Quand les cyberattaques menacent de faire dérailler les prochaines élections présidentielles, et pèsent au même titre que la pandémie de coronavirus sur nos démocraties<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
vote élections américaines menaces
vote élections américaines menaces
©Reuters

12 CYBER-MENACES PRÉOCCUPANTES

De la désinformation ciblée aux données manipulées, ce sont bien les problèmes de cybersécurité qui préoccupent le plus les responsables électoraux.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico.fr : Le site Internet Wired dénombrait récemment 12 menaces immédiates qui pourraient contrevenir au bon déroulement de la future élection présidentielle américaine. Des cybermenaces comparables pourraient-elles également impacter les prochaines élections françaises ?

Franck DeCloquement : Les pratiques électorales, le contexte et les modalités de votes ne sont pas les mêmes en France et en Amérique. La grille de lecture américaine n’est donc pas superposable à la nôtre. Et si de nouvelles attaques perturbatrices en provenance d’une puissance étrangère survenaient malgré tout dans le registre de la déstabilisation électorale, il est fort à parier qu’elles prendraient sans doute de nouvelles formes, plus ourdies et ingénieuses, que celles déjà identifiées durant les précédentes campagnes.

Les grands acteurs de la Tech américaines, ainsi que les agences de renseignement ont depuis repéré les agresseurs agissant subrepticement en commandite à travers les plateformes sociales. A en croire la presse américaine, Facebook aurait par exemple récemment détruit un réseau de désinformation et de propagande noire lié aux renseignements russes, à la fin du mois de septembre dernier. Twitter aurait également démantelé de son côté des tentatives d’actions subreptices iraniennes de même nature. Non seulement les tactiques subversives et déstabilisatrices des attaquants ont évolué, mais d'autres adversaires étrangers ont clairement appris le B-A BA des modalités du « manuel d’action Russe », pour agir activement sur la couche sémantique du cyberespace, dans le champ psychologique.

Comme le sénateur américain Mark Warner s’en est d’ailleurs fait le porte-voix à plusieurs reprises aux Etats-Unis, de telles interventions déstabilisatrices sont très économiques et judicieuses sur le plan financier pour les ennemis des Etats-Unis. Prenant à cet effet la Russie comme exemple dans le cadre de sa démonstration, celle-ci n’aurait dépensé pour mener ce type d’offensive digitale que quelques millions de dollars pour délivrer son attaque de 2016. Soit une toute petite fraction budgétaire du coût total d'un seul chasseur-bombardier F-35 américain. Un retour sur investissement (ROI) tout à fait incroyable en l’occurrence, pour imposer ses intérêts stratégiques fondamentaux. Quoi qu’il en soit, la Russie demeure la principale cybermenace pesant sur la prochaine élection présidentielle américaine. Et parmi ces prédateurs identifiés par les centrales en charge de protéger la sécurité nationale, opère « Fancy Bear », ou « l’ours raffiné » en français, qui est le sobriquet inoffensif attribué à un dangereux bras cyber-armé du renseignement militaire russe. Connue plus formellement sous le nom de code « APT28 » ou « Pawn Storm »… Cette division spéciale identifiée comme une menace avancée persistante, car elle s’en prend sans distinction aux grands groupes industriels, aux institutions étatiques et aux petites entreprises, à des fins d’espionnage industriel et de déstabilisation politique.

En 2016, Fancy Bear avait par exemple frappé à deux reprises au moins l’élection présidentielle américaine : le groupe avait d’abord infiltré le comité national des démocrates, puis avait piégé le directeur de campagne de la candidate Hillary Clinton. Grâce à ces accès privilégiés, le groupe « APT28 » avait ainsi obtenu et publié dans la foulée des giga-octets d’emails confidentiels pour influencer les résultats de l’élection. L’année suivante, Fancy Bear était ainsi parvenu à infiltrer puis à perturber de la même manière la campagne d’Emmanuel Macron en France.

D’après les chercheurs de Microsoft, dont Wired se fait l’écho actuellement dans ses colonnes, cette division militaire russe (qu’ils nomment « Strontium »), tenterait en outre de réitérer ses exploits passés sur l’élection présidentielle américaine de novembre prochain. Elle multiplierait  ainsi à l’envi ses tentatives d’intrusions depuis le début l’année 2020. Mais les spécialistes citent également les occurrences d’attaques chinoises et iraniennes, même si la Russie se distingue nettement de son côté par la finalité de ses manœuvres dans le cyberspace. Au-delà de la collecte d’informations, l’unité « APT28 » a un objectif beaucoup plus destructeur : déstabiliser politiquement et sociétalement les pays qu’elle cible par une guerre de l’information.

Quelles sont au juste ces 12 menaces identifiées outre Atlantique ?

Ce mercredi 21 octobre, lors d'une très brève conférence de presse organisée à la hâte au siège du FBI, quatre hauts responsables américains de la sécurité nationale ont annoncé solennellement qu'ils avaient des preuves que deux adversaires étrangers, l'Iran et la Russie, avaient obtenu des données électorales américaines, et semblaient essayer de diffuser de la désinformation sur l'élection. La semaine passée aux Etats-Unis a vu des événements presque quotidiens déclencher des alarmes potentielles sur la façon dont les élections en cours se tiennent aux États-Unis. Le directeur du FBI, Christopher Wray, a profité de l'événement pour souligner à quel point les responsables en charge de la sécurité nationale des Etats-Unis sont unis et concentrés sur la protection des élections, rappelant les innombrables façons dont l'élection pourrait mal tourner dans les semaines, les jours et les heures restantes de la campagne… Et à ce titre, les forces de l'ordre et du renseignement au cours de l'année dernière ont mis en évidence une douzaine de scénarios spécifiques, qui les inquiètent particulièrement à l'approche du jour du scrutin fatidique. Ces préoccupations se répartissent grossièrement en deux catégories : les attaques techniques sur les données ou l'accès, et les opérations de déstabilisation par l'information en ligne.

De telles attaques viseraient à atteindre l'un des trois objectifs que les responsables de la sécurité électorale qualifient de « subversion », de « perturbation » et de « diffamation ». Ceux-ci couvrent respectivement le champ des tentatives pour modifier purement et simplement le résultat des votes, de limiter ou d'entraver la capacité des citoyens à voter, et de saper en premier lieu la confiance des électeurs dans la légitimité de l'élection et du vote. Alors que la pandémie de SARS-CoV-2 a très largement compliqué la tenue des élections de cette année, au moins 33 millions d'Américains ont d’ores et déjà voté à moins de deux semaines du scrutin, dépassant très largement le vote anticipé de 2016. Cette énorme participation préalable réduira considérablement le risque et l'efficacité de toute attaque qui viserait la date du 3 novembre elle-même.

Même si cette liste incomplète n'est guère exhaustive, les scénarios suivants décrivent au plus rapide les différents types de menaces qui préoccupent particulièrement les responsables de la sécurité électorale, pour les dernières semaines de la campagne :

- 1.Les ransomware :

Cette année, le volume des attaques par l’usage de ransomwares a dépassé les évaluations les plus hautes en matière de menaces, anticipées par les spécialistes de la sécurité électorale. De très nombreuses collectivités locales, et des dizaines de villes comme Atlanta ou Baltimore ont été frappées par ces attaques. Soulignant l’extrême fragilité et l’obsolescence patente d'une très grande partie des infrastructures informatiques des Etats-Unis. Un moyen très simple et rustique recommandé aux responsables électoraux pour minimiser la menace des ransomwares est d’adopter une technologie particulièrement démodée : imprimer les listes électorales et les registres de vote sur support papier…

- 2.La manipulation préalable des données électorales :

L’un des moyens pour saboter efficacement le vote serait de modifier à l'avance les bases de données d'inscription des électeurs. Par exemple en changeant les noms, les adresses ou les codes postaux de manière à semer une confusion totale lors du scrutin. « Une attaque pré-électorale non détectée pourrait ainsi altérer les listes électorales, créer une confusion et d’énormes retards, et à une échelle suffisante, compromettre la validité de l'élection », a averti l'année dernière John Sebes, le directeur de la technologie électorale de l'OSET. Les pirates informatiques russes sont connus pour avoir déjà pénétré les systèmes électoraux d'au moins deux comtés de Floride en 2016. L’une des forces du système de vote américain demeure la décentralisation de ses listes électorales. Les pirates informatiques pourraient peut-être toucher une seule juridiction, ou même une poignée d’entre elles. Mais ce n'est pas comme s'il y avait un accès direct à une seule base de données nationale des électeurs, qui pourrait invalider le vote pour tout le monde.

- 3.L’interruption le jour du scrutin :

La pandémie de Covid-19 signifie qu'il y aura moins de bureaux de vote ouverts dans de nombreuses régions du pays, qui reposent toutes sur un large éventail de technologies de vote. Cela augmente les chances que des bugs techniques gèlent les systèmes, ralentissent les files d'attente et découragent finalement les électeurs de participer. Déjà cette année, les citoyens géorgiens ont été confrontés à des files d'attente le premier jour du vote anticipé de l'État qui ont duré 10 heures ou plus, après que les problèmes de bande passante aient ralenti le rythme du système d'enregistrement à 10 électeurs par heure. Le journaliste spécialisé sur les problèmes de sécurité Kim Zetter a qualifié ces dispositifs d'enregistrement des électeurs (connus sous le nom de « registres électroniques »), de « trou béant de sécurité que tout le monde ignore ». Ils n'adhèrent à aucune norme uniforme ni à aucune certification fédérale, et un document de la NSA divulgué a montré que la Russie avait ciblé au moins un fabricant de livres de sondage électroniques dans le cadre de son attaque de 2016.

- 4.Lamanipulation réelle des votes :

En 2016, alors qu'il observait les renseignements russes enquêter sur les réseaux de vote américains, le gouvernement américain a communiqué ce qu'il considérait comme une « ligne rouge » claire : les États-Unis ne soutiendraient aucune tentative de la Russie de modifier les totaux réels des votes en l'élection. Là encore, la nature décentralisée et la diversité des systèmes électoraux américains servent de protection. Et ceci, compte tenu du nombre de technologies différentes à maîtriser, et du nombre de juridictions différentes devant être ciblées. Il serait extrêmement difficile d'affecter suffisamment de votes pour changer le sens des résultats de l'élection.

Les craintes ont longtemps existé sur l’insécurité des myriades de technologies de votes utilisés par les milliers de systèmes électoraux indépendants du pays. L’inquiétude actuelle porte particulièrement sur les « dispositifs de marquage des bulletins de vote ». Ces machines à écrans tactiles qui impriment un reçu qui est ensuite numérisé par un autre appareil. Ces appareils seront largement utilisés cette année, mais sont considérés comme particulièrement problématiques car les codes-barres propriétaires utilisés sur les reçus le rendent difficile. C’est donc aux électeurs eux-mêmes de vérifier que leurs votes ont correctement  été enregistrés comme prévu.

Le professeur de l'Université du Michigan, J. Alex Halderman, a passé ces dernières années à s'inquiéter des faiblesses et des vulnérabilités inhérentes aux systèmes électroniques centralisés utilisés dans certains États américains. « Si la Russie ou d'autres attaquants peuvent s'introduire dans le système de gestion des élections d'un État, ils peuvent diffuser des logiciels malveillants sur les machines à voter dans toute cette juridiction et potentiellement modifier tous les enregistrements numériques », a déclaré Halderman dans une interview à la radio cet été. « C'est la menace qui m'empêche vraiment de dormir la nuit. »

Une élection en Pennsylvanie en 2019 a d’ailleurs démontré à quel point tout pouvait très mal tourner, et cela, même sans ingérence extérieure… Les archives électroniques du comté de Northampton ont montré que le candidat démocrate local n'avait remporté que 164 votes sur 55000 bulletins de vote. Heureusement, la juridiction disposait de sauvegardes papier, et était en mesure de recomposer correctement les votes réels. Personne n'a encore compris ce qui n'a pas fonctionné, mais les responsables ont blâmé un bug logiciel…

- 5.Jouer avec les rapports :

Plutôt que de tenter de modifier les votes réels, les pirates informatiques pourraient également cibler ceux qui rapportent les totaux des votes, le soir même des élections - en essayant de manipuler les résultats sur les sites Web du secrétaire d'État, ou les totaux des votes comptabilisés par des services des différents fils d’agences comme AP. Une telle attaque, si elle était menée subtilement, pourrait saper la confiance dans les résultats finaux, alors que les Américains remettent traditionnellement en question ces étranges fluctuations nocturnes des résultats d’élections, et ces changements dans les totaux d’évaluation de votes non officiels. Encore plus simple, à certains égards, serait simplement de détourner des sites Web d'organisations de presse ou des comptes de médias sociaux pour envoyer de faux résultats ou des bulletins d'informations. Il y a un précédent: en 2013, le fil Twitter de l'AP a été piraté pour envoyer un tweet signalant une explosion à la Maison-Blanche, un rapport qui a rapidement effacé 136 milliards de dollars de gains boursiers ce jour-là alors que les investisseurs nerveux s'inquiétaient d'un incident terroriste. Cela n'a pris que six minutes. Le ministère de la Justice a ensuite inculpé l'Armée électronique syrienne pour cet acte de cyber-vandalisme.

- 6.Les attaques de déni de service distribuées :

À la fin du mois de septembre, la CISA (l'agence de cybersécurité de l’infrastructure électorale américaine) et le FBI ont publié une annonce conjointe mettant spécifiquement en garde contre la possibilité que des attaques par déni de service (DDoS) puissent perturber l'infrastructure électorale. L'année dernière, des attaques DDoS distinctes ont ciblé des sites Web utilisés à la fois par le Parti travailliste et le Parti conservateur, pendant les élections générales au Royaume-Uni. Dans une élection serrée qui se déroule sur une période de temps déterminée, mettre un site Web hors ligne ou en ralentir l'accès, même pendant quelques heures, pourrait nuire au vote et entraîner des retards conséquents dans certains bureaux. Et ralentissant par là même, la communication des résultats. Cependant, la CISA et le FBI ont souligné que même au beau milieu d'une attaque DDoS, l’intégrité des données sous-jacentes des électeurs ou le décompte des votes, resteraient intacts.

- 7. Les attaques sur les infrastructures :

Alors que l’éternel épouvantail dans le registre des « cyber-scénarios du pire » est toujours celui d’une attaque avancée contre les infrastructures physiques (attaque contre le réseau électrique, les pipelines, l'eau ou d'autres systèmes clés), la bonne nouvelle réside peut-être dans le fait que de telles attaques restent à la fois incroyablement rares, et largement le fait d'une poignée d’adversaires étrangers très avancés. Réussir une telle attaque serait extrêmement improbable, compte tenu de la nature de l'infrastructure américaine qui rendrait fondamentalement impossible la réalisation de celle-ci à grande échelle. Mais un attaquant aux méthodes sophistiquées pourrait certainement tenter de causer des problèmes dans une ville critique de l’un des états-charnières (swing state) pour le résultat final du vote.

- 8. Les actions de « Hack-and-Dump » :

Les périodes de campagnes présidentielles ont toujours été ciblées par les services de renseignement étrangers (la Chine a piraté à la fois les campagnes de John McCain et de Barack Obama en 2008). Mais ce n'est qu'à partir de l'attaque de 2016 par la Russie qu’on a pu réaliser qu'un adversaire étranger pouvait transformer en arme, un tel espionnage de campagne, à des fins réputationnelles. Cette année a vu les avertissements de Microsoft se répéter concernant la détection d’attaques contre la campagne de Joe Biden et de Donald Trump, en provenance d'acteurs liés à la Russie, à la Chine et à l'Iran. Et ceci, bien que l’on ne sache au juste si ces attaques ont été menées à des fins de renseignement pur, ou pour collecter des informations embarrassantes qui pourraient être diffusées opportunément à l'approche du dénouement des élections. Alors que les médias d'information américains tentent de gérer ces ragots plus mûrement qu'ils ne l'ont fait en 2016, un « hack and dump » d'informations légitimes et dignes d'intérêt serait presque irrésistible…

- 9.Les informations de vote trompeuses :

Voter cette année au beau milieu de la pandémie de coronavirus, forcera des millions d'Américains à changer leurs habitudes en la matière. Les bureaux de vote bougent, et de plus en plus d'États adoptent le vote par correspondance. Introduisant par là même des procédures inconnues que les électeurs devront pourtant suivre de très près, pour que leurs bulletins de vote soient pris en compte. Ces nouvelles complexités logistiques introduisent la possibilité pour les adversaires – en utilisant le relai des médias sociaux, les sites Web ou même les cartes postales et les courriers à l'ancienne – de confondre ou de détourner les électeurs. Le FBI et la CISA ont émis des avertissements selon lesquels les techniques de phishing informatique standard, telles que les domaines Web usurpés et les URL trompeuses, pourraient être utilisées pour induire en erreur les électeurs qui recherchent en ligne des informations sur les délais de vote, les lieux de vote, les différents résultats ou l'une des myriades d’autres questions qui se posent à propos du vote. Twitter, Facebook et les autres plateformes sociales en ligne sur le Web ont également été particulièrement sélectives en supprimant tout bonnement les informations trompeuses sur l'élection, allant même jusqu’à sanctionner les propres du président des Etats-Unis lui-même sur Tweeter...

- 10.La désinformation ciblée sur certains électeurs :

La désinformation liée aux élections est devenue un problème permanent pour tous les candidats. Mais aussi pour les plateformes technologiques et les responsables de la sécurité des votes. A l’image des publipostages trompeurs, les sondages tronqués et autres tactiques fallacieuses qui font depuis toujours partie intégrante des campagnes « hors ligne ». Comme l'a révélé récemment l'Observatoire Internet de Stanford dans un récent éditorial : « Les Russes perfectionnent désormais ces techniques dans le monde entier. Et principalement pour façonner le discours public sur des sujets d'intérêt géostratégique pour la Russie, tels que la guerre civile syrienne en cours ». Le GRU a créé une grande variété de fausses entités, telles que le « Inside Syria Media Center » : un groupe de réflexion inexistant qui a pourtant réussi à promouvoir des récits pro-Assad et anti-occidentaux. Des individus liés à « l’Internet Research Agency » étaient évidemment positionnés derrière un site Web de façade appelé « Peace Data », utilisant de vrais journalistes et écrivains américains pour cibler les Américains de gauche.

Alors qu'une menace très médiatisée comme celle des « deepfakes » n'a finalement pas réussi véritablement à se matérialiser, les « cheapfakes » (ces vidéos grossièrement manipulées et éditées qui induisent les téléspectateurs en erreur), ont elles très largement proliféré sur la toile. Comme l'a noté le blog « Lawfare », à la fin de l'été dernier en seulement deux jours, les républicains Steve Scalise, ainsi, que le gourou des médias sociaux de la Maison-Blanche Dan Scavino ont chacun tweeté différentes vidéos ouvertement trompeuses à des fins électoralistes…

- 11.Les menaces directes proférées sur les réseaux sociaux :

L’un des aspects très souvent omis concernant l'attaque de la Corée du Nord contre « Sony Pictures Entertainment » et sa comédie déjantée réalisée par Seth Rogen en 2014, « The Interview », était la série de menaces terroristes proférées contre les cinémas qui devaient projeter le film. Les hackers nord-coréens avaient posté un message menaçant sur « Pastebin », invoquant les attentats du 11 septembre : « Nous vous le montrerons clairement au moment et aux endroits mêmes où ce film sera projeté, y compris à la première ». Actuellement, de telles menaces diffusées en ligne pourraient être utilisées pour décourager les électeurs de se rendre aux urnes. Que ce soit au niveau national ou dans des circonscriptions spécialement ciblées, afin de réduire ainsi le taux de participation à dessein…

- 12.Le tweeter en chef : Bien qu'aucun responsable gouvernemental ne le profère publiquement, l'une des plus grandes craintes dans les cercles autorisés de la sécurité électorale est le « @realdonaldtrump » lui-même. Le président et le vice-président ont toujours refusé de s'engager dans une transition pacifique du pouvoir. Et l’actuel locataire de la Maison-Blanche a fait pression à plusieurs reprises ces dernières semaines pour qu'une « armée » de ses partisans surveille les bureaux de vote, et prévienne ainsi la fraude. Donald Trump profiterait presque certainement de tout incident majeur dans l’organisation du vote, pour remettre en question l'ensemble de l'élection. Et peut-être même avant que les résultats ne soient connus. Soulevant ainsi la question cruciale sur la légitimité des résultats.

En conclusion, et c’est peut-être là aussi la plus grande leçon concernant « l’interférence » de la Russie dans les élections Américaines de 2016, après toutes ces années de tergiversations ou les industries de la cybersécurité et de la cyberdéfense se sont concentrées sur la sécurisation des infrastructures critiques (des réseaux électriques et des systèmes d'eau, des réseaux de contrôle du trafic aérien aux pipelines eux-mêmes), la première grande cyberattaque – le « Cyber ​​Pearl Harbor » tant redouté – était en réalité centrée sur un élément essentiel de nos sociétés démocratiques resté longtemps sans protection : la confiance de l'Amérique en elle-même…

Y a-t-il eu dans le passé des cybermenaces qui ont empêché le bon déroulement d’une élection française ? Comment cela a-t-il été traité ?

Bien que notre mémoire collective soit sélective et demeure finalement très courte – et ceci, compte tenu de nos limites attentionnelles individuelles en contexte démocratique – il y a en effet eu par le passé des cyberattaques notables, visant très clairement à déstabiliser et à influencer les résultats de la dernière élection présidentielle française.

Pour mémoire, un groupe de pirates informatiques de haut niveau, qu’un nombre croissant d’experts estiment depuis liés à l’Etat russe, s’était ingénié à à perturber la campagne du candidat Macron. Ce groupe était par exemple parvenu à infiltrer puis à perturber la campagne d’Emmanuel Macron en France. La société de sécurité informatique Trend Micro avait révélé pour l’occasion que ces pirates, agissant sous son acronyme « Pawn Storm » — également connu sous le nom de « Fancy Bear » ou « APT28 », comme nous le rappelions déjà plus haut —, avait enregistré plusieurs sites Web « proxy », utilisés pour tenter d’accéder aux boîtes à lettres électroniques de la campagne « d’En marche ! » Pour mémoire, ce groupe de pirates est également bien connu des experts Français pour être fortement soupçonné d’être les prédateurs agissant derrière les attaques ayant visé TV5 Monde, et le Bundestag en avril et mai 2015. Selon Trend Micro, Pawn Storm avait cependant mis en place une opération dite de « phishing » (autrement dit « d’hameçonnage »), visant directement les membres de l’équipe en campagne de l’ancien ministre de l’économie. Cette technique consiste à faire parvenir à des cibles des imitations de pages de connexion qu’elles utilisent d’ordinaire pour se connecter à leur propre messagerie électronique. Ces imitations piégées, et contrôlées par les pirates, permettent à ces derniers de récupérer sans grande difficulté, les identifiants de connexion et divers mots de passe pour pénétrer le système cible. La crédulité et les vulnérabilités humaines étant traditionnellement le maillon faible des meilleurs dispositifs techniques, les pirates par leur « modus operandi » cherchent naturellement à mystifier leurs cibles par la ruse.

Selon Trend Micro, quatre sites avaient été enregistrés par ce groupe de pirates pour cibler la campagne d’ « En marche ! » : « onedrive-en-marche.fr » ; « portal-office.fr » ; « mail-en-marche.fr » ; « accounts-office.fr ». Les noms de ces quatre sites ont été conçus pour ressembler le plus possible à des services utilisés par la campagne officielle, ou du moins à des sites perçus comme légitimes, afin de déjouer la vigilance des cibles visées. Les noms des sites ont tous été enregistrés avec une seule et même adresse électronique. Trois de ces noms de site ont été enregistrés avec un numéro ukrainien — non attribué — et l’un d’entre eux avec un numéro français. Les noms de domaines repérés alors par la société Trend Micro, avaient été enregistrés entre le 15 mars et le 17 avril 2017. Un très faible intervalle qui contrastait grandement avec l’attaque menée précédemment contre le Parti démocrate américain : dans ce dernier cas, les pirates étaient restés infiltrés un an durant dans ses réseaux avant d’être repérés. Pawn Storm est loin d’être un groupe inconnu : actif dans la sphère de l’espionnage numérique depuis plus d’une dizaine d’années, il a progressivement musclé ses actions de pénétration informatique. La campagne d’Emmanuel Macron étant très loin d’être la seule à en avoir fait les frais à ce jour.

Selon Trend Micro, la CDU d’Angela Merkel, le gouvernement et le parlement Turcs, mais aussi la boîte à lettres électronique de l’ancien secrétaire d’Etat américain Colin Powell, les forces militaires de nombreux pays européens (Lettonie, Roumanie, Portugal, Grèce), des chancelleries (Emirats arabes unis, Qatar, Arménie…), des médias (New York Times, Buzzfeed, le quotidien turc Hurriyet ou Al-Jazira) et des Russes (« journalistes, développeurs informatiques, politiciens, chercheurs et artistes ») figurent aussi parmi les cibles visées par le groupe de pirates informatique. Une constellation de cibles où se dessinent nettement en creux pour de nombreux spécialistes, la poursuite des intérêts stratégiques du Kremlin. Faut-il pour autant voir la main du Kremlin dans les attaques ou les tentatives d’attaque repérées par Trend Micro ? L’attribution des attaques n’est pas une science exacte et dispose de nombreuses limites à ce jour. Les actions de biais sous « faux drapeaux », ou « faux nez », étant l’une d’entre elles. « Nous travaillons à commenter les modes opératoires, le “comment” plutôt que le “qui”. Pour nous, Pawn Storm est un groupe d’une grande puissance, lié aux intérêts russes. Savoir à combien de niveau de décision se situe M. Poutine de la personne qui code, si c’est le cas, ce n’est pas notre souci », avait expliqué Loïc Guézo de Trend Micro, à cette époque. En matière de sécurité informatique, l’attribution est un processus technique très complexe et risqué, d’autant que les techniques de camouflage sont de plus en plus avancées comme nous l’indiquions plus haut. Des précautions oratoires que ne prennent d’ailleurs pas toutes les entreprises de cybersécurité. « Crowdstrike », l’un des homologues américains de Trend Micro, avait désigné les services de renseignement russes après avoir audité les systèmes informatiques du Parti démocrate, pénétrés par le groupe de pirates « Pawn Storm ». Dans un second temps, les autorités américaines avaient accusé Vladimir Poutine d’avoir directement ordonné ce piratage afin d’influencer l’élection américaine pour favoriser Donald Trump. Une accusation sans précédent, que Washington n’a pourtant jamais assortie de preuves véritablement tangibles ou irréfutables à ce jour.

Que peut-on faire à ce stade, face à ces menaces digitales grandissantes, afin d’y remédier ? Les actions de déstabilisation qui s’y relient peuvent-elles être réellement limitées, endiguées ou même contrecarrées ? 

L’imagination des agresseurs et sans limite et évolue naturellement avec les contre-mesures mises en œuvre par les autorités légitimes pour entraver ce type d’action de biais.

Depuis l’intérêt notable porté par les pirates du groupe « Pawn Storm » à la campagne politique française, les craintes des autorités françaises n’ont jamais cessé de croitre. Celles-ci anticipent et surveillent depuis d’éventuels piratages informatiques ou action de déstabilisations sociétales ciblant les campagnes électorales, et plus largement, l’immixtion de la Russie dans la vie politique française.

Ces craintes légitimes ont depuis poussé l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) à tenir de nombreux séminaires de sensibilisation à destination des partis politiques et des équipes de campagnes et à recommander — et à obtenir par exemple — l’annulation du vote électronique pour les Français de l’étranger. La commission nationale de contrôle de la campagne électorale s’était même vue dotée de nouvelles compétences en matière de sécurité informatique : durant l’élection, elle peut être saisie par un candidat visé par une attaque et piloter une enquête de l’ANSSI. L’évolution du mode opératoire des hackers russes est assez bien identifié, et leur objectif immédiat reste le même : voler les identifiants de leurs victimes pour s’emparer d’informations critiques. En 2016, ils lançaient des emails de phishing très ciblés, qui renvoyaient vers de fausses pages de connexion. Comme l’avait relevé le magazine américain Wired, c’est ainsi que John Podesta, le directeur de campagne de Clinton, a communiqué son adresse Gmail et son mot de passe en se laissant piéger.

Désormais les groupes de pirates, comme APT28, se diversifient : ils utilisent aussi des attaques de force brute, qui consistent à essayer de nombreux mots de passe pour accéder aux comptes de leurs victimes-cibles. Ils essayent des mots de passe couramment utilisés et bien d’autres encore, issus de fuites annexes. L’avantage de ce nouveau mode opératoire, c’est qu’il peut être grandement automatisé grâce aux nouveaux apports de l’intelligence artificielle (IA). Et pour éviter d’être détecté par les services de sécurité, le groupe envoie ses attaques depuis plus d’un millier d’adresses IP différentes, en passant par les méandres du réseau Tor. Pour l’heure, aucune des attaques lancées par le groupe de pirates « Fancy Bear » ne semble avoir fonctionné aux Etats-Unis, d’après les dires de Microsoft. Mais les deux prochaines semaines aux Etats-Unis, ainsi que les deux prochaines années en Europe, devraient s’avérer particulièrement charnières pour les équipes de sécurités impliquées dans les différentes campagnes électorales. Rien qu’entre le 18 août et le 3 septembre aux Etats-Unis, « Fancy Bear » a visé 6 912 adresses email appartenant à 28 organisations. Et leur rythme d’attaque pourrait encore s’accélérer selon de nombreux spécialistes informatiques. Sombre perspective…

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !