Emmanuel Macron le soir du premier tour derrière la vitre du restaurant La Rotonde à Paris.
Emmanuel Macron le soir du premier tour derrière la vitre du restaurant La Rotonde à Paris. — REAU ALEXIS/SIPA

NUMERIQUE

Présidentielle: Qui est «Fancy Bear», ce groupe de hackers qui s'invite dans la campagne politique française?

Il y a quelques mois, le gouvernement a amorcé une campagne de sensibilisation aux risques de hacking à destination des partis politiques...

  • Fancy Bear, Pawn Storm, APT 28… Ce groupe de hackers se cache sous différentes identités.
  • Selon un faisceau de preuves, ils seraient sous la coupe du ministère de la Défense russe mais personne n’a encore réussi à le prouver formellement.
  • Leurs attaques visent notamment des opposants à la Russie : des journalistes, des dissidents ou des partis politiques, et présentent un risque de manipulation de l’opinion.

C’est officiel, le groupe de hackers Fancy Bear a bien piraté le mouvement d’Emmanuel Macron, En Marche !. C’est le résultat d’un rapport fourni ce mardi par la société de sécurité informatique installée au Japon, Trend Micro. Ces pirates n’en sont pas à leur coup d’essai.

>> A lire aussi : La France est sous la menace de cyberattaques à motif politique

Qui sont ces hackers qui se cachent derrière le nom « Fancy Bear » ?

Leur groupe se décline sous plusieurs alias. Appelez les « Fancy Bear », à l’américaine, ou « Pawn Storm », du nom d’un mouvement du jeu d’échecs (« Avalanche de pions »). « Cette figure du jeu d’échec leur ressemble bien : ce sont de petits coups anecdotiques, qui, pris dans leur vision d’ensemble, en font une grande stratégie, très forte. Cela correspond bien à la mentalité russe », explique Loïc Guézo, directeur du Développement chez Trend Micro. Autres pseudos fréquemment rencontrés : APT28, Advanced Persistent Threat 28 ou encore Sofacy group.

On les dit basés en Russie et proches du ministère de la Défense russe, mais les spécialistes ne disposent d’aucune preuve formelle, seulement d’un faisceau de preuves, qui n’a jamais permis d’identifier formellement l’origine de ces attaques.

>> A lire aussi : Etats-Unis. Un ancien conseiller de Trump a échangé des messages avec un hacker russe présumé

Quelles sont leurs cibles privilégiées ?

Justement, leurs cibles sont très souvent des opposants au gouvernement russe : journalistes, partis politiques, dissidents… « Ils agissent toujours dans des opérations en lien avec les intérêts de la Russie », observe Loïc Guézo. La dernière cible en date est Emmanuel Macron, mais leur « gros coup » reste le piratage des mails de l’équipe d’Hillary Clinton lors de la présidentielle américaine. Tous les mails de son directeur de campagne John Podesta avaient été récupérés par le groupe et les informations sensibles qu’ils contenaient aussi.

Aujourd’hui, leurs attaques sont connues des entreprises de cybersécurité. Mais les hackers savent réinventer leurs méthodes : « Plus le groupe est pointu, plus il a capacité à créer de nouvelles attaques », assure David Bizeul, CTO de la start-up spécialisée en cybersécurité Sekoia.

Comment agissent-ils ?

Leur champ d’action va de petites opérations d’hameçonnage, qui consistent à duper l’internaute avec une fausse page Web dans laquelle il rentre ses informations confidentielles, comme un mot de passe ou un numéro de carte bleue, aux opérations très avancées comme le Zero Day. Cette technique consiste à repérer une faille inconnue dans le système informatique de sa cible, et à l’exploiter en bénéficiant de l’effet de surprise. C’est la première méthode qui a été utilisée pour viser Emmanuel Macron et son équipe. « Leur vrai but est d’accéder aux données de votre poste et aux informations confidentielles échangées avec d’autres », assure Loïc Guézo.

>> A lire aussi : Présidentielle: Face à d'éventuelles cyberattaques russes, les équipes de campagne renforcent leur sécurité

Des stratégies de sensibilisation ont été mises en place depuis trois ou quatre mois en France par l’ Anssi (Agence nationale de la sécurité des systèmes informatiques) à destination des principaux partis politiques, explique David Bizeul. « Comme on a pu le remarquer sur de précédents cas, il y a un risque de manipulation de l’opinion publique », prévient-il. Les Fancy Bear restent surveillés de près par les organismes de cybersécurité. Depuis la clôture du rapport de Trend Micro, trois nouvelles attaques sur la présidentielle française ont été recensées. Les hackers russes continuent leur partie d’échec.