À la veille du second tour des élections présidentielles en France, des documents issus d’un piratage « massif et coordonné » de l’équipe En Marche d’Emmanuel Macron ont été mis en ligne et relayés par WikiLeaks. Il s’agissait visiblement de l’aboutissement de plusieurs tentatives de piratage signalées déjà en février par l’équipe de campagne d’Emmanuel Macron. En ce moment, En Marche semblait pointer la Russie du doigt, même s’ils n’avaient pas assez d’arguments pour l’affirmer. Leurs soupçons ont toutefois été confirmés par Trend Micro, en fin avril. La firme de sécurité a en effet déclaré avoir trouvé des éléments montrant que le groupe d'espionnage « Pawn Storm » a ciblé l’équipe de Macron avec des tentatives de phishing et d'installation de logiciels malveillants sur son site de campagne. Il faut noter qu’il s’agit du même groupe de pirates suspecté d’être derrière les piratages des mails du parti démocrate américain.
De manière logique, après le vol des documents internes de l’équipe de campagne d’Emmanuel Macron, les soupçons ont été portés encore sur la Russie, et les métadonnées des fichiers piratés tendent à confirmer la piste russe. Les Macron Leaks, d’après le nom donné à cette fuite, avaient en effet des empreintes russes.
Georgy Petrovitch Rochka, ce nom à consonance russe est apparu plusieurs fois dans les métadonnées, indiquant que celui qui porte ce nom aurait modifié ou ouvert des fichiers créés par Cédric O., trésorier du mouvement En Marche. Les Macron Leaks contenaient également des fichiers édités sur des ordinateurs utilisant des caractères russes. Si ces détails peuvent être considérés comme de fausses pistes créées par d’autres attaquants, Mediapart, qui a décidé de suivre cette piste russe, note cependant qu’en Russie, il existe bel et bien quelqu’un du nom de Georgy Petrovitch Rochka.
Sur Internet, Mediapart retrouve le nom Georgy Petrovitch Rochka dans la liste des participants à une conférence informatique de renom : Parallel Computational Technologies (PCT). Georgy Petrovitch Rochka aurait participé en avril 2014 à cette conférence russe, et se serait enregistré à cet évènement comme « expert » de la société Evrika. D’après Mediapart, il aurait même laissé un mail privé. En ce qui concerne Evrika, il s’agit de l’une des plus grosses entreprises russes de sécurité informatique, et qui, depuis 2003, travaille avec le service fédéral de sécurité russe (FSB) dans « des activités dans le domaine de la protection des secrets d’État », comme « la détection de dispositifs d’écoute électronique dans les outils d’ingénierie ».
Mediapart a donc contacté la firme de sécurité informatique pour réagir sur cette affaire. Evrika a d’ailleurs répondu, mais en niant toute relation avec le dénommé Georgy Petrovitch Rochka. Dans un email datant du 11 mai, Irina Vladimirskaya, la directrice adjointe de la société a écrit que « pour la période du 1er janvier 2003 au 10 mai 2017 », Georgy Petrovitch Rochka « ne travaillait pas sur une base permanente et n’avait pas conclu de contrat temporaire » avec Evrika. Elle précise aussi qu’il ne figurait pas non plus dans la base des adresses électroniques de son domaine. Irina Vladimirskaya ajoute encore, dans son email, que « selon des informations disponibles en source ouverte, Georgy Petrovitch Rochka a participé à l’édition 2016 de “Parallel Computational Technologies” (PCT) à Arkhangelsk, et à celle de 2017 à Kazan, se présentant comme l’employé d’autres organisations ». Elle suggère donc que celui dont le nom apparaît dans les métadonnées des fichiers piratés du mouvement En Marche serait un usurpateur. Ses déclarations paraissent toutefois douteuses pour certaines raisons également mises en avant par Mediapart.
La responsable de la firme de sécurité russe affirme qu’Evrika n’a pas participé à la conférence informatique en 2014, alors que le site Web de la conférence indiquait qu’il y avait deux autres individus, en plus de Georgy Petrovitch Rochka, qui se sont inscrits comme représentants d’Evrika. Comme par coïncidence, la page Web en question n’est désormais plus accessible.
Il faut encore noter que les conférences PCT sont organisées sous l’égide du ministère de l’éducation et des sciences de la Russie. Elles réunissent chaque année une centaine d’universitaires et de spécialistes en informatique, mais sont également fermées au grand public et parfaitement encadrées. Cela indique, d’après Mediapart, qu’il est plutôt difficile que quelqu’un puisse s’y enregistrer sans documents officiels ni références pertinentes. Le site Web d’information et d’opinion dit également avoir consulté les documents officiels des conférences PCT de 2016 et 2017, sans trouver la moindre trace de Georgy Petrovitch Rochka, alors que la société Evrika affirme qu’il aurait participé à ces conférences, en s'enregistrant au nom d’autres organisations. La firme de sécurité russe serait-elle impliquée dans les cyberattaques contre le mouvement En Marche ? Ou serait-elle victime d’un groupe de hackers qui a soigneusement planifié son attaque pour que les pistes mènent à la Russie ?
Source : Mediapart
Et vous ?
Qu’en pensez-vous ?
Macron Leaks : les métadonnées mènent à un sous-traitant du service de sécurité russe (FSB)
La firme de sécurité Evrika nie toutefois son implication
Macron Leaks : les métadonnées mènent à un sous-traitant du service de sécurité russe (FSB)
La firme de sécurité Evrika nie toutefois son implication
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !