peshkova - Fotolia

Le mouvement En Marche ! visé par Fancy Bear ? L’Anssi conforte les doutes

Fin avril, Trend Micro affirmait que les équipes de campagne d’Emmanuel Macron avaient été visées par ce groupe aussi connu sous le nom d’APT28. Mais pour Guillaume Poupard, cela aurait pu être n’importe qui.

Fin avril, Trend Micro a publié un rapport synthétisant deux ans d’enquête sur des activités qu’il attribue au groupe Pawn Storm, aussi connu sous les noms de Fancy Bear, APT28, Sofacy, Sednit ou encore Strontium. Parmi celles-ci, on trouve notamment l’attaque de TV5 Monde, initialement revendiquée par le groupe Cyber Caliphate dans lequel l’éditeur ne voit qu’un faux nez de Pawn Storm. Trend Micro explique s’appuyer là sur « des indicateurs partagés par L’Express […] que les autorités françaises ont par la suite confirmées ». Mais l’éditeur faisait également référence aux opérations ayant visé le parti démocrate américain, la CDU allemande, ou encore le parlement et le gouvernement turcs. Le tout en s’appuyant largement sur des campagnes de hameçonnage ciblé.

Mais Trend Micro est allé plus loin. Selon lui, Pawn Storm s’est également intéressé aux équipes de campagne d’Emmanuel Macron : le groupe aurait tenté de les abuser en les amenant à consulter des pages Web sur les domaines onedrive-en-marche.fr, mais aussi mail-en-marche.fr, portal-office.fr, ou encore accounts-office.fr.

La prudence de tout un écosystème

Las, si Mounir Mahjoubi, alors directeur de la campagne numérique du candidat, confirmait alors à nos confrères de 20 Minutes que les domaines mentionnés par Trend Micro avaient été observés par ses équipes, il se gardait bien de faire le lien avec APT28 ou même la Russie, pour le compte de laquelle le groupe est soupçonné de travailler. Dans un communiqué, les équipes du mouvement En Marche ! assuraient avoir été visées par « au moins cinq opérations avancées de phishing qui ciblaient assez largement et nominativement les membres de l’équipe de campagne ». Mais sans aller plus loin.

ThreatConnect a apporté un peu d’eau au moulin de Trend Micro : cet éditeur d’une plateforme de gestion du renseignement sur les menaces a mentionné plusieurs éléments « cohérents avec les tactiques d’enregistrement [de noms de domaine] et d’hébergement précédemment identifiées de Fancy Bear ».

Mais à l’instar d’une grande partie de l’industrie de la sécurité informatique, ThreatConnect est resté très prudent : « sans information additionnelle sur les messages de phishing spécifiquement employés dans cette campagne contre Macron, nous ne pouvons pas confirmer définitivement l’évaluation de Trend Micro ».

Des attaques toujours plus difficiles à attribuer

Et l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’affiche aujourd’hui sur une ligne au moins comparable, sinon plus dure. Dans un entretien avec nos confrères d’Associated Press, Guillaume Poupard, patron de l’Anssi, assure n’avoir observé aucune trace remontant au groupe APT28 dans les attaques qui ont visé les équipes de campagne de l’actuel Président de la République.

Sans réfuter ouvertement les conclusions de Trend Micro, Guillaume Poupard estime toutefois que ces attaques présentaient un niveau de sophistication si peu élevé que « l’on peut imaginer qu’il s’agissait d’une personne ayant agi seule », que « cela pourrait vraiment être n’importe qui ». Pas de quoi, donc, accréditer la piste de Pawn Storm, contrairement au cas de TV5 Monde où le patron de l’agence assure qu’il y avait là de grandes ressemblances « avec ce que l’on appelle collectivement APT28 ».

Ces nouvelles déclarations soulignent surtout, et une fois de plus, le défi que représente l’attribution d’attaques informatiques. Car certains éléments observés autour des attaques ayant visé le mouvement En Marche ! ont de quoi faire penser à un groupe structuré ou rappelent certaines pratiques couramment attribuées au groupe APT28 : l’utilisation de prestations d’hébergement régulièrement souscrites pour certains noms de domaines, plutôt que le piratage d’instances Web d'innocents, ou le recours à des adresses e-mail @mail.com, pour l’enregistrement des noms de domaine utilisés, entre autres.

Une dimension politique toujours plus grande

Mais reste à savoir si des indices permettent effectivement de remonter plus haut vers les acteurs, comme les adresses IP vers lesquelles ont pu être transférées les données initialement dérobées, ou celles utilisées pour administrer les hébergements des pages Web frauduleuses, voire pour commander les services correspondants ou pour déposer les noms de domaines et ouvrir les boîtes de messagerie électronique utilisées à cette fin. Et l'on ne parle pas simplement d'adresses de nœuds de sortie du réseau Tor… Des pistes longues et particulièrement difficiles à remonter. 

En fait, à mesure que se multiplient les publications relatives aux activités de tel ou tel groupe de cyber-délinquants, l’attribution se complexifie mécaniquement : une fois publiques, ces informations peuvent inspirer des pirates isolés répliquant les pratiques de groupes organisés, ou d’autres cherchant simplement à brouiller les pistes. 

En définitive, cette complexité croissante tend surtout à renforcer les dimensions non-techniques de l'attribution. Et le poids de chacune d'entre elles - à commencer par la dimension politique - varie selon celui qui se prête à l'exercice, ou celui qui réfute les affirmations d'un autre en la matière. Dès lors, la parole de sagesse est peut-être à chercher dans les propos du général d'armée (2S) Marc Watin-Augouard, pour qui l'attribution « fait aussi partie d’un jeu potentiellement dangereux consistant à se faire peur pour pouvoir renforcer ses propres moyens ». Une bonne raison de rester « très prudent ».

Pour approfondir sur Cyberdélinquance