Le groupe de pirates de haut niveau Pawn Storm est également connu sous le nom de Fancy Bear ou APT28. | QUENTIN HUGON / Pixels / « Le Monde »

Un groupe de pirates informatiques de haut niveau, qu’un nombre croissant d’experts estime lié à l’Etat russe, s’est intéressé de près à la campagne d’Emmanuel Macron. Dans un rapport, publié mardi 25 avril, la société de sécurité informatique Trend Micro révèle que ce groupe de pirates, Pawn Storm – également connu sous le nom de Fancy Bear ou APT28 – a enregistré plusieurs sites Web utilisés pour tenter d’accéder aux boîtes e-mail de la campagne d’En Marche !.

Ce groupe est bien connu des experts et des gouvernements : fortement soupçonné d’être derrière les attaques visant TV5 Monde et le Bundestag en avril et mai 2015, il a été accusé en début d’année par le gouvernement américain d’être le bras numérique du Kremlin. Selon le Washington, ce groupe a aussi subtilisé des courriels au sein du Parti démocrate et de la campagne de Hillary Clinton afin de favoriser Donald Trump dans la course à la Maison Blanche.

En ce qui concerne l’opération visant la campagne d’Emmanuel Macron, rien n’indique que les pirates soient parvenus à pénétrer dans ses systèmes et aucun document interne n’a été publié à ce stade. Selon Trend Micro, Pawn Storm a cependant mis en place une opération dite de « phishing » (ou hameçonnage) visant directement les membres de l’équipe de l’ancien ministre de l’économie. Cette technique consiste à faire parvenir à des cibles des imitations des pages de connexion qu’elles utilisent d’ordinaire pour se connecter à leur messagerie électronique. Ces imitations, contrôlées par les pirates, permettent à ces derniers de récupérer identifiant de connexion et mots de passe.

Selon Trend Micro, quatre sites ont été enregistrés par ce groupe de pirates pour cibler la campagne d’En Marche ! : onedrive-en-marche.fr, portal-office.fr, mail-en-marche.fr et accounts-office.fr. Les noms de ces quatre sites ont été conçus pour ressembler le plus possible à des services utilisés par la campagne, ou du moins des sites légitimes, afin de déjouer la vigilance des cibles. Les noms des sites ont tous été enregistrés avec une seule et même adresse e-mail. Un message envoyé par Le Monde mardi est resté sans réponse. Trois de ces noms de sites ont été enregistrés avec un numéro ukrainien – non attribué – et l’un d’entre eux avec un numéro français. Nos appels et messages n’ont pas non plus reçu de réponse.

Mounir Mahjoubi, le responsable numérique de la campagne de M. Macron, a assuré à Libération qu’« aucune exfiltration » de données n’avait été effectuée. Une éventuelle offensive serait en tout cas extrêmement récente : comme le note Libération, les noms de domaine repérés par Trend Micro ont été enregistrés entre le 15 mars et le 17 avril. Un faible intervalle qui contraste avec l’attaque menée contre le Parti démocrate américain : les pirates étaient restés un an dans ses réseaux avant d’être repérés. Cela signifie-t-il que ce groupe de pirate ne s’est intéressé que très récemment à la campagne de M. Macron ? Ou cela traduit-il une intensification d’un travail de pénétration déjà entrepris depuis plusieurs mois ? Impossible de le dire à ce stade. « Il faut garder à l’esprit qu’il peut y avoir d’autres activités que nous n’avons pas identifié. Nous restons prudents : nous n’avons pas d’éléments antérieurs », indique Loïc Guézo, directeur de la stratégie de l’Europe du Sud de Trend Micro.

En marche !, une cible parmi d’autres

Pawn Storm est loin d’être un groupe inconnu : actif dans la sphère de l’espionnage numérique depuis plus d’une dizaine d’années, il a musclé ses actions ces derniers mois et la campagne d’Emmanuel Macron est très loin d’être la seule à en faire les frais.

Selon Trend Micro, la CDU d’Angela Merkel, le gouvernement et le parlement turcs, mais aussi la boîte e-mail de l’ancien secrétaire d’Etat américain Colin Powell, les forces militaires de nombreux pays européens (Lettonie, Roumanie, Portugal, Grèce), des chancelleries (Emirats arabes unis, Qatar, Arménie…), des médias (New York Times, Buzzfeed, le quotidien turc Hurriyet ou Al-Jazira) et des Russes (« journalistes, développeurs informatiques, politiciens, chercheurs et artistes ») figurent aussi dans les cibles du groupe de pirates.

Une constellation de cibles où se dessinent nettement les intérêts de Moscou. Faut-il pour autant voir la main du Kremlin dans les attaques ou les tentatives d’attaques repérées par Trend Micro ? « Nous travaillons à commenter les modes opératoires, le “comment” plutôt que le “qui”. Pour nous, Pawn Storm est un groupe d’une grande puissance, lié aux intérêts russes. Savoir à combien de niveau de décision se situe M. Poutine de la personne qui code, si c’est le cas, ce n’est pas notre souci », explique Loïc Guézo, de Trend Micro. En matière de sécurité informatique, l’attribution est un processus technique complexe et risqué, d’autant que les techniques de camouflage sont de plus en plus avancées.

Des précautions que ne prennent pas toutes les entreprises de cybersécurité. Crowdstrike, homologue américain de Trend Micro, avait désigné les services de renseignement russes après avoir audité les systèmes informatiques du Parti démocrate, pénétrés par Pawn Storm. Dans un second temps, les autorités américaines avaient accusé Vladimir Poutine d’avoir directement ordonné ce piratage afin d’influencer l’élection américaine et favoriser Donald Trump. Une accusation sans précédent que Washington n’a pas assorti de preuves irréfutables.

Dénégations russes

Moscou n’a pas tardé à réagir au rapport de Trend Micro, par la voix du porte-parole du Kremlin, Dimitri Peskov. « Quels groupes [de pirates] ? De quelle origine ? Pourquoi la Russie ? Cela me rappelle légèrement les accusations de Washington (…), qui n’honorent pas leurs auteurs », a-t-il déclaré lundi devant des journalistes.

L’intérêt porté par Pawn Storm à la campagne politique française confirme les craintes des autorités françaises, qui anticipent depuis l’automne d’éventuels piratages informatiques ciblant la campagne ou les candidats, et plus largement, l’immixtion de la Russie dans la vie politique française. Cette crainte avait poussé l’Autorité nationale de sécurité des systèmes d’information (Anssi) à tenir un séminaire de sensibilisation à destination des partis politiques à l’automne et à recommander – et obtenir – l’annulation du vote électronique pour les Français de l’étranger. La Commission nationale de contrôle de la campagne électorale s’était même vue dotée de nouvelles compétences en matière de sécurité informatique : durant l’élection, elle peut être saisie par un candidat visé par une attaque et piloter une enquête de l’Anssi. Sollicitée, la Commission n’a pas souhaité indiquer si En Marche ! l’avait saisie à la suite des révélations de Trend Micro.