Macronleaks : 5 victimes et des failles de sécurité

Oh oui, dit comme cela, cela paraît bizarre, voire partisan et pourtant, les faits sont là : la boite mail d’Emmanuel Macron n’a pas été piratée. Il n’y a pas de MacronLeaks, tout au plus du EnMarcheLeaks, et encore, on pourrait dire du GmailLeaks ou du OutlookLeaks. Ce sont les pirates et leurs porte-paroles qui ont choisi cette appellation. La réalité les dément. Il y a surtout 5 victimes, 5 utilisateurs imprudents.

Qui a été piraté ?

Quentin Lafay, plume et contributeur au programme présidentiel

Soit 6 234 emails, datés du 5 novembre 2013 à 14:09  au 24 avril 2017 à 14:38.

C’est la boite GMAIL qui a été piratée. Chaque fichier eml (texte) est renommé : sujet de l’email + émetteur + date + heure, ce qui n’est pas à ma connaissance un nommage automatique réalisé par le logiciel client mail lui-même (la plupart du temps, c’est une suite de fichiers nommés par ordre numérique). C’est sans doute le logiciel utilisé pour le piratage qui a renommé chaque fichier (si vous avez un autre point de vue, je suis preneur).

Les fichiers ont été archivés / écrits en deux salves. L’une le 24 avril 2017 à 6:00 du matin, et l’autre le même jour entre 6:52 et 6:53. C’est un détail intéressant car le dernier mail daté de la boite mail de Quentin Lafay est à 14:38. En considérant qu’il s’est écoulé quelques minutes pour créer les archives, cela place l’ordinateur qui a opéré dans le fuseau horaire de Los Angeles, USA.

Anne-Christine Lang, députée PS de Paris, 9eme circonscription

Deux dossiers uniquement d’emails, soit 3 179 pour l’année 2017, copiés dans un répertoire nommé « 17 » et 11 827 pour l’année 2016, copiés dans un dossier nommé « 2016 ».

Le mail le plus ancien est daté du 31 octobre 2016 à 17:08 (dossier « 2016 ») et le plus récent du 24 avril 2017 à 14:03.

C’est aussi une boite GMAIL qui a été piratée. La logique de nommage des fichiers est identique à celle créée pour le piratage de Quentin Lafay.

Une première salve de fichiers a été compressée en archive le 24 avril 2017 entre 05:33 et 05:34 et une seconde salve entre 05:51 et 05:54 pour le dossier « 2016 ». Le dossier « 17 » a été compressé d’un bloc à 05:06

Alain Tourret, député PRG / PS du Calvados

Soit 4 108 éléments d’un bloc daté du 17 février 2017 à 19:05 au 21 mars 2017 à 15:14.

C’est aussi une boite GMAIL qui a été piratée. La logique de nommage des fichiers est différente de l’archive de Quentin Lafay et d’Anne-Christine Lang. Elle est séquentielle, créée par le logiciel ou le script de piratage du numéro 00000001 au numéro 00004108.

Les fichiers ont été compressés le 25 décembre 2016 entre 16:37 et 16:38.

Pierre Person, co-fondateur du groupe « Jeunes avec Macron »

(Je dis co-fondateur pour ne pas vexer ses trois autres camarades, ils comprendront…)

Pierre Person a été lourdement piraté. Non seulement sa boite à lettres a été aspirée, mais aussi ses données Google Drive. C’est d’ailleurs pour cette raison, qu’au delà des fichiers emails au format .eml, on dénombre d’autres formats de fichiers (voir l’article 1 pour les détails). Cependant, par un heureux hasard, le pirate n’a pas copié le contenu des emails. Les dossiers nommés « Pierrpersongmail.com_drive.part1 » et « Pierrpersongmail.com_drive.part2 » sont vides. Oubli ? Erreur ?

Le fichier le plus ancien est daté du 28 novembre 2013 à 14:34 et nommé « Applied Game Theory – Foundation.xls ». Les plus récents sont datés du 20 mars 2017 à 02:11. Plusieurs dossiers portent la même date et la même heure (effet de synchronisation de Google Drive ?).

Pour la datation de l’archive, on voit que le dossier racine nommé « box_pierrperson@gmail.com » est daté du 04 décembre 2016 à 12:57.

Cédric O, administrateur / trésorier de En Marche !

C’est de loin le cas le plus compliqué à analyser et sans doute celui où des faux peuvent avoir été glissés : c’est le responsable des finances du mouvement d’Emmanuel Macron, et donc sans nul doute une cible de choix pour déstabiliser un mouvement politique.

On dénombre ainsi trois archives qui se rapportent à Cédric O :

  • une archive email sur l’adresse cedric.o@en-marche.fr, dont le nom est « Cedric.oen-marche.fr ».
  • une seconde archive email mais rangée avec le dossier d’Alain Tourret, dont le nom est « cedric.o@en-marche.fr_10-24 ».
  • une archive de fichiers excel, numérotés de 11.xlsx à 32.xlsx, soit 22 fichiers du tableur Microsoft Excel, dont le nom est « xls_cedric ».

Le premier dossier « Cedric.oen-marche.fr » compte 8 190 fichiers emails, dont environ 1 500 pièces jointes (chiffre à affiner). Le fichier le plus ancien date du 9 avril 2016 à 00:05 au 3 avril 2017 à 14:34.

Le second dossier « cedric.o@en-marche.fr_10-24 » compte 803 emails. Le fichier le plus ancien date du 10 avril 2017 à 09:19 au 24 avril 2017 à 13:00.

Le troisième dossier ne compte que 22 fichiers Excel. Ils partagent tous la même date d’enregistrement du 27 mars 2017, entre 09:17 et 09:22. Ces fichiers ne sont pas cohérents à plus d’un titre :

  • le nommage de fichier ne correspond pas aux pratiques de Cédric O.
  • le nommage séquentiel montre que ces fichiers ont été réécrits, ne serait-ce au moment de leur extraction des emails d’origine
  • l’extraction même des fichiers montre une intention de travailler dessus de la part des hackers
  • le choix de ces fichiers montre que le ou les hackers maîtrisent le français car il s’agit d’une sélection parmi plus de 1500 pièces
  • la date d’enregistrement montre que les fichiers ont été non seulement ouverts mais ré-enregistrés, donc potentiellement modifiés
  • la date d’enregistrement montre un travail automatisé, avec une « moulinette » qui a réécrit les fichiers en 4 minutes. Comme il ne s’agit pas de contenus constants d’un fichier à l’autre, le script qui les a ré-enregistrés a sans doute plutôt opéré sur d’autres données, comme les méta-données des fichiers.

La boite mail piratée fonctionne via les services en ligne de Microsoft, visiblement l’offre Office 365. Cédric O. utilise au moins trois terminaux pour lire ses emails :

  • son ordinateur personnel
  • son ordinateur professionnel à Safran, sans doute équipé d’Outlook
  • son iPhone

Pour la datation des archives, on note :

  • la création de l’archive « xls_cedric » le 5 mai 2017 à 14:23
  • la création de l’archive « Cedric.oen-marche.fr » le 9 mai 2017 à 10:42
  • la création de l’archive « cedric.o@en-marche.fr_10-24 » le 9 mai à 10:34 mais avec une aberration dans la date de création des fichiers emails, tous datés du 31 décembre 2016 à 18:08, soit une date antérieure à la plupart des dates officielles de la création même des emails. On peut expliquer cela par l’utilisation de scripts de parsing sur les fichiers emails pour chercher / extraire des informations, avec un pc ou un serveur mal daté.

Quoi qu’il en soit, le corpus Cédric O. est de toute évidence le plus manipulé qui soit.

Le seul terminal possiblement mal sécurisé est son ordinateur personnel. Un iPhone est très difficilement piratable, et l’ordinateur chez Safran doit (devrait) répondre à des normes de sécurité professionnelles, en particulier dans le secteur de l’aéronautique, de la sécurité et de l’armement. Il utilise également une boite GMAIL personnelle (118 mails y font référence). En plus de l’acte de phishing, une autre cause de la fuite pourrait être le piratage soit du client Outlook, soit de la plateforme Outlook de Microsoft. Microsoft, parce que ses outils sont extrêmement populaires, est la cible permanente d’attaques. Une vulnérabilité comme celle d’avril 2017,  peut très bien avoir fonctionné dans le cas de Cédric O.

Une chronologie qui démontre une attaque ciblée dans le temps

Le tableau ci-dessous permet de se faire une idée de l’opération de piratage dans le temps. Les attaques se sont échelonnées plusieurs mois (mars et avril essentiellement). Les techniques de nommage de fichiers impliquent différentes sources.

Le décalage dans le temps des timbres temporels ne sont pas simples à interpréter. Si en effet, il y a eu un collecteur final le 9 mai 2017, le travail de piratage a pu avoir été mené avec des logiciels de piratage différents. Les informations récoltées via Cédric O ont clairement fait l’objet d’un traitement à part. Si faux il y a, c’est essentiellement dans ce corpus qu’il faut explorer pour les détecter.

UtilisateurNom de l'archiveNombre de fichiersDate du fichier le plus ancienDate du fichier le plus récentDate de modification des fichiersDate de création du dossierDate de création de l'archive
Quentin Lafayquentin.lafay62342013110520170424 14:3820170424 6:0020170103 14:4120170509 10:43
Anne-Christine Lang2016118272016103120170101 04:0020170424 5:5420170103 14:4820170509 10:42
Anne-Christine Lafay1731792017010120170424 14:0320170424 05:0620170103 14:3920170509 10:42
Alain TourretAlaintourretgmail.com41082017021720170321 15:142017010320161225 16:3820170509 10:33
Pierre Personbox_pierrpersongmail.com14402013112820170320 02:11
(estimé)
20170320
(estimé)
20161204 12:5720170509 10:47
Cédric O"Cedric.oen-marche.fr"81902016040920170403 14:3420161217 17:2020161217 17:2220170507 01:26
Cédric Ocedric.o@en-marche.fr_10-248032017041020170424 13:0020161231 18:0820161231 18:0820170507 01:26
Cédric Oxls_cedric222017032720170327 09:2220170327 09:2220170505 14:2320170507 01:29

 

 

 

Print Friendly

A Lire aussi