Le piratage de Macron, une leçon pour l'Allemagne

Il a décrit une des attaques comme étant un courrier électronique supposément envoyé par sa propre attachée de presse et qui mentionnait: "Quelques recommandations quand vous parlez à la presse, téléchargez le fichier en pièce jointe

Le fichier contenait des logiciels malveillants, mais l'attaque a échoué parce que le style du hacker était trop sec.

"Elle ne nous écrit jamais comme ça, cette responsable presse", a déclaré Mahjoubi.

Il a expliqué que les fichiers dérobés comportaient des "blagues potaches … plusieurs dizaines de milliers de factures de fournisseurs, des centaines d'échanges dans la constitution du programme, dans l'organisation des événements, mais "pas de secrets".

Il a également affirmé qu'ils contenaient des "faux emails" et des "informations que nous-mêmes on avait envoyées en contre-représailles des tentatives de phishing".

Le service de cybersécurité de la France, l'ANSSI et les procureurs français enquêtent sur le ou les coupables.

Mais la suspicion plane autour la Russie, qui a déjà été accusée d'avoir tenté de pirater Macron plus tôt dans la campagne et d'avoir également piraté des députés allemands à la veille des élections allemandes qui auront lieu en automne.

Dans un entretien au site d'information Politico, Aurélien Lechevallier, le conseiller politique étrangère de Macron, a déclaré qu'à l'avenir, la France réagira et ne sera pas indifférente à de telles attaques.

"Nous aurons une doctrine de représailles en ce qui concerne les cyberattaques russes ou tout autre type d'attaques", a-t-il assuré.

La semaine précédente, le chef du renseignement intérieur allemand Hans-Georg Maassen a annoncé que l'Allemagne se prépare également à réagir.

"Il est nécessaire que nous soyons en mesure de détruire ces serveurs si les fournisseurs d'accès et les propriétaires des serveurs ne sont pas en mesure de faire en sorte qu'ils ne soient pas utilisés pour des attaques", a-t-il expliqué.

Pots de miel

EUobserver s’est entretenu avec deux experts américains de cybersécurité, qui considèrent tous les deux que la manière dont Mahjoubi a géré les attaques informatiques peut servir de leçon pour d'autres partis politiques en Allemagne ou ailleurs en Europe.

Dimitri Sirota, le patron de la société new-yorkaise BigID, estime que Mahjoubi a été "intelligent" lorsqu'il a ajouté du "bruit" aux vraies informations disponibles dans ses systèmes.

"La création de données factices est judicieuse car elle vous permet de tracer et de discréditer le coupable de la fuite", explique-t-il.

Il note que Mahjoubi semble également avoir utilisé des "pots de miel" - de fausses cibles conçues pour attirer des attaques, contenant des données qui "compromettent l'attaquant".

Sirota ajouté que les partis politiques devraient à l'avenir se familiariser avec le type d’attaques dont a été victime Macron.

Le soi-disant "hameçonnage" cible des personnes avec de faux sites web ou des emails conçus pour voler leurs mots de passe, par opposition à des attaques plus larges conçues pour contourner les pare-feux ou d’autres moyens de défense cybernétique.

Sirota remarque que la plupart des données sont maintenant stockées dans des "clouds" gérés par de grandes entreprises informatiques telles que Yahoo ou Google, ce qui obligerait les piratages autres que par hameçonnage à pénétrer les défenses des géants de l'informatique pour réussir.

"Cet hameçonnage est la nouvelle réalité de la campagne politique", a-t-il ajouté.

Aleksandr Yampolskiy, le directeur de la société de sécurité SafetyScorecard à New York, estime également que Mahjoubi a été "intelligent" car il a utilisé a "technologie de déception" plutôt que de se fier à la "technologie réactive" maintenant démodée, comme les pare-feux ou les systèmes de détection d'intrusion.

"L'idée est de transférer le coût du défenseur vers l'attaquant", explique-t-il. "Vous pouvez laisser les portes déverrouillées, mais une fois que les pots de miel sont installés, ils ne savent pas différencier les vrais documents des faux."

"Si vous mélangez des faux dollars avec des vrais, et que vous seul savez les différencier, il devient plus coûteux pour l'attaquant de vérifier ceux à saisir", dit-il.

Yampolskiy estime lui aussi que les partis politiques allemands devraient entraîner leur équipe contre la "manipulation sociale" et devraient enregistrer des noms de domaine Internet similaires aux leurs.

La manipulation sociale fait référence à l'utilisation par les hackers de données personnelles, par exemple provenant de Facebook, pour rendre les attaques de hameçonnage plus convaincantes.

Occuper des noms de domaine similaires empêchent les attaquants d'utiliser des sites semblables pour dérober des mots de passe.

Une attribution

Flashpoint, un autre cabinet américain de cybersécurité, a assuré aux agences de presse Reuters et Bloomberg le week-end dernier que l'attaque de Macron avait été réalisée par la Russie.

Le cabinet a refusé de fournir de plus amples détails lorsqu'il a été contacté par EUobserver.

Il semble que ce soit la Russie qui ait perpétré l'attaque car c'est elle qui a utilisé des méthodes similaires lors de l'élections présidentielle américaine l'an dernier et parce qu'elle a également ouvertement essayé de nuire à Macron, par exemple via la propagande d'Etat, note Sirota, du cabinet BigID.

"Si cela ressemble à un canard, marche comme un canard, et cancane comme un canard, c'est que c’est probablement un canard", dit-il.

D'autres experts comme Yampolskiy sont plus prudents.

Selon Yampolskiy, l'attaque n’a pas été si difficile à mener, dans la mesure où Macron a été également ciblé par des militants d'extrême droite aux États-Unis et au Royaume-Uni.

"Vous n'avez pas besoin d'un instrument étatique sophistiqué pour le faire. Une ou deux personnes avec une expertise en hameçonnage pourraient s’en tirer assez simplement", remarque-t-il.

Le fait que certains des documents contiennent des noms russes dans leurs métadonnées, ajoute-t-il, ne signifie pas forcément que la Russie est l'auteur de l'attaque, car il est facile d'introduire ce type d'information pour essayer d’embrouiller les enquêteurs.

"Si vous revenez du travail et que vous voyez votre fenêtre cassée, que vous entrez et que vous voyez une carte de visite sur laquelle est écrit "Aleksander Yampolskiy", ça ne veut pas dire que c'était moi".

Il ajoute que les enquêteurs devraient publier tous les détails de l'attaque afin que des experts en cybersécurité puissent examiner les résultats, de la même manière que dans les milieux universitaires les scientifiques procèdent à des "examens par des pairs".

Trend Micro, une société basée au Japon qui a relié la Russie à aux piratages français et allemands antérieurs, juge également qu'il n'y a pas de preuve concluante dans ce cas précis.

"Les techniques qu'ils [les hackers de Macron] ont utilisées dans ce cas semblent être similaires aux précédentes attaques [liées à la Russie]. [Mais] sans autre preuve, il est extrêmement difficile d'attribuer ce piratage à une personne ou à un groupe en particulier ", expliqueTrend Micro à EUobserver.

Contre-attaquer ?

En l'absence de certitude, Sirota et Yampolskiy estiment qu'il est prématuré de répondre à la Russie ou d'autres suspects.

"La quantité de preuves nécessaires pour pouvoir dénoncer et attaquer un individu, une entreprise ou un pays est assez significative," prévient Sirota. "A moins que vous ne soyez absolument certain, il est extrêmement risqué pour un pays de passer à l’offensive".

Pour Yampolskiy, l'approche du "piratage en retour" est trop dangereuse car elle pourrait n'aboutir à rien et pourrait déclencher une guerre cybernétique.

La destruction des serveurs étrangers, explique-t-il, ne peut pas garantir que les informations volées n'ont pas été copiées et stockées ailleurs.

"Si vous vous en prenez à des serveurs dans des pays étrangers, assurez-vous de ne pas vivre dans une maison de verre", ajoute-t-il. "Pensez à la réaction. La cyber infrastructure que nous conduisons, au moins aux États-Unis, est assez vulnérable ... l'infrastructure gouvernementale dans de nombreux pays n'est pas en bonne état. Si nous pouvons leur faire subir cela, pensez à ce qu'ils pourraient nous faire subir également".

Pour Yampolskiy, une autre façon pour les politiciens de se protéger contre les fuites de données compromettantes est de ne pas se compromettre dans un premier temps.

"Si vous n'avez rien fait de mal, vous n'avez rien à cacher".

Cet article a été originellement publié en anglais

This article was originally published in English