Affaire #macronleaks : « qui » piège « qui » ?

Phot-JPB-DPO NEWS

@jpbichard *

 

Affaire #macronleaks : « qui » piège « qui » ?

 

Les informations présentées comme volées sont aussi parfois ...fausses et peuvent donner lieu sur les réseaux sociaux à des « Fake News ». En cybersécurité, l'attaquant peut parfois se trouver piégé par l'attaqué. On touche là à une forme de « cyber-game » avec différents niveaux de « faux » entre pirates et victimes. L'affaire nommée à tord #macronleaks illustre ces pratiques de « faussaires » déclinées en politique.

 

 

Que vaut une information non authentifiée ? En théorie pas grand chose mais sur Internet c'est tout le contraire. C'est une des leçons du #macronleaks. Mais commençons par le début. Personne n'en parle mais c'est le nom donné par les experts en cybercriminalité pour ce type de cyber-attaque.  BEC pour Business Email Compromise ou compromission de mails spécifiques au « business » monde politique inclut.

Sur plus de 430 millions de malwares - logiciels malveillants - détectés en 2016 en France combien concernent les BEC  ? Le FBI (1) vient de publier (mai 2017) un rapport révélant que les pertes liées aux cyberattaques ciblant les mails professionnels des messageries d'entreprise dépassent la barre des 5 milliards de dollars. Selon cette étude, ce serait près de 40 000 incidents BEC qui auraient été signalés entre octobre 2013 et décembre 2016.

Cette tendance s'explique : peu onéreuses et très lucratives tout en préservant l'anonymat, les attaques « BEC » attirent les cybercriminels et de plus en plus de cyber-mercenaires. Les « BEC » reposent en majorité sur les principes anciens d'usurpation d'identité d'un email. Mais un mail ciblé à la différence des attaques de masse. Coté « outils », l'éventail « BEC » en intègre plusieurs accompagnés de méthodes. Parmi les méthodologies, l'une des plus répandue se nomme « spearphishing ».

Des stratégies payantes car on l'ignore souvent, ce type d'attaques a généré plus de pertes auprès des entreprises, organisations, associations, secrétariats et services administratifs que les fameux « ransomwares » (ou rançongiciels) largement plus répandus.

Au delà des « avantages financiers » retirés par les attaquants, ces cyber- attaques menées par des cybercriminels aguerris menacent directement des cibles VIP précises. Il s'agit de décideurs y compris politiques et de leurs équipes, services, départements, secrétariats... Ces cyber-attaques se distinguent car elles ne sont pas basées sur l’appât du gain ou le chantage souvent « payant » ( http://bit.ly/2qzQDNi ) mais sur l'influence via le vol d'informations stratégiques très ciblées. Il ne s'agit plus d'arnaques financières mais davantage d'opérations de déstabilisation menées auprès de décideurs influents ou de leurs équipes. Aucun secteur ne se trouve à l'abri. Hier les milieux d'affaires occupaient la première place. 2017 marque  « l'entrée » officielle dans le monde des cyber-attaques de nouvelles cibles « spearphishing »: les politiques.

Les récentes attaques sur les sites d’Hillary Clinton et du mouvement « En Marche ! » illustrent cette évolution. Et c'est sur ce point que nous retrouvons comme par hasard ce que certains décrivent comme « l'affaire #macronleaks ».

 

2017 marquera  « l'entrée » officielle dans le monde des cyber-attaques de nouvelles cibles: les politiques

MacronLea ks ? Si l'on se souvient que pour les experts, un « leak » correspond à la définition d'une fuite organisée de documents destinés à des journalistes qui les vérifient, le nom est mal choisi. Dans le cas du mouvement du nouveau Président Français, les faits indiquent une intrusion de cyberattaquants en mode « spearphishing » afin de voler des données « stratégiques ». Objectifs politiques : déstabiliser un candidat voire influencer des résultats électoraux.

Lors de la campagne présidentielle d'Emmanuel Macron, son équipe a été selon les premiers éléments de l'enquête - en cours actuellement - la cible de plusieurs attaques menées par des groupes cyber dont Un nommé « Pawn Storm ». D'autres sont suspectés avec pour origine les milieux conservateurs nord américains. Concernant « Pawn Storm » si cette piste est confirmée, il s'agirait d'une association de « black hackers » présentée comme très proche du GRU, la direction générale des renseignements des forces armées russes. Mais aucune preuve n'est encore apportée par les enquêteurs. Attribuée une cyberattaque à un auteur - généralement un groupe de cybercriminels parfois cyber-mercenaires - demeure extrêmement complexe. C'est d'ailleurs l'un des problèmes de ce type de cyberisques.

La technique de « spearphishing » utilisée par les attaquants sur les serveurs du mouvement « En Marche ! » a consisté à envoyer à des membres de l'équipe des emails en usurpant une identité connue des destinataires. Mis en confiance, ces « users » ouvrent les pièces jointes ou cliquent sur les liens (malveillants) intégrés aux mails. Ce qui permet aux cybercriminels d'obtenir les identifiants de connexion et l'accès aux boites mails « piégées ». Les attaquants accèdent aussi – on ne le souligne pas assez - aux « droits » rattachés à chaque utilisateur piraté. Munis de ce « sésame numérique », les cybercriminels peuvent consulter, modifier, dupliquer, effacer, voler, publier...des documents « stratégiques ». A condition toutefois que ces documents se révèlent authentiques. Nous verrons que cet aspect du problème est de loin le plus important. Que vaut une information non authentifiée ? En théorie pas grand chose mais sur Internet c'est tout le contraire.

 

 

A qui attribuer les cyberattaques #macronleak ?

Pour l'attaque « #macronleak » en plus de l'usurpation d'identité, une autre méthode a été retenue par les cybercriminels. Ils ont créé des noms de domaines « falsifiés », très proches de ceux très souvent consultés par les collaborateurs du nouveau Président (à l'époque encore candidat). Via ces faux sites, les attaquants auraient réussi a tromper la vigilance des équipes du candidat. Cette méthode classique de phishing est connue. En confiant leurs « id » et « password » sur ces « faux sites », les collaborateurs d'Emmanuel Macron auraient « ouvert » les accès aux serveurs réservés aux équipes « En Marche ! ». Sauf que...

Avertis de ces tentatives d'attaques, les équipes d'Emmanuel Macron auraient décidé volontairement de laisser accessibles aux cybercriminels de faux documents. Selon elles, ce sont ces « faux documents » qui seraient aujourd'hui en consultation libre sur Internet (lire la section Bonus en fin d'article).

Pour parvenir à mettre en place cette ruse, les « geeks marcheurs» auraient toujours selon une source interne, tendu un piège aux attaquants. Prévoyant une attaque de type « spearphishing », la « task force » numérique du candidat aurait créée un « honeypot » ou pot de miel. Ce terme que tous les experts en cybersécurité connaissent résume une architecture de sécurité qui oriente les attaquants vers de fausses destinations (serveurs) et de fausses données. Les "faux" serveurs permettent ainsi d'observer le comportement des "vrais" attaquants tout en protégeant les documents ciblés. Officiellement c'est ce qui s'est produit chez "En Marche!". Il est exact que les documents publiés (15 Go en ligne sur le Net) ne « révèlent » rien (pour les consulter : section BONUS en fin d'article).

On peut penser qu'au sein du mouvement politique d'Emmanuel Macron (39 ans) les véritables échanges « confidentiels » s'effectuent via des messageries chiffrées de type Telegram. Conseillé de près par l'ANSSI (Agence nationale de la sécurité des systèmes d’information), Emmanuel Macron que le numérique intéresse a dû retenir des solutions de sécurité renforcées pour ses échanges mail avec ses plus proches collaborateurs. Aucun document publié n'est effectivement signé par lui. Bref, assistons-nous a une simple tempête numérique dans un verre d'eau de big data ? Pas si simple.

 

original.98252.zoom

 

 

Des cyber-attaques non attribuées mais amplifiées par les réseaux sociaux

Pas si simple en effet. Si l'impact de l'attaque demeure sans gravité, son origine intéresse tout le monde. Pour les enquêteurs en charge de l'affaire #macronleaks, il faut donner des « attributions » à ces attaquants afin de prouver l'origine des cyber-attaques. Les équipes de la BEFTI (Brigade d'enquêtes sur les fraudes aux technologies de l'information) s'appuient entre autres sur les traces d'informations laissées par les attaquants : adresses IP, structure des malwares, profil des liens malveillants, structure des mails, méthodologie de l'attaque, comportement dans les "pots de miel"...

Reste que ces cyber-enquêtes débouchent rarement sur des attributions « concrètes » et pas toujours rendues publiques...

Pourquoi ? pour deux raisons : la première touche aux difficultés techniques pour remonter aux sources d'une cyber-attaque. La seconde plus « géopolitique » relève des principes liés aux relations internationales. En effet, de plus en plus de pays se dotent d'une « cyber-force » officielle dans le cadre de leur doctrine de cyber-défense. Ces cyber-forces dans certains pays collaborent plus ou moins officiellement avec des groupes de « hackers » internationaux dont certains offrent des services que l'on peut rapprocher de ceux fournis par des officines de « cyber mercenaires ». Bref une nébuleuse un peu trouble et très « underground ». Au delà des motivations, ces affaires de « rumeurs 4.0 » soulignent le rôle crucial de "caisse de résonance" joué par les réseaux sociaux.

 

Les journalistes ne sont pas des internautes comme les autres

On le sait, la reprise massive « d' informations non vérifiées » via des documents « non authentifiés » et donc susceptibles d'êtres des faux aurait pu avoir des conséquences sur les résultats des élections. Rappelons-le : «  Facebook » et « YouTube » cumulent plus de 2 milliards d'abonnés dans le monde. Twitter 317 millions. En France, Facebook regroupe 31 millions d'utilisateurs, YouTube 26 millions et Twitter 14 millions. Et combien de « fake news » au total ?

De plus en plus de documents « préfabriqués » accompagnent des tweets et autres messages sur les réseaux sociaux. On touche avec ce phénomène au « doublement faux » en incitant des internautes honnêtes et parfois mal-intentionnés à diffuser volontairement ou pas des « faux » sur la toile. Internet devient en plus du réseau mondial qu'il incarne, un amplificateur géant de rumeurs 4.0 !  

En soulignant cette nouvelle dimension d'internet, on touche là au cœur de la « cyber-perversité » des réseaux sociaux considérés à tord ou à raison comme des diffuseurs d'informations trop souvent au même titre que les médias traditionnels. A la différence que dans des médias dignes de ce nom, travaillent des journalistes professionnels. Dis autrement, les journalistes ne sont pas des internautes comme les autres. Ce sont des professionnels qui vérifient et authentifient l'information avant de la publier. Que ça plaise ou pas, cette différence demeure essentielle. Vouloir mélanger les contenus des médias traditionnels avec ceux des réseaux sociaux sans distinction au préalable, c'est assassiner la presse professionnelle. C'est aussi favoriser les « rumeurs 4.0 » et favoriser de nouveaux #macronleaks.

 

@jpbichard

  

* Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

 

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

@cyberisques @jpbichard @DPO_NEWS

 

 

 

 

 

BONUS :

https://mobile.nytimes.com/2017/05/09/world/europe/hackers-came-but-the-french-were-prepared.html?smid=tw-nytimes&smtyp=cur&_r=1&referer=https://t.co/pWdoRdmfrg

 

http://www.cyberisques.com/fr/component/content/article/83-categorie-3/661-dpo-news-cyberisques-chiffrement-la-lettre-du-conseil-national-du-numerique-au-ministre-de-l-interieur

 

//medium.com/@lemebfr/ce-quil-y-a-vraiment-dans-les-macronleaks-pas-grand-chose-3de14d82f662">https://medium.com/@lemebfr/ce-quil-y-a-vraiment-dans-les-macronleaks-pas-grand-chose-3de14d82f662>

 

http://tnova.fr/etudes/la-triche-electorale-en-ligne

 

http://www.securityweek.com/who-hacked-french-president-elect-emmanuel-macrons-campaign

 

 

 

Comment tracer la désinformation de type "fake news " ?

 

Quelles sont les sources de production ? Quels sont leviers de circulation et de réception de la désinformation sur le Web et les plates-formes numériques ? Au delà des botnets, trolls, "fact-checking "... de nouvelles « méthodes » existent. Destiné aux journalistes, aux chercheurs, aux étudiants, aux organisations de la société civile et aux institutions publiques, le guide proposé par Public Data Lab cartographie les fausses nouvelles puis les analyse en termes d'impact. le projet Public Data Lab a été développé en collaboration avec First Draft (firstdraftnews.com), une initiative visant à améliorer les compétences et les normes sur le partage d'informations en ligne.

 http://publicdatalab.org/

 *

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires