L’équipe d’En marche a-t-elle été visée, ces deux derniers mois, par les pirates informatiques qui se sont illustrés en 2016 dans la campagne présidentielle aux Etats-Unis ? C’est ce qu’affirme un rapport établi par l’éditeur japonais de solutions de cybersécurité Trend Micro, à paraître ce mardi, que Libération a pu consulter. Dans ce document d’une quarantaine de pages, la campagne d’Emmanuel Macron est en effet mentionnée dans la – très longue – liste des cibles d’un acteur que l’entreprise a baptisé Pawn Storm. Un groupe connu également sous les noms de Fancy Bear, APT28 ou Sednit, et accusé par les autorités américaines d’être lié au GRU, le renseignement militaire russe.

En octobre, Washington lui a imputé le piratage, sur ordre du Kremlin, des mails du Comité national démocrate (DNC) et de ceux du directeur de campagne de Clinton, publiés par WikiLeaks, mais aussi celui des documents internes de l’Agence mondiale antidopage.

A lire aussi : Etats-Unis : comment la cyberguerre froide a parasité la campagne

Actif depuis 2004, Pawn Storm-Fancy Bear a surtout attiré l’attention ces trois dernières années. Et pour cause : l’inventaire des cibles qui lui sont attribuées n’a cessé de s’étoffer. Sa «signature» – modes opératoires, logiciels mis en œuvre, infrastructures utilisées, etc. – a été repérée chez des entités gouvernementales et militaires américaines et européennes, des opposants russes à Vladimir Poutine, des militants ukrainiens, des médias (dont le New York Times et Al-Jezira)…

Elle a été détectée également chez TV5 Monde, après l’attaque subie par la chaîne en avril 2015. Puis, l’an dernier, du côté du Premier ministre et du Parlement turcs, du Parti démocrate américain, du Parlement monténégrin et de la CDU, le parti de la chancelière allemande Angela Merkel. En 2016, «il y a eu beaucoup plus d’actions ciblées liées aux élections», explique à Libération Loïc Guézo, directeur de la stratégie pour l’Europe du Sud chez Trend Micro.

A lire aussi : Les Russes donnent des sueurs froides sur le front numérique

Campagnes de «hameçonnage»

Pawn Storm a-t-il ensuite poursuivi de ses assiduités le staff d’En marche ? Le fait est qu’entre le 15 mars et le 17 avril, Trend Micro a repéré quatre sites web reproduisant des pages d’accueil de services en ligne Microsoft, avec des adresses destinées à tromper les utilisateurs : onedrive-en-marche.fr, mail-en-marche.fr, portal-office.fr et accounts-office.fr. But de la manœuvre : inciter les destinataires d’un mail frauduleux à s’y connecter et à renseigner leur identifiant et leur mot de passe.

Ce type de phishing, ou «hameçonnage», est un mode opératoire dont le groupe de pirates informatiques est effectivement coutumier. Et au-delà, «tous les indicateurs sont là», explique Loïc Guézo. Ainsi, les noms de domaine ont été achetés auprès d’un bureau d’enregistrement allemand «en utilisant la même adresse mail que pour d’autres opérations du groupe», et les sites étaient localisés chez un hébergeur britannique déjà repéré dans des campagnes passées de Pawn Storm. Pour Guézo, l’affaire est sûre «à plus de 99 %».

Reste que plus les activités du groupe s’étendent et sont documentées, plus nombreux sont les acteurs qui connaissent sa «signature». Les éléments techniques des cyberattaques ont été partagés avec les autorités de plusieurs pays. «Nous en sommes arrivés au point où la fabrication de preuves est possible», expliquait à Libération Feike Hacquebord, l’auteur du rapport de Trend Micro, en décembre.

Du côté de l’Agence nationale de la sécurité des systèmes d’information (Anssi), chargée de superviser la cybersécurité des réseaux de l’Etat et des entreprises sensibles, le directeur général, Guillaume Poupard, incite donc à la «prudence» : «Le mode opératoire ressemble beaucoup [à Pawn Storm], mais on ne peut absolument pas exclure qu’un groupe très compétent puisse chercher à les imiter», souligne-t-il.

«Aucune exfiltration» de données

D’autant que les dates interrogent. Dans le cas du DNC américain, les attaquants avaient agi bien en amont de l’élection – en mars 2016 pour Pawn Storm-Fancy Bear, et dès l’été 2015 pour Cozy Bear, un autre groupe de cyberattaquants suspecté, lui, d’être lié au FSB, le contre-espionnage russe. Si Pawn Storm est bien à l’origine des campagnes de phishing ayant visé En marche, l’affaire aura été tardive. A moins qu’il ne s’agisse de préparer l’avenir…

En tout état de cause, ces «cybermanœuvres» sont restées sans effet, assure-t-on du côté du finaliste du second tour. Mounir Mahjoubi, ancien président du Conseil national du numérique (CNNum) et responsable numérique de la campagne Macron, explique avoir vu apparaître des tentatives de phishing de ce type dès février ‒ au total, «moins d’une dizaine» ont été repérées. Et dans tous les cas, «certaines personnes ont cliqué sur les liens, mais n’ont renseigné ni identifiant ni mot de passe», et «aucune exfiltration» de données n’est à déplorer.

Pas plus que les autres écuries présidentielles, celle d’En marche n’a saisi la Commission de contrôle de la campagne électorale pour des soupçons de piratage, une option ouverte aux équipes de campagne ‒ l’Anssi leur avait transmis, dans cet objectif, les «marqueurs» (des données techniques permettant de déceler une intrusion) des groupes actifs durant la campagne américaine.

A lire aussi : En France, une campagne cyber tendue

D’évidence, les mésaventures du Parti démocrate auront servi de leçon. «Nous formons les gens en amont, pour qu’ils repèrent les tentatives de phishing», indique Mounir Mahjoubi, qui fait aussi état d’une surveillance de sécurité, par exemple sur les connexions depuis des adresses IP inhabituelles. Des «bonnes pratiques» ont également été mises en place : «Je n’ai jamais partagé par mail un fichier sensible ou confidentiel, souligne-t-il. Nous faisons tout pour que, dans tous les cas, il soit le plus difficile possible de reconstituer une information.»

De manière générale, même si la vigilance reste de mise, la campagne n’a pas vécu d’alerte majeure sur le front cyber. «Les craintes que nous avions ne se sont pas réalisées, constate le patron de l’Anssi, et on ne peut que s’en féliciter.» Il est vrai que la séquence électorale n’a pas eu besoin de perturbateur extérieur pour s’avérer imprévisible et chahutée.