Mois après mois, les pièces du puzzle des « MacronLeaks » émergent et s’assemblent. Plus de deux ans après ce piratage informatique qui a visé, en 2017, l’équipe de campagne d’Emmanuel Macron, aboutissant à la publication du contenu de plusieurs messageries électroniques juste avant le second tour de l’élection présidentielle, de nouveaux indices font surface. Pour la première fois, des éléments, recueillis par Le Monde, accréditent techniquement l’implication coordonnée de deux unités de pirates étatiques russes dans cette tentative de déstabilisation du scrutin présidentiel. A l’époque, l’entourage du candidat avait dénoncé « une forme d’ingérence ».
Fin novembre, deux chercheurs de Google, spécialisés dans la traque des groupes de pirates informatiques les plus sophistiqués, ont présenté le résultat de certains de leurs travaux dans le cadre d’une conférence spécialisée. Nous avons pu consulter les diapositives qu’ils ont produites lors de cette démonstration : à l’intérieur, figurent des renseignements inédits sur le déroulé et les responsables des « MacronLeaks ».
L’entreprise FireEye a également exhumé des détails sur ce piratage. Moins connue du grand public et spécialisée, elle aussi, dans la chasse aux pirates les plus perfectionnés, elle a passé ces dernières années à analyser le dispositif de l’Etat russe dans le cyberespace. Ses travaux sur le piratage de l’équipe d’En marche ! consignés en 2018 dans un document réservé à ses clients, dont nous avons pu prendre connaissance, ont aussi été partiellement rendus publics dans le dernier ouvrage du journaliste spécialisé Andy Greenberg, qui vient de paraître aux Etats-Unis (Sandworm : A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers, Doubleday, non traduit).
Pirates issus ou proches du renseignement militaire russe
Selon ces sources, les pirates qui ont visé la présidentielle française ne sont pas des amateurs. Deux unités hautement spécialisées liées au service de renseignement militaire russe, le GRU, ont successivement pris pour cible les comptes e-mails de proches du futur président de la République.
L’opération remonte à début mars 2017, quelques semaines avant le premier tour de l’élection. Un premier groupe de pirates, bien connu des experts du secteur et désigné sous le nom de code APT28, commence à envoyer des courriels destinés à piéger leurs cibles pour leur dérober identifiants et mots de passe.
On sait désormais que les contours d’APT28 épousent ceux de l’unité 26 165 du GRU
Il vous reste 73.17% de cet article à lire. La suite est réservée aux abonnés.