Le voile commence à se lever sur l'origine des cyberattaques qui ont affecté En Marche, le mouvement politique lancé par Emmanuel Macron l'année dernière. D'après un rapport réalisé par Trend Micro et le chercheur en sécurité Feike Hacquebord à paraître sous peu, le groupe de pirates russes Pawn Storm, également connu sous l'appellation Fancy Bears, APT28 ou encore Sednit, est impliqué.
D'après ce dernier, des preuves permettent d'affirmer que ce groupe de pirates a tenté d'installer des malwares sur le site du mouvement politique En Marche et a également envoyé des e-mails de phishing aux membres du mouvement politique d'Emmanuel Macron. Les « empreintes numériques » et techniques de hack utilisées apparaissent en effet identiques à celles trouvées lors de précédentes cyberattaques à l'encontre de l'ancienne candidate aux élections présidentielles américaines de novembre dernier, Hillary Clinton, mais également de la chancelière allemande Angela Merkel en avril et mai 2016.
Le piratage du site de campagne En Marche d'Emmanuel Macron a été facilité par un défaut de mise à jour du logiciel de CMS Wordpress. (crédit : bluetoof)
4 vagues de phishing entre mars et avril 2017
En février dernier, le site de campagne d'Emmanuel Macron avait dû faire face à de nombreuses actions de piratage, la tâche des hackers ayant été facilitée par un défaut de mise à jour Wordpress du site En Marche. « Au départ de la campagne nous n'avions pas mis à jour notre site Wordpress et des pirates en ont profité pour faire tomber notre site », avait indiqué Mounir Mahjoubi, responsable de la campagne numérique d'Emmanuel Macron et ancien président du conseil national du numérique lors d'un débat à la soirée du Cercle le 23 février sur le risque cyber. Outre des attaques visant le site de ce mouvement politique, des e-mails de phishing ont également ciblé les collaborateurs d'En Marche.
Quatre vagues de campagnes de messages électroniques piégés ont ainsi été enregistrées par Trend Micro, aux noms de domaines à chaque fois différent. A savoir onedrive-en-marche.fr, (15 mars 2017), portal-office.fr (14 avril 2017), mail-en-marche.fr (12 avril 2017) et accounts-office.fr (17 avril 2017). « Nous avons détecté ces noms de domaine et plusieurs autres », a confirmé Mounir Mahjoubi à nos confrères de 20 Minutes, précisant que les informations sensibles sont partagées non pas par mail mais via des messageries plus sécurisées comme Signal ou Telegram.