« MacronLeaks » : le fruit d’un pilonnage via des opérations de phishing

Ciblé au quotidien par des opérations de phishing, selon ses responsables, En Marche a montré ses premières failles, avec la divulgation du contenus de 5 boîtes Gmail.

Ca a fini par passer. A quelques heures de la fin de la campagne officielle, plusieurs gigaoctects de données, issus des boîtes Gmail de 5 lieutenants d’Emmanuel Macron, ont été publiés sur Pastebin. Le mouvement politique du Président élu a reconnu que ces documents étaient bien issus d’un piratage de certains de ses membres. « Ils ont été obtenus il y a plusieurs semaines grâce au hacking de boîtes mail personnelles et professionnelles de plusieurs responsables du mouvement », précise un communiqué d’En Marche diffusé vendredi soir. Qui ajoute alors que l’archive contiendrait également de nombreux éléments ajoutés afin de « semer le doute et la confusion ». A ce stade, les premières analyses n’ont toutefois pas permis de mettre au jour des informations réellement sensibles ou compromettantes.

Selon Mounir Majhoubi, le responsable numérique de la campagne d’Emmanuel Macron, cette exfiltration de données résulte de plusieurs mois de « pilonnage ». Dans nos colonnes, fin avril, l’ex-président du Conseil national du numérique décrivait des attaques par phishing à répétition, afin de prendre le contrôle des boîtes mail des membres du mouvement. « Les assaillants ont récupéré tous les noms publics ou semi-publics associés à l’équipe d’En Marche et les ont tous ciblés », précisait-il. C’est une ou plusieurs de ces attaques qui a fini par tromper la vigilance de certains membres de la campagne. « Ce qui a été publié, c’est le résultat d’une des attaques, on ne sait pas laquelle », a expliqué Mounir Majhoubi, au micro de France Info dimanche soir.

La main de Moscou ?

Logiquement bien placé pour jouer un rôle dans la future équipe entourant le président, Mounir Majhoubi s’est toutefois refusé à pointer une éventuelle responsabilité de la Russie. Rappelons que le groupe de hackers Pawn Storm (ou APT 28), que plusieurs sources américaines présentent comme piloté par le Kremlin, a été associé à des opérations de phishing ciblant En Marche, comme l’avait révélé l’éditeur Trend Micro fin avril. Dans son interview à France Info, Mounir Majhoubi indique : « Je ne dis pas que c’est la Russie. Les attaques peuvent prendre les atours d’une attaque venue de la Russie ». Et de dénoncer par contre une « internationale des conservateurs, une union des extrêmes droites », se chargeant de la diffusion de fausses nouvelles visant à écorner Emmanuel Macron. « Pendant cette campagne (…) il y a eu une fachosphère hyper organisée et soutenue par des forces et des organisations étrangères. On a eu des médias nouveaux, Sputnik News, Russia Today France, qui ont fait 90% de leurs articles sur Marine Le Pen de façon laudative et 90% de leurs articles sur nous de façon complètement destructive. On a eu un pilonnage permanent d’organisations structurées qui venaient, et qui étaient financées par la Russie », a toutefois pointé Mounir Mahjoubi.

Certaines des opérations de phishing visant En Marche témoignent d’un haut niveau de perfectionnement de la part des hackers. Intégration Javascript « d’une perfection absolue », réservation d’adresses URL voisines de celles appartenant au mouvement, utilisation de fausses campagnes de prévention… contre le phishing apparemment envoyées par Mounir Majhoubi lui-même. Ou encore utilisation de la technique du Tabnabbing. « Au départ, il s’agit d’un lien RSS qui renvoie vers un site de fake news. Mais si l’onglet reste ouvert, alors il se transforme en fausse page de connexion à Gmail, capable de piéger un utilisateur qui y entrerait ses codes d’accès », expliquait fin avril l’ex-président du Conseil national du numérique.

Méfiance vis-à-vis du mail

A la lumière de la campagne présidentielle américaine, En Marche avait fait le choix de se méfier de l’e-mail et de privilégier messageries chiffrées et systèmes d’échange de documents pour les informations sensibles. Raison qui pourrait expliquer pourquoi les documents publiés présentent, in fine, si peu d’intérêt.

Suite à la divulgation de ces données à quelques heures de la fin officielle de la campagne électorale, une enquête pour « accès frauduleux à un système de traitement automatisé de données » et « atteinte au secret des correspondances » a été ouverte par le parquet de Paris. Elle a été confiée à la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti).

A lire aussi :

Piratage des élections U.S. : tout a commencé par du spearphishing

Cybersécurité de la campagne : En marche s’inquiète, l’Anssi mobilisée

Chiffrement : Emmanuel Macron marche en rond

Photo : mutualite.fr via Visual Hunt / CC BY-NC