Piratage de l'équipe Macron:La piste Pro-Kremlin évoquée.
Posté : 10 mai 2017 05:53
Même si l'enquête sur l'attaque s'annonce difficile, de nombreux spécialistes en cybersécurité pointent la responsabilité de hackeurs pro-Kremlin.
L'Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé, ce mardi, avoir été saisie pour apporter son expertise technique, après la divulgation, vendredi, de documents dérobés au mouvement En Marche !, confirmant une information de Libération. La demande a été effectuée le jour-même des fuites par la Commission nationale de contrôle de la campagne électorale en vue de l’élection présidentielle (CNCCEP). Le parquet de Paris a, par ailleurs, ouvert une enquête peu après la publication sur Internet de ces «Macron Leaks».
La brigade d'enquêtes sur les fraudes aux technologies (BEFTI) est chargée de trouver l'origine du piratage qui a perturbé les dernières heures de la campagne présidentielle. L'ANSSI, pour sa part, se concentre sur la méthode. «Il s'agit de comprendre ce qui s'est passé, le mode opératoire utilisé par l'attaquant», précise un membre de l'agence interrogé par Le Parisien. Mais la façon de procéder donnera des éléments sur les auteurs.
Des similitudes avec l'affaire du camp Clinton
Même s'il est facile de dissimuler sa véritable identité sur Internet, tout tend à accuser des pirates russes, y compris dans la manière employée. Plusieurs experts montrent, en effet, des tentatives de piratage répétées de la part de hackeurs pro-Kremlin, même si le lien avec les fuites de vendredi n'est pas établi.
Dans un rapport publié le 25 avril dernier, la société de sécurité Trend Micro avait révélé que l'équipe de campagne d'Emmanuel Macron a été la cible de Pawn Storm, un groupe de hackeurs lié au GRU, la direction générale des renseignements des forces armées russes. Il aurait créé au moins quatre noms de domaine, entre mars et avril, pour tromper les salariés d'En Marche ! : ressemblant aux pages qu'ils consultent quotidiennement, ces faux sites auraient pu inciter les proches de Macron à entrer leurs identifiants et donc à ouvrir leurs portes virtuelles aux pirates, selon un mode opératoire couramment utilisé dans les campagnes de phishing.
Ces actions malveillantes portent en outre la signature de ceux qui ont piraté les mails du camp Clinton au printemps 2016. «Il y a plusieurs choses qui suggèrent que le groupe derrière le piratage de Macron a aussi été responsable de l'intrusion du Comité national démocrate, par exemple. Nous avons trouvé des similitudes dans les adresses IP et les malwares utilisés dans les attaques», a expliqué le vice-président de Trend Micro au Washington Post. «Nous pouvons établir qu'il s'agit d'un procédé classique de Pawn Storm. Cependant, nous n'attribuerons pas l'attaque car nous pourrions très aisément être manipulés et l'assaillant pourrait se faire passer pour quelqu'un d'autre», a cependant expliqué l’ANSSI, interrogée par Reuters.
Du cyrillique dans les documents:
Après les fuites de vendredi, la société de cyberintelligence Flashpoint a affirmé, à son tour, qu'APT 28 était derrière l'attaque. APT 28 est l'un des nombreux noms attribués à Pawn Storm. Une autre entreprise de sécurité, Proofpoint, interrogée par The Guardian, suspecte une manœuvre russe : «Certaines métadonnées indiquent clairement que certains documents, comme ceux sur les "comptes bancaires des Bahamas" (dont l'existence n'est pas prouvée, ndlr), ont été édités sur des ordinateurs avec des systèmes d'exploitation en langage russe.» Ces documents avaient également été diffusés sur Internet la semaine dernière.
On trouve aussi des traces russes dans les «Macron Leaks». Plusieurs sources, dont l'analyste en sécurité américain Michael Horowitz et le média bulgare indépendant Bivol, ont repéré des noms écrits en cyrillique dans les métadonnées des documents qui ont émergé en ligne vendredi. Le nom «Roshka Georgiy Petrovich» apparaît pas moins de neuf fois. Il appartient à un représentant de la société Eureka, fournisseur de solutions informatiques installée à Moscou. Elle compte parmi ses clients plusieurs organisations gouvernementales russes.
Source:Le Parisien.
L'Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé, ce mardi, avoir été saisie pour apporter son expertise technique, après la divulgation, vendredi, de documents dérobés au mouvement En Marche !, confirmant une information de Libération. La demande a été effectuée le jour-même des fuites par la Commission nationale de contrôle de la campagne électorale en vue de l’élection présidentielle (CNCCEP). Le parquet de Paris a, par ailleurs, ouvert une enquête peu après la publication sur Internet de ces «Macron Leaks».
La brigade d'enquêtes sur les fraudes aux technologies (BEFTI) est chargée de trouver l'origine du piratage qui a perturbé les dernières heures de la campagne présidentielle. L'ANSSI, pour sa part, se concentre sur la méthode. «Il s'agit de comprendre ce qui s'est passé, le mode opératoire utilisé par l'attaquant», précise un membre de l'agence interrogé par Le Parisien. Mais la façon de procéder donnera des éléments sur les auteurs.
Des similitudes avec l'affaire du camp Clinton
Même s'il est facile de dissimuler sa véritable identité sur Internet, tout tend à accuser des pirates russes, y compris dans la manière employée. Plusieurs experts montrent, en effet, des tentatives de piratage répétées de la part de hackeurs pro-Kremlin, même si le lien avec les fuites de vendredi n'est pas établi.
Dans un rapport publié le 25 avril dernier, la société de sécurité Trend Micro avait révélé que l'équipe de campagne d'Emmanuel Macron a été la cible de Pawn Storm, un groupe de hackeurs lié au GRU, la direction générale des renseignements des forces armées russes. Il aurait créé au moins quatre noms de domaine, entre mars et avril, pour tromper les salariés d'En Marche ! : ressemblant aux pages qu'ils consultent quotidiennement, ces faux sites auraient pu inciter les proches de Macron à entrer leurs identifiants et donc à ouvrir leurs portes virtuelles aux pirates, selon un mode opératoire couramment utilisé dans les campagnes de phishing.
Ces actions malveillantes portent en outre la signature de ceux qui ont piraté les mails du camp Clinton au printemps 2016. «Il y a plusieurs choses qui suggèrent que le groupe derrière le piratage de Macron a aussi été responsable de l'intrusion du Comité national démocrate, par exemple. Nous avons trouvé des similitudes dans les adresses IP et les malwares utilisés dans les attaques», a expliqué le vice-président de Trend Micro au Washington Post. «Nous pouvons établir qu'il s'agit d'un procédé classique de Pawn Storm. Cependant, nous n'attribuerons pas l'attaque car nous pourrions très aisément être manipulés et l'assaillant pourrait se faire passer pour quelqu'un d'autre», a cependant expliqué l’ANSSI, interrogée par Reuters.
Du cyrillique dans les documents:
Après les fuites de vendredi, la société de cyberintelligence Flashpoint a affirmé, à son tour, qu'APT 28 était derrière l'attaque. APT 28 est l'un des nombreux noms attribués à Pawn Storm. Une autre entreprise de sécurité, Proofpoint, interrogée par The Guardian, suspecte une manœuvre russe : «Certaines métadonnées indiquent clairement que certains documents, comme ceux sur les "comptes bancaires des Bahamas" (dont l'existence n'est pas prouvée, ndlr), ont été édités sur des ordinateurs avec des systèmes d'exploitation en langage russe.» Ces documents avaient également été diffusés sur Internet la semaine dernière.
On trouve aussi des traces russes dans les «Macron Leaks». Plusieurs sources, dont l'analyste en sécurité américain Michael Horowitz et le média bulgare indépendant Bivol, ont repéré des noms écrits en cyrillique dans les métadonnées des documents qui ont émergé en ligne vendredi. Le nom «Roshka Georgiy Petrovich» apparaît pas moins de neuf fois. Il appartient à un représentant de la société Eureka, fournisseur de solutions informatiques installée à Moscou. Elle compte parmi ses clients plusieurs organisations gouvernementales russes.
Source:Le Parisien.