Phishing

Campagne présidentielle : aubaine pour les cybercriminels, danger pour les candidats

Adrien Gendre

31 mars 2022

5 min

Alors que le président français Emmanuel Macron a récemment lancé sa campagne visant à décrocher un second mandat, son équipe de cybersécurité est probablement sur le pied de guerre. En effet, ses membres ont sans nul doute à l’esprit la vague d’emails de phishing qui a déferlé sur leurs boîtes de réception en 2017. En période d’élection, les comptes de messagerie des candidats attirent les hackers comme la lumière attire les papillons de nuit.

Le phishing est une forme de cyberattaque consistant pour un hacker à envoyer de faux emails dont les pièces jointes lui permettent d’accéder au compte de messagerie de sa victime ou d’installer des malwares sur son système ou serveur. Si cette stratégie est populaire, c’est tout simplement parce qu’elle est efficace : Verizon révèle ainsi que 85 % des identifiants compromis en 2020 ont été dérobés dans le cadre d’attaques de phishing et spear phishing.

Les attaquants d’Emmanuel Macron, liés à un groupe de cyberespionnage russe, ont divulgué près de 9 Go d’emails et de documents provenant soi-disant de l’entourage du candidat. En vérité, ces documents ne renfermaient aucune information confidentielle ou compromettante, notamment car l’équipe du candidat avait contre-attaqué en transmettant de fausses informations sur les pages de phishing.

Le nombre d’attaques augmente rapidement

Cette contre-attaque était très ingénieuse, mais toutes les équipes de campagne et toutes les administrations ne maîtrisent pas aussi bien ce sujet. A contrario, les hackers ne cessent de monter en compétence, et rien ne les arrête.

En vérité, ils semblent toujours plus efficaces pour pousser leurs victimes à cliquer sur leurs pièges. Vade a bloqué plus de 1,2 milliard d’emails de phishing en 2021, une hausse de 328 % par rapport à l’année précédente. D’après l’ANSSI, les attaques de ransomware, qui commencent souvent par un email de phishing, ont augmenté de 255 % en France en 2020. En février 2021, alors que les hôpitaux français étaient confrontés à une vague d’attaques par des ransomwares, les autorités françaises enregistraient une attaque de ce type par semaine.

Nous pouvons tous être victimes du phishing, que ce soit à titre personnel ou professionnel. Mais lorsque des candidats à des élections et des administrations sont touchés, ce sont des sociétés tout entières qui en paient le prix.

Un problème qui ne date pas d’hier

Les attaques par email ciblant des figures politiques remontent au moins à 2013, lorsque des hackers ont piraté le compte personnel du Premier ministre belge de l’époque, Elio di Rupo. Ces criminels ont ensuite envoyé des emails rédigés par Elio di Rupo avant qu’il ne devienne chef d’État à un journal local, qui a refusé de les publier.

Le compte personnel de John Brennan, ancien directeur de la CIA, a quant à lui été piraté en 2015. Le hacker a pu accéder à certains documents gouvernementaux et en a publié des captures d’écran sur les réseaux sociaux. La liste des contacts de John Brennan et des appels de son ancien collaborateur a par exemple été dévoilée.

Mais l’une des attaques de phishing les plus célèbres reste celle survenue lors de la campagne présidentielle américaine de 2016. John Podesta, le responsable de la campagne des démocrates et de l’ancienne secrétaire d’État Hillary Clinton, a cliqué sur un lien malveillant et saisi ses identifiants sur un faux site. Les hackers ont ensuite envoyé des milliers d’emails de John Podesta à WikiLeaks, qui a choisi de les publier. Le scandale qui a suivi a pu contribuer à la défaite d’Hillary Clinton.

En 2020, toujours aux États-Unis, des hackers ont tenté d’accéder aux comptes de messagerie des deux candidats à l’élection présidentielle, Joseph R. Biden et Donald Trump.

De nombreuses attaques de ce type sont liées à des groupes travaillant pour des États, qu’il s’agisse de la Russie, de la Chine, de l’Iran ou d’autres nations. D’autres pays ont fait état d’attaques malveillantes pendant leurs campagnes politiques, notamment l’Allemagne, la Pologne, l’Indonésie et le Cambodge.

Des conséquences très larges

La divulgation d’emails récupérés lors d’une campagne de phishing affecte la perception qu’a le public des politiques concernés et peut influer sur le résultat d’une élection, explique un chercheur de l’université de Stanford.

« Les propagateurs de fake news se servent depuis peu des données divulguées en ligne pour déstabiliser le monde politique des démocraties », explique Benjamin Sorensen, membre du Stanford Project on Democracy and the Internet, dans un rapport publié en 2019.

Un rapport du Département de la Justice sur les ingérences russes dans les élections de 2016 a découvert que des groupes russes avaient utilisé les documents volés à l’équipe de campagne d’Hillary Clinton pour favoriser l’élection de Donald Trump, qui a bel et bien remporté le scrutin.

Des nations comme la Russie, la Chine et l’Iran s’en prennent aux élections pour peser sur leur résultat ou tout simplement pour déstabiliser des nations et en tirer profit. Un grand nombre de ces attaques étant financées ou soutenues par des gouvernements, elles peuvent disposer de budgets conséquents leur permettant de frapper souvent, à l’aide de techniques et technologies de pointe.

Les donateurs en ligne de mire

Les cybercriminels mettent aussi à profit les campagnes politiques pour voler les données de personnes lambda, notamment les donateurs. C’est ainsi qu’en 2020, ils ont envoyé des emails demandant à leurs destinataires de confirmer des informations personnelles, comme un numéro de sécurité sociale, pour soi-disant mettre à jour leurs informations électorales. Ces informations pouvaient ensuite être vendues sur le dark Web et utilisées pour ouvrir de faux comptes au nom de ces personnes.

Les hackers s’adonnent également au « vishing », une technique qui consiste à demander par téléphone un don en faveur d’un parti politique et donc des informations de carte bancaire.

Vous pensez peut-être qu’il est facile d’éviter tous ces scams. Pourtant, de nombreuses personnes se font piéger. D’après Verizon, 36 % des violations de données étaient liées à du phishing en 2020.

Formation + IA : une protection à deux facettes

Vos employés doivent apprendre à reconnaître les emails de phishing et les liens vers des sites malveillants. Toujours d’après Verizon, le taux de clics lors des simulations de phishing est de 3 %, mais ce taux « était très variable » d’une organisation à l’autre. Verizon a également constaté que les simulations de phishing ne permettaient pas d’évaluer avec précision la sensibilisation globale au phishing. Au sein d’un échantillon de 1 148 utilisateurs ayant reçu de véritables emails de phishing ainsi que des emails de phishing factices, aucun d’entre eux n’avait cliqué sur les messages factices, alors que 2,5 % avaient cliqué sur les vrais. Même les personnes formées ont besoin d’aide pour identifier et éviter le phishing.

L’intelligence artificielle peut considérablement faciliter l’identification et le blocage des emails de phishing ou tout au moins nous empêcher d’ouvrir leurs pièces jointes ou de télécharger un malware. Les cybercriminels utilisant eux-mêmes l’IA pour renforcer l’efficacité de leurs campagnes, il est important de retourner cette arme contre eux et d’intégrer cette technologie essentielle dans votre programme anti-phishing.

Même si l’IA ne fait pas les mêmes erreurs que les humains, elle doit comme eux être entraînée. Le signalement des emails de phishing joue ainsi un rôle essentiel dans ses performances. Une formation continue, comme l’envoi d’un email lorsqu’une personne clique sur une pièce jointe malveillante, peut également doper l’efficacité des campagnes de sensibilisation à la sécurité, en entraînant les êtres humains à la manière d’une IA.

La cybersécurité basée sur l’IA progresse rapidement et nous offre des possibilités jusque-là inédites. En l’utilisant pour repérer et éviter les hackers usurpant l’identité de personnalités, nous pouvons nous assurer que la plupart des emails de phishing n’arrivent jamais dans les boîtes de réception des candidats, des élus et des administrations, et protéger ainsi l’intégrité des élections, nos infrastructures essentielles et notre sécurité nationale.