code (encore) «très élaboré»
Reste qu’un ver aurait infecté ces postes, un logiciel malveillant «très élaboré». Les esprits chagrins ne manqueront pas de relever que le logiciel malveillant utilisé pour l’attaque de Bercy, début 2011, avait hérité de qualificatifs comparables. Logiciel qui n’a jamais été soumis à l’examen de la communauté de la sécurité informatique. Dans les couloirs, certains experts ont toutefois remis en cause cette version, anonymement, préférant s’interroger sur les pratiques de sécurité en vigueur au ministère des Finances.
Selon L’Express, les plus proches collaborateurs du président alors en exercice auraient été touchés. Mais pas Nicolas Sarkozy qui n’utilisait pas de PC. Et l’Anssi aurait «mis plusieurs jours pour restaurer le réseau de l’Elysée ». Et nos confrères de rappeler à quel point remonter à la source d’une attaque informatique ciblée peut-être difficile. Toutefois, «selon les informations recueillies par L’Express auprès de plusieurs sources, les conclusions [des experts de l’Anssi], fondées sur un faisceau de présomptions, convergent vers le plus vieil allié de la France : les Etats-Unis ».
Une plateforme connue
Un faisceau qui apparaît sérieusement alimenté. Et qui, cette fois-ci, tend à conforter l’utilisation de qualificatifs soulignant la sophistication de l’attaque. Selon nos confrères, «le code malveillant utilisé affiche les mêmes fonctionnalités qu’un ver informatique extrêmement puissant, baptisé Flame ». Pour mémoire, Flame et Stuxnet auraient été, selon le Washington Post, développés conjointement par les Etats-Unis et Israël dans le cadre d’un programme plus vaste baptisé «Jeux Olympiques». En tant que plateforme, Flame aurait d’ailleurs déjà donné lieu à un successeur : Gauss, une plateforme «probablement créée mi-2011 et déployée pour la première fois en août-septembre 2011 », selon Kaspersky.
Contactés par nos confrères, l’Anssi et l’Elysée se sont refusés à tout commentaire.