des hackeurs d’Etat russes ont bien visé la campagne présidentielle de 2017

AGATHE DAHYOT POUR “LE MONDE” D’APRES AFP

Publié aujourd’hui à 20h14, mis à jour à 20h16

Mois après mois, les pièces du puzzle des « MacronLeaks » émergent et s’assemblent. Plus de deux ans après ce piratage informatique qui a visé en 2017 l’équipe de campagne d’Emmanuel Macron, aboutissant à la publication du contenu de plusieurs messageries électroniques juste avant le second tour de l’élection présidentielle, de nouveaux indices font surface. Pour la première fois, des éléments, recueillis par Le Monde, accréditent techniquement l’implication coordonnée de deux unités de pirates étatiques russes dans cette tentative de déstabilisation du scrutin présidentiel.

Fin novembre, deux membres du groupe de chercheurs de Google spécialisés dans la traque des groupes de pirates informatiques les plus sophistiqués ont présenté le résultat de certains de leurs travaux dans le cadre d’une conférence spécialisée. Nous avons pu consulter les diapositives qu’ils ont produites lors de cette démonstration : à l’intérieur figurent des renseignements inédits sur le déroulé et les responsables des « MacronLeaks ».

L’entreprise spécialisée FireEye a également exhumé des détails sur ce piratage. Moins connue du grand public et spécialisée elle aussi dans la chasse aux pirates les plus perfectionnés, elle a passé ces dernières années à analyser le dispositif de l’Etat russe dans le cyberespace. Ses travaux sur le piratage de l’équipe d’En marche !, consignés en 2018 dans un document réservé à ses clients, dont nous avons pu prendre connaissance, ont aussi été partiellement rendus publics dans le dernier ouvrage du journaliste spécialisé Andy Greenberg, qui vient de paraître aux Etats-Unis (Sandworm : A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers, Doubleday, 2019).

Des pirates issus ou proches du renseignement militaire russe

Selon ces sources, les pirates qui ont visé la présidentielle française ne sont pas des amateurs. Au contraire. Deux unités hautement spécialisées liées au service de renseignement militaire russe, le GRU, ont successivement pris pour cible les comptes e-mails de proches du futur président de la République.

L’opération remonte au début du mois de mars 2017, quelques semaines avant le premier tour de l’élection. Un premier groupe de pirates, bien connu des experts du secteur et désigné sous le nom de code APT28, commence à envoyer des courriels destinés à piéger leurs cibles pour leur dérober identifiants et mots de passe.

On sait désormais que les contours d’APT28 épousent ceux de l’unité 26 165 du GRU