Les “hackers russes” font la fête à tout le monde (#oupas)

On assiste dernièrement à une hystérisation inutile et potentiellement dangereuse de la question de cyberinfluence étrangère sur les élections françaises. Prenons du recul.

Le contexte de ce bref billet est l’échange que j’ai eu avec Elsa Trujillo du Figaro Tech que je remercie pour son attention et la sensibilité de ses questions. L’article où ma modeste contribution figure est ici, bonne lecture !

Comme le format et la ligne éditoriale du journal ne permettent pas nécessairement d’ajouter tous les détails que j’ai fournis dans mes réponses, je les ajoute à la suite et les complète. J’espère qu’ils permettront de fournir un peu de contexte et serviront de point d’appui quant à l’interprétation de ce genre de propos criards et souvent peu justifiés.

[Complément du 15 février, 11h CEST] L’Informaticien a fait un petit article qui nous en apprend beaucoup sur les déboires d’En Marche !. On y lit que jusqu’au 14 janvier 2017, le site https://en-marche.fr était géré par l’entreprise NBS System, mais que depuis, ils ont décidé de s’en remettre à Google Cloud Platform. Bizarrement (ou pas tant que ça), l’augmentation des “attaques” a été notable sur la période post-infogérance par NBS, comme le dit Mounir Mahjoubi dans Le Monde du 14 février :

Depuis trente jours, nous avons subi quatre mille attaques

Du coup, ce que l’on pourrait déduire le plus raisonnablement, c’est que les configurations ne sont pas les mêmes entre les deux gestionnaires du site. Ce qui expliquerait les changements perçus. Je laisse à votre appréciation le sérieux d’une telle communication (cf. ci-dessous) qui transforme une très probable mauvaise infogérance en une déclaration d’ingérence hostile d’un gouvernement étranger dans la politique française. [/fin du complément]

La raison de sa colère

On apprenait, via le JDD et Le Monde, que le candidat à la présidentielle Emmanuel Macron et son mouvement En Marche ! aurait provoqué l’ire de Vladimir Poutine, l’équivalent géopolitique du croque-mitaine de notre enfance. En réponse à la popularité galopante du candidat, Poutine aurait donc ordonné à ses sbires de cybermalveillants de s’attaquer au site web d’En Marche !. Une histoire concomitante parle de manœuvres de déstabilisation via des rumeurs et de la désinformation.

Tous ces méfaits visent apparemment le candidat Macron et sont relatés à force de gesticulations et grossissements par Mounir Mahjoubi, ex-président du Conseil National du Numérique (CNNum) et depuis quelques semaines, membre de l’équipe de campagne d’En Marche !.

Ce qui est dommage dans cette histoire, c’est de compromettre d’une telle façon des tentatives d’influence qui pourraient (ou pas) arriver. Disons que c’est toujours plus utile et plus prudent d’avoir une approche de scénarisation, de modélisation des menaces et de leur qualification selon la probabilité d’arriver et la criticité que de pouffer en disant “c’est du n’imp, ça n’arrivera jamais”.

Cela étant dit, les envolées lyrico-géopolitiques de Mounir Mahjoubi ne sont ni justifiées ni précautionneuses. Petite plongée dans le monde peuplé de zackers russes horribles (ou pas).

Les attaques

Pour qualifier les attaques dont le site Internet d’En Marche ! serait victime, Mounir Mahjoubi parle d’injections SQL, attaques de déni de service et de scans de port.

Ce qui y est décrit, c’est ce qui arrive à tout le monde tous les jours. La seule chose qu’on puisse dire, c’est qu’il est difficile de savoir s’ils ont vraiment un trafic atypique : ils peuvent dire ce qu’ils veulent. Un observateur extérieur tel que votre serviteure peut décider d’accorder le bénéfice du doute ou d’accabler. En ce qui me concerne, ma réponse est : accordons le bénéfice du doute, mais sans pour autant tomber dans l’hystérie “Poutine nous en veut personnellement”.

Par ailleurs, rappelons que l’équipe de Macron (aussi bien que celle de Fillon) ont déjà été averties de failles relatives à l’outil de gestion de contenus utilisés sur leurs sites respectifs : WordPress. On ne fera pas un inventaire des failles potentielles ici, c’est hors sujet, et elles dépendent de divers facteurs de toute façon. L’avertissement quant aux failles du WordPress d’En Marche ! a été d’ailleurs fait au moins le 7 février, comme l’indique l’article de Reflets.info.

Or, on apprend de l’article du Monde du 14 février et dans une réponse de M Mahjoubi, que ce n’est pas encore corrigé. Sincèrement, mettre un WordPress à jour doit prendre quelques minutes… En outre, n’importe quelle entreprise sérieuse qui fait de l’infogérance de site web s’assure que ce genre de mises à jour est fait de façon immédiate et que la configuration de pare-feu prend en compte les attaques les plus communes (e.g., celles nommées par ailleurs par Mounir Mahjoubi).
 
Mais au-delà de ça : quel est le modèle de menaces de l’En Marche ! ? Il y a quoi de si précieux sur un site web qu’une puissance étrangère s’acharnerait à s’y introduire ? C’est peut-être une question autrement plus importante (y compris légalement parlant) que faire de l’attribution des prétendues attaques de cette façon quelque peu pifométrique.

Qui attaque ?

Voilà le cœur du problème : l’attribution des attaques. C’est un exercice terriblement difficile. L’équipe de Macron semble cependant certaine que les attaques à leur encontre proviennent de la Russie. Comment en sont-ils si certains ?

Eh bien, d’après les dires de Mounir Mahjoubi, plus de la moitié des attaques provient d’IP ukrainiennes. Et de compléter :

Nous avons mené un travail d’identification immédiate des attaques. Quand nous subissons une attaque en déni de service ou une injection SQL, on voit l’adresse IP [l’identification de connexion de l’ordinateur, qui peut parfois donner une indication partielle de l’origine d’une attaque]. La moitié des quatre mille attaques provient d’Ukraine. C’est un pays qui n’est pas très stable, avec un très haut niveau de compétence technique : il y a des gens très qualifiés et des problèmes de stabilité politique. De nombreux pays qui utilisent l’Ukraine comme pays relais.

… Plaît-il ?… Bon, regardons chaque phrase séparément (et stp, cher lecteur, ne hurle pas : aie un peu pitié de ton voisin de bureau).

Cela semble être à la mode de dire que c’est la faute aux Russes. Il y a quelques années, cette mode attribuait toujours les attaques et compromissions diverses à la Chine.
 
L’adresse IP est une donnée fluide et peut être modifiée et/ou obsfusquée ou cachée. Ainsi, à elle seule, une adresse IP ne constitue pas une preuve de quoi que ce soit, encore moins est-elle l’argument le plus massu d’une attribution.
 
Par ailleurs, il aurait été bienvenu que M Mahjoubi et l’équipe sécurité du candidat s’intéressent davantage aux informations et données rendues publiques par le FBI et le Department of State américains. Dans deux rapports publiés en l’espace de moins de 2 mois, on peut très bien découvrir les approches y compris techniques des groupes d’attaquants identifiés comme intervenant pour le compte du FSB.

Parmi ces outils, le spearphishing a un rôle significatif car les approches sont celles d’espionnage. Le spearphishing, appelé encore du harponnage en français, est l’opération de ciblage d’une personne en particulier par une campagne de phishing. Ainsi, si on veut aller lire les mails de M Macron, on ne cherchera pas à faire du spearphishing à sa femme de ménage, mais à lui et/ou à ses plus proches collaborateurs. L’approche est donc très ciblée et très élaborée.

Or, des dires mêmes de M Mahjoubi, aucune attaque de ce genre n’a été identifiée par l’équipe d’En Marche !… Il y a énormément de choses qui sont connues quant à l’influence russe (“arsenalisation” de l’information) et qui démontrent comment une déstabilisation se fait et se réussit. L’utilisation d’adresses IP ukrainienne n’en fait pas partie.
 
Enfin, il est assez ahurissant de constater que pour d’aucuns, l’Ukraine et la Russie, c’est de pareil au même. Je rappelle, à toutes fins utiles, que les sanctions prononcées par l’UE à l’encontre de la Russie sont en réponse à l’ingérence des forces armées russes dans le conflit dans l’est de l’Ukraine. Si l’on veut user du même raccourci que celui fait par Mounir Mahjoubi, on dirait que l’attribution d’une IP ukrainienne à une attaque russe est une reconnaissance de facto par le candidat Macron que l’Ukraine et la Russie, c’est le même pays…

Endiguer les fausses informations

Dans un mélange qui prête énormément à confusion, Mounir Mahjoubi enchaîne sur les “fake news” et la désinformation :

On a un doute sur l’origine des cyberattaques, mais nous n’avons aucun doute que la Russie est très active, sur les fake news et sur les réseaux sociaux. On voit notamment des rumeurs propagées par des sites comme Sputnik et reprises par la fachosphère, de manière quasi symbiotique. On observe par exemple une galaxie de robots semi-automatiques sur les réseaux sociaux. On se rend compte que ça n’est pas possible que ce soit un être humain derrière certains comptes, qui postent entre cent et deux cents articles par jour, et prennent parfois la parole. On soupçonne une alimentation semi-automatique de ces comptes, c’est nouveau. Il y a deux explications : soit il s’agit de gens capables d’y passer leur journée, soit ils sont aidés.

Bon, l’un après l’autre. Il y a une différence énorme (du genre, GIGANTESQUE) entre une attaque telle que déni de service et ce qui est généralement décrit comme de la désinformation, qu’elle soit ou pas relayée par des bots.

Ce positionnement fait écho à l’appel du secrétaire général d’En Marche !, M Ferrand, publiée elle aussi le 14 février. Dans sa tribune au Monde, le monsieur lance ainsi un appel à l’attention du président de la République pour que “toutes les conditions de sécurité soient assurées contre les cyberattaques et ingérences dont cette élection présidentielle est la cible et afin de garantir le déroulement démocratique normal de l’élection”.

En quoi le président de la République française ou une quelconque institution publique doit s’occuper de l’infogérance du site web d’un candidat ? Il ne faut pas tout mélanger : la sécurité des systèmes d’information de l’État est une chose ; celle concernant les acteurs privés ou en tout cas non-institutionnels, c’est leur job. Ainsi, il revient à En Marche ! de s’assurer que ses équipes et outils sont sécurisées au mieux.

M Ferrand précise sa pensée :

Au même moment, M. Julian Assange fait savoir qu’il détiendrait des « informations intéressantes » sur Emmanuel Macron issues des mails piratés de Hillary Clinton. Si nous ne redoutons rien de telles « informations », le simple fait de manier le soupçon et la menace constitue un élément de déstabilisation démocratique. La proximité de M. Assange avec le régime russe n’est un mystère pour personne et ces déclarations ont été faites au journal russe Izvestia. Que les déclarations de ce hacker professionnel ayant déjà déstabilisé les élections américaines surviennent au moment où nous sommes attaqués ne saurait être une pure coïncidence.

Non, mais sérieusement ? Il s’agit d’un article dans Izvestia, certes (le voici pour les russophones). En somme, Assange dit que les fameuses informations “proviennent de la correspondance personnelle de l’ex-secrétaire d’État américain, Hillary Clinton”. J’ose espérer que l’équipe de campagne de Macron a regardé, vu que les mails de Clinton sont publiquement accessibles sur WikiLeaks.

Allez, regardons ensemble. Au total, il y a environ 5 000 mails relatifs à Le Pen et Fillon. Rien d’intéressant : une recherche par nom dans l’archive des mails de Clinton permet de les retrouver, ce ne sont pas de nouveaux éléments. Quant à Macron, c’est largement moins que ça : dans un mail de 2012, il est mentionné et décrit comme un “banquier [spécialisé] en fusions et acquisitions à Rotschild à Paris. Il est diplômé de l’ENA et a déjà travaillé à l’Inspection générale des finances et peut aussi devenir haut fonctionnaire au ministère de l’Économie” :

Dans un autre mail, on découvre que John Podesta, le directeur de campagne d’Hillary Clinton, transmet une invitation pour un dîner organisé par M Macron où seraient également présents Manuel Valls et plusieurs personnalités politiques européennes. Le mail date de 2015, M Macron est alors ministre de l’Économie. D’après le mail, la demande concerne la présence de “personnalités américaines”. Les expéditeurs aimeraient avoir un représentant de la campagne d’Hillary Clinton :

En tout, il n’y a aucun mail relatif à M Macron dans l’archive des mails du parti Démocrate. Il n’existe qu’un (1) mail relatif à M Macron dans l’archive de mails d’Hillary Clinton : note de synthèse mentionnant entre autres la nomination de M Macron au poste de Secrétaire général adjoint de la présidence de la République française, datant de mai 2012. Truc de fou, quand on pense qu’à ce moment Mme Clinton était secrétaire d’État aux affaires étrangères… C’est un peu le genre d’info qu’elle doit recevoir de par son poste. Enfin, j’ai identifié six (6) mails relatifs à M Macron dans l’archive de mails de John Podesta (idem avec “Emmanuel Macron”) :

On est tout de suite saisis d’effroi : quelques mails mondains sans aucun intérêt pour tout journal autre que Gala. Et c’est ce qui motive la tribune de M Ferrand ? Ce dernier enjoigne “plus hautes autorités de l’État” d’endiguer les rumeurs : qu’est-ce qu’il souhaite exactement ? Que le gouvernement fasse de la contre-propagande ? Que le gouvernement se place dans le rôle d’un censeur et interdit la publication de certains médias en France ? Ou que le gouvernement labellise ce qui est “l’information propre” ? Ce dernier cas existe, dans des pays tels que la Chine, la Russie, la Corée du Nord. Est-ce cela qui est souhaité ?

Rien ne vaut une bonne dose de réalisme et d’OPSEC

En parlant donc d’espionnage et de compromission, je crois que ce qui résume le mieux les choses est ce tweet de the grugq :

En effet, si quelqu’un (au hasard : Poutine) vous en veut personnellement, les mesures auraient été prises il y a des mois pour s’infiltrer et récupérer ce qui traîne. Pour ceux et celles qui auraient raté les épisodes précédents, les premiers articles de presse parlant d’intrusion malveillante ou tentative de telle chez le parti Démocrate américain datent de mars 2016, soit plusieurs mois avant que le monde entier n’apprenne que Hillary Clinton écrit des mails.

Pour finir, disons seulement que M Mahjoubi est un peu trop bavard (on pourrait parler d’une défaillance OPSEC, soit sécurité des opérations). La sécurité IT est une composante parmi d’autres et le facteur humain ne doit pas être négligé. Dans le cas présent, les explications détaillées de M Mahjoubi fournissent une surface d’attaques plus importante, ce qui peut être considéré comme un manquement en matière de sécurité.

Alors, je ne sais pas vous, mais moi à l’heure actuelle, je ne m’alarme décidément pas des mêmes choses que l’équipe d’En Marche !. Le pire (ou le mieux, ça dépend des allégeances politiques des uns et des autres) : leurs gesticulations font davantage de dégâts que la menace qu’ils décrivent. Est-ce une stratégie de campagne optimale ?

Et surtout, êtes-vous préparés à une éventuelle attaque de désinformation ? Puisque celle-là est aussi certaine, une professionnelle en prévention de crise et en gestion des risques comme moi s’attend à ce que toutes les précautions soient prises et testées régulièrement en préparation à ce type de possibilité. Alors, êtes-vous prêts ?