Faux noms de domaine : retour des pirates Russes à l’assaut d’Emmanuel Macron ?
Des pirates Russes auraient créé de faux noms de domaine pour piéger l’équipe d’Emmanuel Macron ? Les уродливый ont oublié en-marches.fr !
Comme je vous le racontais en février, les failles sur les sites Internet des candidats à la présidentielle 2017 étaient pléthoriques. J’explique d’ailleurs dans le New York Times du 18 avril qu’il n’était pas utile d’être un pirate Russe pour mettre la pagaille dans le numérique des hommes et femmes politiques de cette élection. Des problèmes ont aussi été confirmés dans les colonnes de 01net ici, là, ou encore ici et là ainsi que chez Reflets.info.
A noter qu’Emmanuel Macron s’était lui même plaint d’attaques Russes à l’encontre de ses serveurs. Faits qui n’ont jamais été prouvés, d’autant plus que si pirate russe (ou autre pays, NDR) il y avait eu, il y a fort longtemps que les informations seraient en train de gambader sur la toile.
On apprend cependant que des « phishing » auraient été tentés à l’encontre des équipes du candidat. L’histoire ne dit pas si ces tentatives de piratage informatique ont réussi ou s’il ne s’agit que de tentatives de chantage numérique, voir tout simplement du typosquatting pour s’attirer les faveurs des clics perdus des internautes.
Faux noms de domaine
Toujours est-il que plusieurs noms de domaines ont été détectés tels que mail-en-marche.fr ; onedrive-en-marche.fr ou encore portal-office.fr. A noter que l’individu derrière cette tentative de fraude a tenté d’usurper une adresse active du candidat Macron, mail.en-marche.fr. Adresse renvoyant vers gandi.net et l’outil MailJet utilisé pour les campagnes mails d’En-Marche. Le « copieur » a modifié le premier point par une barre.
Il aurait pu, aussi, usurper les adresses existantes pop.en-marche.fr et imap.en-marche.fr par pop-en-marche.fr et imap-en-marche.fr. Les deux adresses pop et imap officielles sont protégées par l’entreprise américaine CloudFlare.
Selon Trend Micro, derrière cette usurpation bien miteuse avouons le, se cacherait le groupe de pirates Russes/Chinois Fancy Bear / APT28, les mêmes malveillants qui se seraient attaqués à la présidentielle Américaine ou encore à TV5 monde voilà 2 ans. Bref, ça sent la communication du géant japonnais de la sécurité informatique à plein nez profitant des élections ! La presse généraliste est tombée les deux pieds dedans. Surtout ceux qui ont signé l’accord de non divulgation du rapport ! D’autant que, fait bizarre, l’un des urls incriminés aurait été enregistré il y a seulement quinze jours, le 12 avril.
Si je lis le Whois d'un des présumés URL utilisé par des pirates Russes qui en veulent à #EmmanuelMacron : enregistré le 12/04 ! pic.twitter.com/Vs4Kfqyg9t
— Damien Bancal (@Damien_Bancal) April 25, 2017
Les pirates Russes, terriblement dangereux selon les américains, auraient donc réussi à faire élire Trump, mais se seraient cassés les dents sur Emmanuel Macron et son équipe ? Autant dire qu’ils ne se sont pas foulés les vilains pirates Russes. J’ai pu repérer plus de 250 noms de domaine en-marche qu’il est possible d’enregistrer. Un simple typosquatting comme en-marches.fr aurait pu faire l’affaire. Sans parler des autres sites de la sphère Macron que j’ai pu remonter comme le montre ma capture écran ci-dessous : elles-marchent, live, programme, procuration … Des sites sous la même adresse « protectrice » de CloudFlare. On remarquera d’autres espaces web, qui ne sont pas dans le porte-feuille numérique du parti politique Français … dont un Russe 🙂
En attendant, l’adresse enmarche.fr, qui existait depuis 2013 et qui renvoyait sur enmarche.tumblr.com, puis sur domainium, affiche depuis 2016 un « DNS resolution error ». Très certainement un coup des Pirates Russes… ou pas !
Salut, il me semble qu’il y ai une faute sur la phrase Macron s’est lui même plaint (et non plein)
Cdlt
Sinon continue good job! Meme si plus d’explications techniques seraient un plus.
Bonjour,
Merci, corrigé 🙂