alphaspirit - stock.adobe.com

Le mouvement En Marche ! visé par des pirates, mais lesquels ?

Selon Trend Micro, le groupe Fancy Bear a visé les équipes de campagne d’Emmanuel Macron. Mais était-ce bien lui ? Et y en a-t-il d’autres ?

Trend Micro vient de publier un rapport synthétisant deux ans d’enquête sur des activités qu’il attribue au groupe Pawn Storm, aussi connu sous les noms de Fancy Bear, APT28, Sofacy, Sednit ou encore Strontium. Parmi celles-ci, on trouve notamment l’attaque de TV5 Monde, initialement revendiquée par le groupe Cyber Caliphate dans lequel l’éditeur ne voit qu’un faux nez de Pawn Storm. Trend Micro explique s’appuyer là sur « des indicateurs partagés par L’Express […] que les autorités françaises ont par la suite confirmées ». Mais l’éditeur fait également référence aux opérations ayant visé le parti démocrate américain, la CDU allemande, ou encore le parlement et le gouvernement turcs. Le tout en s’appuyant largement sur des campagnes de hameçonnage ciblé.

Et justement, selon Trend Micro, Pawn Storm s’est également intéressé aux équipes de campagne d’Emmanuel Macron : le groupe aurait tenté de les abuser en les amenant à consulter des pages Web sur les domaines onedrive-en-marche.fr, mais aussi mail-en-marche.fr, portal-office.fr, ou encore accounts-office.fr.

Un second groupe à la manœuvre ?

Ces quatre domaines ont été enregistrés, entre mi-mars et mi-avril, auprès de 1API GmbH, sous le pseudonyme de Johny Pinch, avec un numéro de téléphone apparaissant français ou ukrainien selon les domaines. Joint par téléphone par la rédaction, le titulaire du numéro français a assuré ignorer tout de l’opération.

Le 26 avril, le registrar concerné avait gelé deux des quatre domaines – ceux finissant en -office.fr –, mais pas les autres ; ce qui est aujourd’hui fait. Après recherche à l’aide des outils de DomainTools, il ne semble pas y avoir d’autres domaines déposés avec ce pseudonyme.

Mais d’autres domaines peuvent avoir été utilisés pour tenter de leurrer les équipes de campagne d’Emmanuel Macron, à commencer par en-march.fr, créé mi-mars chez Gandi, un jour avant la création de onedrive-en-marche.fr. Le domaine apparaît aujourd’hui gelé par le registrar. Dans son parcours, le créateur de ce domaine semble s’être attaché à brouiller les pistes. Un nom de domaine tel que en-marchė.fr pourrait être efficace, mais impossible de le déposer ; il ne serait pas conforme à la charte de nommage de l’Afnic. La pratique consistant à utiliser des caractères spéciaux pour leurrer des cibles n’est toutefois pas isolée, selon F-Secure.

Une attribution toujours difficile

Reste que la prudence, dans l’attribution, semble plus que jamais de mise. Mounir Mahjoubi, directeur de la campagne numérique du candidat, a indiqué à nos confrères de 20 Minutes que les domaines mentionnés par Trend Micro ont bien été observés par ses équipes, mais il se garde de faire le lien avec APT28 ou la Russie, pour le compte de laquelle le groupe est soupçonné de travailler.

Dans un communiqué, les équipes du mouvement En Marche ! assurent avoir été visées par « au moins cinq opérations avancées de phishing qui ciblaient assez largement et nominativement les membres de l’équipe de campagne ». Et d’indiquer au passage avoir misé sur la formation ou encore la surveillance des activités réseau pour se protéger.

Quant à Moscou, Dmitry Peskov, porte-parole de Vladimir Poutine, vient de rejeter les allégations, ajoutant qu’il serait « reconnaissant si [Trend Micro] nous transmettait ses informations afin que nous puissions les évaluer ».

ThreatConnect apporte toutefois de l’eau au moulin de Trend Micro : cet éditeur d’une plateforme de gestion du renseignement sur les menaces mentionne plusieurs éléments « cohérents avec les tactiques d’enregistrement [de noms de domaine] et d’hébergement précédemment identifiées de Fancy Bear ». Et cela également pour un sixième nom de domaine, comme le souligne Lorenzo Franceschi-Bicchierai de Vice, en-marche.co.

Un écosystème prudent

Pour autant, ThreatConnect reste prudent : « sans information additionnelle sur les messages de phishing spécifiquement employés dans cette campagne contre Macron, nous ne pouvons pas confirmer définitivement l’évaluation de Trend Micro ».

De son côté, Vade Secure, spécialiste de la protection de la messagerie électronique, indique n’avoir pas vu passer de courriels pointant vers les quatre domaines mentionnés par Trend Micro. Ce qui n’est guère surprenant, malgré l’étendue de sa base installée, pour une opération à priori particulièrement ciblée.

FireEye explique ne pas avoir « observé directement les indicateurs associés à l’incident de la campagne d’Emmanuel Macron » : « nous ne pouvons pas confirmer l’attribution à APT28 en ce moment ».

Interrogé, Kaspersky Labs a indiqué « ne pas souhaiter commenter » les affirmations de son concurrent. CrowdStrike, qui s’est également largement penché sur le groupe Pawn Storm, s’est contenté de nous expliquer « ne pas avoir d’informations spécifiques à offrir pour le moment ». Même son de cloche chez Palo Alto Networks. Et F-Secure n’a pas répondu à nos demandes de commentaires avant publication.

Les hébergeurs sur l’infrastructure desquels apparaissent s’appuyer les domaines déposés sous le pseudonyme de Johny Pinch, M247 et Host1Plus, n’ont pas non plus répondu à nos sollicitations.

[Mise à jour 27/04/2017 à 18h00] F-Secure a répondu à la rédaction sans avoir d'élément supplémentaire à apporter. C'est également le cas d'Orange qui se dit dans l'impossibilité d'établir de lien entre les quatre domaines déposés avec le pseudonyme Johny Pinch et en-march.fr. Il indique toutefois ne pas avoir observé de campagne de phishing l'utilisant. L'opérateur, qui s'est offert le spécialiste français du renseignement sur les menaces Lexsi, l'an passé, ne s'exprime pas sur liens évoqués par Trend Micro avec le groupe Fancy Bear.

[Mise à jour 02/05/2017 à 12h00] Host1Plus a répondu à nos demandes durant le week-end. Dans un courriel à la rédaction, ses équipes nous expliquent qu'une personne avait souscrit, il y a environ deux mois, à deux services VPS pour héberger mail-en-marche.fr et accounts-office.fr. Ce même individu apparaît avoir créé deux comptes chez l'hébergeur, sous le même nom, ce qui est contraire aux conditions d'utilisation des services de Host1Plus. Les deux comptes ont été créés à partir d'adresses IP différentes, avec des adresses e-mail différentes, des pays d'enregistrement différents, et le paiement a été reçu en Bitcoin. Pour l'hébergeur, tout cela constitue "une activité très suspecte" ; les deux comptes client et les services d'hébergement VPS ont été fermés "pour violation des conditions d'utilisation".  

Pour approfondir sur Cyberdéfense