C’est officiel, le groupe de hackers Fancy Bear a bien piraté le mouvement d’Emmanuel Macron, En Marche !. C’est le résultat d’un rapport fourni ce mardi par la société de sécurité informatique installée au Japon, Trend Micro. Ces pirates n’en sont pas à leur coup d’essai.

Qui sont ces hackers qui se cachent derrière le nom « Fancy Bear » ?

Leur groupe se décline sous plusieurs alias. Appelez les « Fancy Bear », à l’américaine, ou « Pawn Storm », du nom d’un mouvement du jeu d’échecs (« Avalanche de pions »). « Cette figure du jeu d’échec leur ressemble bien : ce sont de petits coups anecdotiques, qui, pris dans leur vision d’ensemble, en font une grande stratégie, très forte. Cela correspond bien à la mentalité russe », explique Loïc Guézo, directeur du Développement chez Trend Micro. Autres pseudos fréquemment rencontrés : APT28, Advanced Persistent Threat 28 ou encore Sofacy group.

On les dit basés en Russie et proches du ministère de la Défense russe, mais les spécialistes ne disposent d’aucune preuve formelle, seulement d’un faisceau de preuves, qui n’a jamais permis d’identifier formellement l’origine de ces attaques.

Quelles sont leurs cibles privilégiées ?

Justement, leurs cibles sont très souvent des opposants au gouvernement russe : journalistes, partis politiques, dissidents… « Ils agissent toujours dans des opérations en lien avec les intérêts de la Russie », observe Loïc Guézo. La dernière cible en date est Emmanuel Macron, mais leur « gros coup » reste le piratage des mails de l’équipe d’Hillary Clinton lors de la présidentielle américaine. Tous les mails de son directeur de campagne John Podesta avaient été récupérés par le groupe et les informations sensibles qu’ils contenaient aussi.

Aujourd’hui, leurs attaques sont connues des entreprises de cybersécurité. Mais les hackers savent réinventer leurs méthodes : « Plus le groupe est pointu, plus il a capacité à créer de nouvelles attaques », assure David Bizeul, CTO de la start-up spécialisée en cybersécurité Sekoia.

Comment agissent-ils ?

Leur champ d’action va de petites opérations d’hameçonnage, qui consistent à duper l’internaute avec une fausse page Web dans laquelle il rentre ses informations confidentielles, comme un mot de passe ou un numéro de carte bleue, aux opérations très avancées comme le Zero Day. Cette technique consiste à repérer une faille inconnue dans le système informatique de sa cible, et à l’exploiter en bénéficiant de l’effet de surprise. C’est la première méthode qui a été utilisée pour viser Emmanuel Macron et son équipe. « Leur vrai but est d’accéder aux données de votre poste et aux informations confidentielles échangées avec d’autres », assure Loïc Guézo.

Des stratégies de sensibilisation ont été mises en place depuis trois ou quatre mois en France par l’Anssi (Agence nationale de la sécurité des systèmes informatiques) à destination des principaux partis politiques, explique David Bizeul. « Comme on a pu le remarquer sur de précédents cas, il y a un risque de manipulation de l’opinion publique », prévient-il. Les Fancy Bear restent surveillés de près par les organismes de cybersécurité. Depuis la clôture du rapport de Trend Micro, trois nouvelles attaques sur la présidentielle française ont été recensées. Les hackers russes continuent leur partie d’échec.