Le candidat à la présidentielle Emmanuel Macron sur sur iPhone, le 10 mars 2017, en gare de Bordeaux. — UGO AMEZ/SIPA

La société de sécurité informatique Trend Micro affirme que la campagne de Macron a été prise pour cible par des hackers russes.

« Aucune boîte mail n’a été hackée » avec succès, selon le directeur de la campagne numérique d’En Marche.

Les hackers de Fancy Bear sont les mêmes que ceux derrière le piratage des emails d’Hillary Clinton et du parti démocrate.

Comme Hillary Clinton, Emmanuel Macron se trouve dans la ligne de mire de Moscou. Alors que l’équipe de campagne du candidat affirmait mi-février subir « des centaines, voire des milliers, de cyberattaques venant des frontières russes », Trend Micro l’a confirmé ce lundi. Dans un rapport qui devait être publié dans la nuit, la société de sécurité informatique accuse le groupe de hackers russes à la solde de Moscou, Pawn Storm – plus connu sous le nom Fancy Bear – d’avoir pris pour cible Emmanuel Macron et ses collaborateurs. Joint par téléphone à 23h00, Mounir Mahjoubi, directeur de la campagne numérique du candidat qui affrontera Marine Le Pen au second tour de la présidentielle, n’est « pas surpris » par ces conclusions. Mais il l’affirme : « Aucune de ces boîtes mail n’a été hackée » avec succès.

Trend Micro fournit les détails suivants à 20 Minutes. Entre la mi-mars et la mi-avril, des hackers russes ont créé quatre noms de domaine ressemblant à ceux de l’équipe officielle d’En Marche pour tenter de piéger des collaborateurs :

onedrive-en-marche.fr (15 mars 2017)

portal-office.fr (14 avril 2017)

mail-en-marche.fr (12 avril 2017)

accounts-office.fr (17 avril 2017)

Selon les chercheurs, « ces noms de domaine ont vraisemblablement été utilisés par Pawn Storm pour cibler la campagne de Macron », qui utilise le service email de Microsoft d’Office 365. La procédure est classique et vise en général à se faire passer pour un courriel officiel afin de convaincre une personne d’entrer son mot de passe lors d’une remise à zéro. Selon Trend Micro, les hackers ont également tenté d’infecter des ordinateurs avec un malware Javascript à la recherche d’éventuelles failles.

« Plusieurs couches de sécurité »

« Nous avions détecté ces noms de domaine et plusieurs autres », confirme Mounir Mahjoubi. Selon lui, il y avait « un faisceau d’indices » et l’analyse de Trend Micro « fournit un élément supplémentaire ». Il se montre toutefois prudent avant d’accuser Moscou : « Notre équipe n’a pas la capacité pour attribuer l’origine de ces attaques. Et il ne faut pas être dupe, la meilleure attaque est celle qui se fait passer pour quelqu’un d’autre. »

En rejoignant Emmanuel Macron, cet ancien du Conseil National du Numérique a installé des barbelés. Via la protection, mais surtout l’éducation, avec « plusieurs couches de sécurité ». L’origine des connexions est surveillée en permanence, et chaque employé a été formé pour reconnaître un email ou un lien suspects. Mais parce que l’humain n’est pas infaillible, « il faut surtout faire comprendre aux gens que l’erreur la plus grave, c’est celle qu’on cache. Il ne faut pas leur faire peur mais les encourager à nous alerter en cas de problème». Et si un employé pense avoir cliqué sur un mauvais lien, les mots de passe sont aussitôt changés. Pour tout le monde. Enfin, selon le responsable, « aucun élément ultra-confidentiel n’est envoyé par mail ». Les communications sensibles se font en personne ou sur des messageries chiffrées de bout en bout, comme Signal ou Telegram.

Les mêmes hackers que pour Clinton

Le directeur de la campagne numérique d’Emmanuel Macron le reconnaît, « ces mesures ont été mises en place grâce à ce qui s’est passé aux Etats-Unis ». Car si l’appellation « Pawn Storm » est nouvelle, Trend Micro confirme qu’il s’agit, selon ses analyses, « du même groupe qui a attaqué le parti démocrate » et réussi à dérober les emails du directeur de campagne d’Hillary Clinton, John Podesta.

Jusque-là connus sous le nom Fancy Bear, ou anciennement APT 28 (Advanced Persistent Threat 28), ces hackers sont soupçonnés par la CIA de travailler directement pour le renseignement militaire russe (GRU) et les services secrets du FSB, l’agence qui a succédé au KGB. Fancy Bear serait également derrière le piratage de l’agence mondiale antidopage et celui de TV5 Monde, en 2015, réalisé sous le nom «Cyber Caliphate» pour brouiller les pistes.

Selon le rapport officiel du renseignement américain, le but principal de cette vaste campagne est de destabiliser les alliances occidentales en faisant élire des candidats ayant des vues plus favorables à la Russie. Lundi encore, le Kremlin a démenti préférer Marine Le Pen, reçue en mars par Vladimir Poutine, à Emmanuel Macron.

Cette opération contre des partis politiques aux Etats-Unis, en France ou en Allemagne, a-t-elle un impact? La publication, au compte-gouttes, des emails de John Podesta, avait empoisonné la fin de la campagne d’Hillary Clinton et permis à Trump d'attaquer une candidate «du système». En sera-t-il de même pour Emmanuel Macron dans l’entre-deux tours face à Marine Le Pen? En février, le patron de WikiLeaks, Julian Assange, affirmait à des médias russes qu’il possédait « des informations intéressantes » sur le candidat français. Mais selon ses déclarations, ces éléments venaient d’emails piratés de l’équipe d’Hillary Clinton, pas de Macron. Lundi soir, Mounir Mahjoubi est donc parti se coucher l’esprit tranquille.