En juillet dernier, nous apprenions que les systèmes informatiques de l'Élysée avaient été victimes d'une cyber-attaque au mois de mai. Peu de détails sur cette attaque avaient toutefois filtré cet été. Notre confrère L'Express vient de publier une enquête complète sur le sujet, révélant notamment les méthodes utilisées par les pirates, les personnes visées et la source de cette attaque.

De faux amis sur Facebook, une variante de Flame implantée

Réalisée quelques jours avant le second tour de l'élection présidentielle française, la cyber-attaque a pour source une simple intrusion via la fameuse technique de phishing (hameçonnage). Des membres travaillant à l'Élysée ont ainsi été soigneusement identifiés via Facebook, pour ensuite recevoir un message d'un faux ami facebookien leur demandant de s'identifier sur l'intranet de l'Élysée, en réalité une fausse page. Semble-t-il mal (in)formées, ces personnes du château présidentiel sont ainsi tombées dans le piège et ont donc livré certains de leurs identifiants.

Grâce à cette erreur cruciale, les pirates ont ainsi pu infiltrer le réseau de l'Élysée et surtout implanter une variante du fameux malware Flame, plutôt connu pour cibler les pays d'Afrique et du Moyen-Orient (l'Iran notamment). Ce malware, selon la presse américaine, aurait d'ailleurs été le fruit d'un immense travail, réalisé conjointement entre les USA et Israël, à l'instar de Stuxnet.

« Très élaboré, ce "ver" n'a infecté que quelques machines » précise notre confrère. Et si Nicolas Sarkozy, le Président de la République de l'époque, a échappé à l'infection (ne possédant pas d'ordinateur connecté à l'Élysée), plusieurs personnalités ont néanmoins vu leur PC infecté. Des conseillers du gouvernement et surtout Xavier Musca, secrétaire général du 27 février 2011 au 15 mai 2012, ont ainsi été touchés. De quoi permettre d'accéder à des informations confidentielles de l'État français.

Une attaque made in USA ?

Quels documents ont été dérobés ? L'Express ne le sait pas précisément, l'hebdomadaire remarque néanmoins que des notes secrètes ont été récupérées sur des disques durs, ainsi que des plans stratégiques. Mais surtout, notre confrère annonce que les enquêteurs français ont rapidement compris qu'une telle attaque ne pouvait venir d'un pays aux faibles infrastructures.

Au regard de l'attaque, qui a nécessité plusieurs jours à l'Agence nationale de la sécurité des systèmes d'information (Anssi) pour restaurer le réseau de l'Élysée, seuls de grands pays pouvaient viser l'État français. Si pour ce type d'attaques, il est toujours complexe de découvrir sa source d'origine, les pays passerelles étant nombreux, selon des informations recueillies par L'Express, les conclusions de ses multiples sources, « fondées sur un faisceau de présomptions, convergent vers le plus vieil allié de la France : les États-Unis ».

Les raisons précises de cette attaque sont encore inconnues, néanmoins, selon une personne proche du dossier qui a souhaité garder l'anonymat : « Vous pouvez être en très bons termes avec un "pays ami" et vouloir, en même temps, vous assurer de son soutien indéfectible, surtout dans une période de transition politique ». La période était en effet propice à une attaque, dès lors que la présidence était susceptible de changer de main.

Ni l'Anssi, ni l'Élysée n'ont souhaité commenter cette enquête de L'Express.