Passer au contenu

Présidentielle : comment les hackers russes veulent influencer l’élection

L’ombre d’APT28, le redoutable groupe de pirates russes, plane sur l’élection présidentielle française. Selon certains experts, leurs canaux d’intox seraient désormais pointés sur l’Hexagone.

Faut-il craindre l’influence des trolls russes dans l’élection présidentielle française ? La question se pose depuis plusieurs mois, et tout particulièrement depuis que l’équipe de campagne d’Emmanuel Macron a publiquement mis en cause la Russie dans une vague d’intox sur le web. Mais si c’est vrai, qui tire concrètement les ficelles ?

Selon les analystes de FireEye, un cabinet d’audit en sécurité informatique, il s’agirait d’APT28 (alias FancyBear ou Sednit), un groupe de pirates russes que l’on soupçonne être l’émanation du renseignement militaire russe (GRU). « C’est un groupe que nous suivons depuis plusieurs années. Ils disposent d’un certain nombre de relais sur les réseaux sociaux qui étaient très actifs durant les élections américaines et qui maintenant poussent de l’information sur la France, avec des sujets pro-extrême droite et anti-européens », nous explique David Grout, directeur technique EMEA chez FireEye.

Un flux permanent

Beaucoup de ces relais sont sur Twitter. Certains de ces comptes sont éphémères, d’autres existent depuis des années. « APT28 ne se cache pas. Nous suivons de manière active une bonne dizaine de comptes dont certains ont des centaines de milliers de followers », souligne le directeur technique. L’un des comptes affiliés à APT28 serait @ChristopheHeer52, qui déverse en continu des informations, créées en propre ou simplement retweetées. Les interventions de Marine Le Pen en font systématiquement partie. Evidemment, il est peu probable qu’il s’agisse là d’une seule personne, compte tenu du rythme de publication. Derrière ce nom se cache sans doute plusieurs auteurs, voire même des robots. Car l’objectif est simple, c’est de faire du volume. Les trolls tweetent et se retweetent le plus possible, histoire de créer un effet d’entrain et de maximiser la surface d’affichage sur la Toile.

Selon FireEye, cette activité d’influence et de manipulation d’information est relativement récente chez APT28. « Au départ, ce groupe ne faisait que du cyberespionnage, principalement du vol de propriété intellectuelle. La cyber-influence est apparue en 2014. Le vol d’information fait toujours partie de leurs objectifs, mais s’y est ajouté la diffusion et la manipulation de cette information. C’est pour cela que le groupe s’est doté de relais sur les réseaux sociaux », poursuit David Grout.

Les modes opératoires sont assez subtils. A l’occasion du piratage de l’agence anti-dopage, on voit d’abord fuiter des extraits de rapports ou de documents, tout en utilisant les codes graphiques des rebelles d’Anonymous. Ce qui permet d’instaurer une certaine confiance avec le lecteur. Ensuite, ils présentent des documents manipulés ou hors contexte pour créer de l’intox. Une tactique redoutablement efficace, car elle profite du poids de la première impression. « Au moment de l’attaque sur TV5Monde, qui était également l’œuvre d’APT28, la majorité des gens a gardé en mémoire l’origine cyber-djihadiste, qui pourtant était totalement fausse », souligne le directeur technique.

Rester en alerte

Cette puissance de l’intox, c’est également ce que redoute en premier plan les équipes de campagne des candidats à la présidentielle. « Clairement, ce ne sont pas les attaques informatiques que l’on craint. Le vrai risque pour nous, ce sont les fausses informations et les attaques sur la réputation du candidat », nous explique Mounir Mahjoubi, responsable de la campagne numérique d’Emmanuel Macron, à l’occasion d’une conférence du Cercle des Assises de la Sécurité. Pour parer ce genre d’attaques, il faut être constamment en alerte, c’est pourquoi l’ancien président du Conseil national du numérique s’est doté d’un outil de veille capable de détecter rapidement les vagues d’intox. Ce logiciel s’appuie sur Visibrain, une offre de « web monitoring », et Gephi, un logiciel libre d’analyse et de visualisation de réseaux.  

Une fois l’attaque identifiée, il faut alors tout de suite aller au front et diffuser des contre-informations et des analyses qui décrédibilisent la vague d’intox. Mais attention, il faut le faire de façon ouverte et transparente. « Créer sa propre armée de trolls, comme certains candidats ont essayé, est une démarche risquée. Si l’on découvre l’origine de la manœuvre, on se prend un retour de flamme. Plutôt que d’essayer la tactique trolls contre trolls, il vaut mieux informer sur ce qui se passe », nous explique Loïc Guézo, stratégiste cybersécurité Europe du sud chez Trend Micro.

Impossible à éradiquer

Malheureusement, c’est à peu près tout ce qu’on pourra faire. L’intox est immatérielle et impossible à éradiquer totalement. C’était vrai à l’époque de la Pravda et c’est encore plus vrai à l’heure d’Internet. « Les réseaux sociaux permettent de toucher très vite beaucoup personnes, avec des images et des vidéos. On est beaucoup plus proche des cibles qu’il y a trente ans », souligne Loïc Guézo. Quant à l’attribution, elle se révèle finalement aussi difficile que dans les piratages informatiques : on ne peut jamais être certain à 100 %. Sur le plan juridique, c’est donc l’impasse. « Même si l’on arrive à prouver que les Russes ont voulu influencer l’élection aux Etats-Unis, d’un point de vue légal, ce n’est pas suffisant pour remettre en question le vote. On ne peut pas prouver une influence intellectuelle », estime David Grout.

Reste à savoir quel est réellement le poids en France de ces trolls venus du froid. En France, il n’y a pas eu de piratage spectaculaire comme aux Etats-Unis. Mais cela ne veut pas dire que l’influence des trolls est inefficace. Premiers éléments de réponse le 23 avril.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN