« En 2017 [avec les MacronLeaks, ndlr], nous avons découvert une nouvelle victime de cyberattaques : la démocratie ! », affirme Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Cinq ans plus tard, face à une menace plus grande encore, les experts sont plus que jamais sur le pied de guerre.
Les experts s’attendent à tout et surtout au pire
Campagnes de désinformation, d’e-mails frauduleux et d’hameçonnage (phishing), attaques par déni de service (DDoS) d’ordinateurs zombies (ordinateurs reliés à un réseau piraté, ou infectés par un virus ou un cheval de Troie) provoquant la saturation de sites Internet et la panne de serveurs, piratages de messageries internes et exfiltrations de données, publications de cheap/deepfakes… À quelques semaines de l’élection présidentielle, les experts en cybersécurité s’attendent à tout et surtout au pire. La plupart sont donc à l’œuvre depuis plusieurs mois pour déjouer les plans les plus machiavéliques.
L’ANSSI et Viginum veillent
Tous les ministères « peuvent être une cible : si vous publiez les sujets du bac avant l’élection, vous perturbez le scrutin », s’inquiétait Cédric O, secrétaire d’État au numérique, début septembre 2021 lors du Forum international de la cybersécurité de Lille (Fic). Au service de l’État, l’Anssi et le récent Viginum (le service de vigilance et de protection contre les ingérences numériques étrangères, opérationnel depuis la rentrée 2021) veillent donc au grain.
Un responsable « cyber » dans les partis politiques
Si l’État organise la défense des institutions et des administrations avec ses propres « gardiens » (dotés de moyens conséquents : 136 millions d’euros pour l’Anssi, pour « renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022 », et 12 millions pour Viginum), les partis politiques et les candidats ne sont pas en reste. Depuis 2017, ces derniers ont tous bien compris l’impérieuse nécessité d’assurer leur propre cybersécurité. Pour ce faire, ils ont commencé par nommer un responsable dédié, à la tête d’un budget adapté (de l’ordre de 5% du budget total consacré au numérique) et éventuellement conseillé par une société externe spécialisée.
Éviter un nouveau MacronLeaks
En septembre 2021, La République en Marche (LREM) a ainsi recruté Christian Bombrun pour superviser la gestion des bases de données, l’organisation de la cybersécurité et la lutte contre la désinformation en plus de développer la stratégie en ligne. Charge à cet ex-cadre clé d’Orange (il était directeur des produits et services, et de la division Orange Content) de relever un sérieux défi : éviter un nouveau MacronLeaks/Macrongate, ou la première cyberattaque étrangère d’envergure lors d’une élection nationale.
Le risque numéro un : la cyberdéstabilisation
Pour rappel, lors du traditionnel débat télévisé de l’entre-deux-tours, Marine Le Pen avait insinué qu’Emmanuel Macron possédait « un compte offshore aux Bahamas » en s’appuyant sur de faux documents circulant sur les réseaux sociaux. Puis, deux jours avant le second tour, près de cent-cinquante-mille courriels et documents issus des messageries piratées de cinq membres de l’équipe de campagne, parmi lesquels Cédric O alors trésorier du mouvement, avaient été mis en ligne.
La modification de l’affichage du résultat le jour J ?
Bien que les menaces promettent d’être plurielles, multisectorielles et plus subtiles qu’il y a cinq ans, la cyberdéstabilisation des candidats par des campagnes de désinformation apparaît comme la première préoccupation des professionnels. La publication des conclusions d’un sondage confidentiel sur une mesure phare d’un programme, la mise en ligne des noms des financeurs d’une campagne ou encore la diffusion massive d’infox (fake news) sur les réseaux sociaux à travers un cheap ou un deepfake pourraient avoir de graves conséquences, jusqu’au basculement des votes. Les attaques les plus virulentes étant attendues au dernier moment, juste avant le scrutin, d’aucuns redoutent même la modification de l’affichage du résultat le jour J suite au piratage des systèmes de publication des votes.
Des bonnes pratiques et de l’expertise
Puissances étrangères, lobbys, « entrepreneurs d’influence » (organisations plus ou moins proches des gouvernements, mais n’agissant pas sous leur autorité directe), réseaux terroristes ou militants-hacktivistes isolés : les profils des cybercriminels sont nombreux et variés. Le constat vaut également pour leurs motivations : décrédibilisation d’un candidat aux opinions divergentes (la Russie lors des dernières présidentielles américaines et du référendum sur le Brexit), propagande politique (les militants néonazis américains impliqués dans le Macrongate), collecte de données personnelles, sensibles ou stratégiques à des fins d’espionnage ou, plus prosaïquement, de chantage financier, etc.
Des solutions pour réduire les risques
Il existe fort heureusement des solutions pour réduire les risques au maximum au sein des partis. Celles-ci se répartissent entre l’adoption de bonnes pratiques par les équipes (utilisation d’un antivirus professionnel et d’un réseau privé virtuel, ou VPN, à double authentification, automatisation des mises à jour de sécurité, etc.) et le déploiement d’outils plus sophistiqués, dignes d’une entreprise classique, comme la sécurisation du système d’information (SI) par la mise en place d’un procédé de journalisation des événements associé à un SIEM (Security Information Event Management) afin de détecter toute intrusion malveillante.
De l’importance d’être bien conseillé
En 2017, plusieurs spécialistes ont pointé du doigt le manque d’expertise et de vigilance des partis dans la gestion de leurs outils numériques. Après analyse des trente-sept sites rattachés aux onze candidats en lice, Damien Bancal, journaliste fondateur du site Zataz.com consacré à la délinquance informatique, avait ainsi décelé plus de deux cents failles de sécurité. Celles-ci relevaient autant d’injections SQL (piratage d’un morceau de code SQL, ou Structured Query Language, en vue de manipuler une base de données et d’accéder à des informations potentiellement importantes) et XSS (ou cross-site scripting, soit l’introduction de scripts malveillants, exécutés dans le navigateur) que d’erreurs grossières comme des mots de passe trop simples et le défaut de mise à jour du CMS (Content Management System, ou système de gestion de contenu d’un site). Pour accéder au site des Républicains, il suffisait d’entrer un identifiant et un mot de passe identiques : « admin » ! Et le site d’En marche ! fonctionnait sous la version 4.4.2 de WordPress datant de mars 2016 : à l’approche de l’élection, pas moins de quatorze mises à jour auraient dû être effectuées, avec d’importantes corrections de sécurité.
