Source : silicon.fr (11 mai 2017)
Quelques jours après l’opération de déstabilisation visant le second tour de la présidentielle, retour sur les principaux enseignements des MacronLeaks. Et sur les techniques de défense qui ont probablement permis à En Marche de limiter les dégâts.
1 – En Marche a-t-il été piraté ?
Oui… et non. En réalité, la masse de données publiées vendredi soir sur Archive.org et relayée sur Pastebin et 4Chan renferme avant tout des mails de boîtes personnelles (en particulier Gmail) de 5 des cadres du mouvement En Marche. Y figurent le contenu des boîtes mails de Cédric O (trésorier), Quentin Lafay (plume d’Emmanuel Macron) et des députés Alain Tourret et Anne-Christine Lang, ainsi que le compte Box de Pierre Person, le fondateur des Jeunes avec Macron. Loïc Guézo, directeur de la stratégie cyber de Trend Micro pour l’Europe du Sud, indique que l’archive mise en ligne renferme au total quelque 100 000 mails. S’y ajoutent deux dossiers contenant, pour l’un, des documents anciens dans lequel est mentionné l’homme d’affaires franco-libanais Ziad Takieddine et, pour l’autre, des fichiers Excel.
Fin avril, dans nos colonnes, Mounir Majhoubi, le directeur de la campagne numérique du mouvement d’Emmanuel Macron, affirmait que l’organisation n’avait pas été victime d’exfiltration de données. C’est donc partiellement faux, puisque certaines informations du mouvement, à priori légitimes, ont bien fuité. C’est le cas notamment des dépenses de campagne. On apprend ainsi par exemple qu’En Marche a utilisé les services de la plate-forme de gestion de campagne Nation Builder (pour environ 26 000 dollars) ou encore du spécialiste français de l’e-mailing MailJet, comme le note l’Informaticien.
2 – Quelles est la valeur des données exfiltrées ?
Dans les colonnes du Point, le consultant, entrepreneur et enseignant-chercheur Driss Aberkane décrit une archive renfermant un mélange d’informations authentiques, mais anodines, auxquelles sont « mêlés quelques dossiers dont l’authenticité est parfois immédiatement réfutable, parfois plus floue, mais toujours beaucoup plus accusateurs ». Par exemple, tous les tableurs que renferme une des archives les moins volumineuses de la publication de vendredi soir dernier semblent avoir été édités sur une période de 4 minutes, le 27 mars dernier via une version de Microsoft Excel. Les métadonnées révèlent que environ la moitié de ces fichiers ont été enregistrés par un utilisateur appelé Roshka Georgy Petrovich. Un nom qui renvoie à un employé d’un sous-traitant habilité par les services russes du FSB, Eureca.
3 – Est-ce une opération orchestrée par la Russie ?
D’évidence, de nombreux indices pointent en direction de Moscou. En avril, un rapport de l’éditeur Trend Micro portant sur deux années d’activité de Pawn Storm (un des nombreux noms de code d’un groupe de hackers que plusieurs sociétés américaines estiment directement affilié aux renseignements militaires russes) montrait l’existence d’environnements créés par ce groupe pour cibler les équipes de la campagne du président élu avec des opérations de phishing. En début de semaine, c’est l’amiral Michael Rogers, le directeur de la NSA américaine, qui indiquait au Sénat des Etats-Unis avoir détecté une « activité russe » ciblant les réseaux français. « nous avons parlé à nos homologues français avant l’annonce publique des événements qui ont été attribués publiquement le week-end dernier, et on les a prévenus : ‘Écoutez, on observe les Russes, nous voyons qu’ils sont en train de pénétrer certaines de vos infrastructures’ », a expliqué Michael Rogers, selon des propos rapportés par Le Figaro. Enfin, il y a ces métadonnées retrouvées neuf fois dans les fichiers Excel mis en ligne et qui pointent elles aussi vers l’appareil d’Etat russe, via la société Eureca.
Sauf que les experts en cybersécurité ne sont pas totalement convaincus. D’abord, il y a le caractère un peu brouillon de la divulgation de données – une publication brute sans mise en avant des éléments potentiellement embarrassants. Ensuite, les métadonnées pointant directement vers un sous-traitant du renseignement russe interrogent. « C’est gros. Cela reste possible bien sûr, par exemple suite à une erreur de manipulation, mais je reste circonspect », dit Loïc Guézo. Chris Doman, ingénieur spécialisé dans l’analyse des menaces chez AlienVault, abonde : « Le fait que ces documents, dont certains ont été créés voici plus de dix ans, soient édités aussi récemment au cours des mêmes quatre minutes est suspect ».
Comme le montre un chercheur en sécurité dans un billet de blog, il est tout à fait possible de monter une opération de phishing ayant les apparences de celles habituellement orchestrées par les groupes de hackers liés à la Russie. Ce qu’en jargon, on appelle un « false flag » (mauvais drapeau), autrement dit une façon de pirater ses cibles tout en faisant accuser d’autres pays ou organisations.
4 – En Marche a-t-il mis en place une défense efficace ?
C’est peut-être la leçon principale de ce qu’on appelle – de façon impropre d’ailleurs – les MacronLeaks. Car, plutôt que de se contenter de muscler ses défenses passives – une voie sans issue pour une structure de la taille d’En Marche si elle se trouve confrontée à des hackers sponsorisés par un État -, le mouvement d’Emmanuel Macron a aussi mis en place des mesures pour perturber les assaillants. Chaque fois qu’une attaque de phishing était détectée, En Marche envoyait aux hackers de faux couples login/mot de passe, « et même de vrais accès à des e-mails mais avec de faux contenus », selon les explications de Mounir Majhoubi, le directeur de la campagne numérique d’En Marche, à The Daily Beast.
« Ce sont des techniques qu’on va appeler de réponse active, qui restent éloignées d’un réel hack back, analyse Gérôme Billois, senior manager en gestion des risques et sécurité chez Wavestone. Dans ce champ intermédiaire, on diffuse de fausses informations pour ralentir les attaques, par exemple avec de faux couples login/password, ou pour freiner l’analyse des données exfiltrées, via de fausses informations. » La technique, appelé déception par les anglo-saxons, vise aussi à décrédibiliser l’assaillant, qui peut se retrouver en situation de diffuser des faux grossiers qui seront facilement démontés par l’organisation piratée. « La cyber-déception inflige des coûts à l’assaillant, modifiant les fondamentaux économiques de la cyber-sécurité et donc l’asymétrie entre l’assaillant et le défenseur », note Gadi Evron, fondateur et CEO et Cymmetria, une société spécialisée sur le créneau. « Cette technique est pratiquée par peu d’organisations, même si les banques y ont recours pour lutter contre les opérations de phishing ciblant leurs clients. Mais c’est la première fois qu’elle est réellement mise en lumière », remarque Gérôme Billois.
Même le New York Times a rendu une forme d’hommage aux équipes de campagne de Macron sur ce sujet. Le quotidien américain écrit qu’elles ont fait preuve « d’un niveau de compétences et d’ingéniosité qui manquait à la campagne présidentielle d’Hillary Clinton et au comité national républicain », deux organisations hackées lors de la dernière élection présidentielle américaine avec les conséquences que l’on connait.
Notons, au passage, que ces techniques rendent toute analyse des documents mis en ligne extrêmement périlleuse. Aux documents légitimes, se mêlent en effet non seulement des informations potentiellement ajoutées par les assaillants, mais aussi les données injectées par En Marche pour les amener sur de fausses pistes. Un sac de nœuds bien difficile à démêler. Surtout que Mounir Majhoubi s’est refusé à dévoiler la nature des faux documents créés par ses équipes et donc à préciser quelle part des archives mises en ligne vendredi dernier était constituée de ces leurres. L’ex président du Conseil national du numérique a par contre indiqué que ses équipes ont créé « massivement » de faux comptes couplés à de fausses données.
5 – Quel rôle ont joué les réseaux sociaux ?
Si l’exfiltration de données est le fruit d’un « pilonnage » de l’équipe de campagne par des opérations de phishing, comme l’a décrit En Marche, la diffusion des données dérobées a, elle, grandement reposé sur les réseaux sociaux, comme l’a montré une analyse du chercheur belge Nicolas Vanderbiest. Et en particulier sur ceux animés par l’extrême droite américaine (avec le rôle joué par William Cradick et Jack Posobiec), appuyés par Wikileaks et l’extrême droite hexagonale. Comme l’a remarqué Libération, William Cradick, à la tête d’un média extrémiste appelé Disobedient Media, semble avoir été au courant de l’existence des documents avant leur divulgation sur les plates-formes 4Chan et Pastebin (les fichiers eux-mêmes étant hébergés sur Archive.org). « Le timing pose question, note Loïc Guézo de Trend Micro. Il semble indiquer une opération coordonnée ». Un peu comme si la caisse de résonance que sont les réseaux sociaux était prête à répandre les rumeurs dès la publication des documents, dans l’espoir d’influer sur le résultat du second tour. Même remarque de la part de Khalil Sehnaoui, fondateur de Krypton Security, qui, dans Le Point, pointe le « large mouvement d’automates » se mettant en branle sur Twitter presque immédiatement après la publication des documents. Selon lui, « la preuve d’une intention malveillante coordonnée ».
Signalons aussi que les réseaux sociaux ont servi à diffuser de faux documents qui ne faisaient pas partie des archives mises en ligne, mais semblent avoir été construits en parallèle, comme la capture d’un prétendu mail censé montrer qu’Emmanuel Macron consomme de la cocaïne. Un faux relayé sur Twitter.
6 – Pourquoi ce timing étrange ?
Diffusé à 20h35 vendredi, le fruit du piratage des 5 membres d’En Marche tombe à quelques heures de la fin de la campagne pour le second tour. Ce qui va imposer aux médias – en tout cas aux médias français – un silence de deux jours sur le contenu des documents divulgués. Clairement, un timing très différent du piratage du camp démocrate aux Etats-Unis, où les révélations s’étaient étalées laissant le temps à la presse de feuilletonner sur le sujet.
Pour Gérôme Billois, cette divulgation synchronisée avec le black-out imposé aux médias pouvait être le signe d’une manœuvre désespérée, afin de semer le doute à quelques heures du second tour même en l’absence d’information réellement compromettante, ou masquer une volonté de nuire aux législatives qui suivent, afin d’empêcher Emmanuel Macron de construire une majorité au Parlement. « Le fait qu’ont ait trouvé peu d’informations compromettantes fait aujourd’hui pencher la balance en faveur du scénario de la manœuvre désespérée de dernière minute », ajoute-t-il.
7 – Les MacronLeaks sont-ils un échec ?
Si Hillary Clinton a clairement indiqué qu’elle pensait que les cyberattaques dont son camp a été victime ont contribué à lui faire perdre les élections, les MacronLeaks ont, eux, largement fait pschitt. D’abord parce que les documents à priori légitimes qui ont déjà été examinés témoignent plutôt du fonctionnement standard d’une campagne électorale. Ensuite, parce que les éléments compromettants, diffusés dans le cadre des archives mises en ligne vendredi dernier ou en marge, apparaissent soit suffisamment suspects, soit d’évidence totalement bidons. Ils n’ont pas trouvé de crédibilité, au-delà de quelques cercles d’extrême droite.
8 – Est-ce que la fuite est anodine pour En Marche ?
Pour autant, la fuite de données dont a été victime En Marche, via 5 de ses membres, n’en reste pas moins embarrassante pour le mouvement. Tout simplement parce que les documents dérobés renferment de multiples informations sensibles : données bancaires, adresses mail publiques ou privées, numéros de téléphone… Autant de données qui pourront être réutilisées par la suite pour de nouvelles opérations de phishing ou d’intoxication. Par ceux à l’origine des MacronLeaks. Mais aussi par toute personne ayant téléchargé les 9 Go d’archive…
9 – Saura-t-on jamais qui a fait le coup ?
En la matière, il est fort probable qu’il faudra s’en tenir à des probabilités, même si, la NSA pointe déjà assez clairement la responsabilité de la Russie. L’analyse des données dévoilées a, de toute façon, toutes les chances de se révéler insuffisante pour démasquer le ou les responsables. « L’attribution d’une attaque sur la base des seules métadonnées est quasi impossible », tranche le chercheur en sécurité x0rz dans un billet de blog. Et de rappeler que chaque bit de métadonnées peut avoir été créé de toute pièce par l’assaillant pour brouiller les pistes. Et les techniques de leurre vont bien entendu bien au-delà. « Nous avons vu, via des documents qui ont fuité que la CIA (le projet Umbrage) et la NSA (l’équipe Fouth Party) pratiquent déjà ce type de techniques pour couvrir leurs attaques et diriger les soupçons vers d’autres », écrit le chercheur. Nul doute que ces pratiques sont aujourd’hui généralisées au sein des services de renseignement de quasiment tous les pays pesant dans le cyberespace. « D’autant que le guide permettant de créer un malware sans en être désigné l’auteur est désormais en accès libre sur Internet », ironise Gérôme Billois, de Wavestone.
Pour ce dernier, c’est l’Anssi, appelée à la rescousse dans l’enquête sur les MacronLeaks, qui est la mieux placée pour se faire une idée précise des auteurs de cette opération. En profitant de la collaboration avec d’autres États, notamment les États-Unis. Gérôme Billois estime qu’à ce stade, deux pistes sont crédibles. Celle d’un service de renseignement qui n’aurait pas mobilisé toutes ses ressources pour cette opération (faute de quoi, l’expert estime qu’il serait parvenu à compromettre davantage de systèmes que quelques boîtes mail). Ou celle d’un groupe plus amateur, poussé par des motivations politiques.
10 – Quelles sont les leçons des MacronLeaks pour les RSSI ?
L’affaire des MacronLeaks « met en lumière le fait qu’on n’est obligé de rester passif face aux attaques », estime Gérôme Billois. Les techniques de réponse actives, qui rendent plus onéreuses la facture d’un hack, apparaissent en particulier prometteuses contre les menaces mafieuses, attentives à leur rentabilité. Et ces techniques ne reposent pas sur l’installation de nouvelles solutions de sécurité venant se superposer à toutes les couches logicielles déjà déployées ! « Mais mettre en œuvre ce type de techniques nécessite un bon niveau de compréhension de la menace, une maturité sur ces sujets », ajoute Gérôme Billois. Et elles peuvent se révéler contraignantes dans un système d’information d’entreprise, car elles impliquent parfois de maintenir de faux systèmes (pour leur donner l’apparence de systèmes en production), tout en évitant les erreurs en interne. Des contraintes moins pesantes pour une équipe de campagne, dont la durée de vie est par essence limitée.
Les MacronLeaks illustrent aussi à la fois l’intérêt de la sensibilisation des utilisateurs aux techniques des hackers – ce qu’En Marche faisait régulièrement selon les déclarations de Mounir Majhoubi – et… ses limites. En effet, espérer que tous les utilisateurs d’une organisation, même formés régulièrement au phishing, vont échapper à tous les pièges tendus par des hackers professionnels revient à se bercer d’illusions. Des techniques comme le Tabnabbing qu’affectionne notamment PawnStorm (remplacement d’une page apparemment bénigne par une fausse page de connexion à un service mail) ou des mails de phishing particulièrement bien conçus ont toutes les chances de tromper même des utilisateurs aguerris. Une donnée qu’avait d’ailleurs intégrée En Marche, puisque les membres du mouvement d’Emmanuel Macron avaient pour consigne de ne pas utiliser le mail pour les échanges sensibles. Lui préférant notamment des messageries chiffrées.