SecurityInsider
Le blog des experts sécurité Wavestone

Retours sur #MacronLeaks



Peu avant le second tour des élections présidentielles française, des données de campagnes du parti « En Marche » ont été publiées. D’où vient l’attaque ? Des faux documents ont-ils réellement été publiés par l’équipe du candidat en amont ?
Voici quelques éléments qui vous permettrons de vous y retrouver !

La publication

Le vendredi 5 mai 2017, juste avant le silence médiatique imposé le code électoral, un message publié sur le site 4chan (« /pol/ » forum) fait état de plusieurs archives concernant des documents extraits des boites mails de différents cadres du mouvement « En Marche ». Ainsi, de nombreux liens permettant de les télécharger  sont mis à disposition via le site de partage de fichiers Pastebin sous le nom « EMLEAKS ». Alors que depuis quelques jours différents liens faisant apparaitre des fichiers relatifs au mouvement « En Marche » sur le Forum « /pol/ » c’est le journaliste et militant d’extrême droite Jack POSOBIEC qui met en lumière les différents documents via Twitter et le hashtag « #MacronLeaks » :


Tweet du militant d’extrême droite Jack Posobiec faisant apparaitre le hashtag « MacronLeaks »

Le message est ensuite relayé par plusieurs comptes « robots » ainsi que par de nombreux militants avant d’être de nouveau mis en valeur via une publication – cette fois encore sur Twitter – émise par le compte officiel du site d’information WikiLeaks :


Tweet sur compte officiel du journal Wikileaks faisant état des archives de l’équipe d’En Marche

Suite à ce tweet, le hashtag « #MacronLeaks » sera ensuite repris par de nombreux internautes et notamment par les membres et dirigeant du Front National.

Le contenu des données

Ces révélations, effectuées juste avant la période de réserve font état de plus de 15Go de données volées (70 663 mails et documents) concernant la campagne d’Emmanuel Macron. Celles-ci concernent différents membres proches du président actuel (Emmanuel Macron) ; les personnalités politiques Anne-Christine Lang et Alain Tourret, le trésorier Cédric O, la chargé de communication Quentin Lafay, ainsi que le conseiller politique Pierre Person.
À la suite de cette publication de nombreux faux documents ont ensuite été publiés, comme le montre la capture ci-dessous dénonçant un faux mail :

Tweet faisant apparaitre un faux-mail  
(non extrait des documents disponibles dans les archives publiées)

L’analyse des documents (mails, factures…) n’a pour l’instant pas permis d’identifier de données compromettantes pour l’actuel Président de la République. Ces données ont cependant été utilisées afin de comprendre les rouages du financement de la campagne « En Marche ».  

Par ailleurs, selon Mounir Mahjoubi, directeur de la campagne numérique du parti « En Marche » et actuel Secrétaire d’État chargé du Numérique, les équipes de M. Macron auraient procédé en amont à la diffusion de faux documents, emails, etc. L’objectif de cette manœuvre est alors de créer un « flou » autour du candidat, afin de ralentir d’éventuels pirates dans leur travail de recherche de données compromettantes.

La source de l’attaque

Si ces données n’apportent pas de révélations concernant l’actuel Président de la République, la question de la sécurité informatique se pose réellement. En effet, alors que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) était directement responsable de la bonne tenue des élections présidentielles, cinq boites mails ont tout de même été piratées.
Ce piratage faisant directement écho avec les attaques informatiques réalisées durant la campagne présidentielle Américaine, la piste Russe a rapidement été évoquée. De plus, de nombreuses métadonnées des documents piratés font apparaitre des données des mots cyrilliques comme le montrent les tweets suivants :


Tweet du chercheur en sécurité de l'information Matthieu SUICHE décrivant la présence de métadonnées en cyrillique dans les documents piratés


Tweet décrivant la présente du nom d’un employé d’une société Russe dans les documents piratés

En effet, la société Evrika est une entreprise Russe basée à Saint Petersburg est connue pour sa collaboration avec le gouvernement Russe ainsi qu’avec le FSB (Service de Sécurité Fédéral Russe). Ainsi certains experts accusent le groupe APT28 d’avoir édité les documents et de les avoir ensuite diffusés via les médias sociaux, comme pour l’action menée contre le parti de Clinton pendant l'élection présidentielle de 2016.
Il est cependant à noter qu’il s’agit à l’heure actuelle de suppositions. En effet, ce type de données reste relativement simple à modifier / supprimer et elles pourraient tout à fait avoir été ajoutées / falsifiées par un autre groupe de hackers en vue de brouiller les pistes vers le réel attaquant.

Une enquête à venir

Alors que le président sortant François HOLLANDE avait annoncé que « Rien ne sera laissé sans réponse », les autorités sont bien déterminées à remonter la piste vers l’origine de l’attaque. Alors que M. Macron avait saisi la CNCCEP (Commission Nationale de Contrôle de la Campagne), le parquet de Paris a ouvert une enquête pour atteinte au secret de correspondance ; le dossier sera traité par la BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information).

Mahdi BRAIK

Sources



Aucun commentaire:

Enregistrer un commentaire