Kazakhgate: comment des pirates ont tenté d’espionner Ecolo
Depuis juin 2017, le député fédéral Ecolo Georges Gilkinet fait l’objet de tentatives de piratage informatique. Dans le viseur ? Son activité débordante dans le cadre du Kazakhgate. Le Vif/L’Express a plongé dans les coulisses de ces campagnes d’hameçonnage, aussi subtiles qu’inquiétantes. Et qui mènent jusqu’à Moscou.
Lundi 22 mai 2017. La semaine avait commencé normalement pour le responsable du département informatique d’Ecolo. Vers 13 heures, il était occupé à ses tâches quotidiennes, rivé sur son ordinateur tournant sous Debian, un système d’exploitation basé uniquement sur des logiciels libres. Et puis, un mail inquiétant surgit dans sa boîte électronique Thunderbird. Il venait d’être transféré par un membre du parti, qui trouvait son contenu douteux.
En quelques secondes, Vincent Van Osta comprend qu’il s’agit d’une tentative d’hameçonnage ( phishing) plutôt subtile. Le mail, venant soi-disant d’un permanent Ecolo, invite à ouvrir un document de travail. Cliquer sur le lien du document renvoie à la plateforme webmail du parti, avec un formulaire pour se connecter, via son identifiant et son mot de passe. Le destinataire réalise qu’il a affaire à un piège tissé sur mesure. Ecolo ne travaille pas avec des plateformes comme Gmail et Outlook mais utilise plutôt Sogo, logiciel libre moins répandu. Et le faux formulaire qui demande de livrer son mot de passe pour se connecter est une copie très fidèle de la page de connexion au webmail Sogo du parti. Vincent Van Osta réagit au quart de tour et prévient l’ensemble du personnel d’Ecolo de ne pas se connecter et de redoubler de prudence face à leur courrier électronique.
Les hackers ne cherchaient que deux mots clés : « Georges Gilkinet » et « anticor.be
Mais c’est déjà trop tard. Des mails d’hameçonnage similaires ont été envoyés à plusieurs mandataires et employés du parti. Un député régional a reçu un lien pour télécharger un document PDF de Philippe Henry, émis depuis une fausse adresse électronique. Renvoyé vers le faux webmail, il se connecte. Les hackers s’emparent de son mot de passe et foncent dans sa boîte. Ils n’y cherchent que deux mots clés : » Georges Gilkinet » et » anticor.be « . Le député fédéral et Anticor Belgique, association de lutte contre la corruption, sont alors particulièrement actifs sur le front de la commission d’enquête sur le Kazakhgate.
Infiltration et vouvoiement
Les pirates ont très rapidement réinitialisé le mot de passe et ont eu le temps de charger l’ensemble du contenu de la messagerie du député distrait. Vincent Van Osta tente de remonter la piste en scrutant les journaux de connexion. Il constate qu’une adresse IP (le numéro qui identifie un ordinateur connecté sur le réseau Internet) basée en Ukraine s’est connectée à la boîte mail, mais aussi d’autres IP en Roumanie, aux Pays-Bas, à Hong Kong. » Ça veut dire qu’ils se sont connectés via des sociétés qui fournissent du VPN, pour anonymiser leurs démarches. » Un VPN (ou réseau privé virtuel) est un système qui connecte un ordinateur via un tunnel chiffré à un réseau, permettant de dissimuler ses emplacement et adresse IP, ce qui le rend quasiment impossible à identifier.
Georges Gilkinet lui-même est ciblé par des tentatives d’hameçonnage. Ce même 22 mai, à 14 h 21, il reçoit un mail signé » MP « , qui le convie à cliquer sur un lien pour télécharger l’ordre du jour d’une réunion du groupe Ecolo au parlement de Wallonie, prévue deux jours plus tard. MP, c’est Marie-Paule Noëson, la secrétaire du groupe. L’adresse de l’émissaire est étrange : ecolo.pw@gmail.com. Georges Gilkinet comprend aisément qu’il s’agit d’un faux : pourquoi Marie-Paule Noëson se mettrait-elle soudain à le vouvoyer ? Le lien renvoie, évidemment, vers le faux webmail. Deux jours auparavant, un Jean-Marc Nollet tout aussi virtuel, vouvoyant encore son collègue Gilkinet, l’invitait à télécharger un mystérieux document sur Dropbox et à » répondre le plus tôt possible « .
Durant plusieurs jours, le parti est la cible de ces mails, d’apparence crédibles, rédigés dans un français souvent impeccable. » Ça marche mieux d’envoyer à une personne en particulier que de tenter un grand coup de filet en adressant le même mail à tout le monde, explique Vincent Van Osta. La vigilance des logiciels antispam est plus facilement trompée. »
Hameçons « hors norme »
Le 28 mai, Ecolo dénonce publiquement ces tentatives de hameçonnage et établit un lien avec le travail de son député dans le cadre de la commission d’enquête portant sur la conclusion d’une transaction pénale au bénéfice d’un trio d’hommes d’affaires belgo-kazakhs en Belgique. Le 8 juin, Ecolo porte plainte, sans se constituer partie civile, et envoie le rapport de ces événements à la Computer Crime Unit. Le parti ne fait alors plus de déclarations publiques mais les tentatives de piratage continuent, gagnant en subtilité. Avec, toujours, Georges Gilkinet dans le viseur. Florilège : le 11 août, un faux profil LinkedIn de Christos Doulkeridis tente de le piéger en lui envoyant un message. Le 12 octobre, un autre faux profil LinkedIn, au nom d’Alain Lallemand, journaliste du Soir qui a interviewé Georges Gilkinet quelques jours auparavant, y va aussi de son message frauduleux. Rien qui puisse faire tomber le député dans le panneau, qui se dit » naturellement vigilant » face au piratage informatique. » Comme tout le monde, je reçois des mails de phishing assez grossiers. Mais ici, j’ai vite compris qu’on était face à du « sur-mesure », quelque chose de totalement « hors norme » « , précise-t-il.
Depuis des mois, Georges Gilkinet est en alerte. En mai 2017, il apprend, via le site Intelligence Online, qu’une société de renseignement privé américaine est chargée d’enquêter sur lui. Georges Gilkinet déclare au Vif/L’Express ne pas » avoir pu vérifier l’existence de cette enquête « . Le 18 octobre 2017, Intelligence Online écrit que Patokh Chodiev a recours à la société américaine GlobalSource, détenue par Bill Hutman, un ancien journaliste, pour » déminer les enquêtes qui pèsent sur lui « . Pour Intelligence Online, pas de doute : GlobalSource a effectué une enquête sur Georges Gilkinet. Rien ne permet, toutefois, de la relier aux attaques informatiques que le député subit. Et les avocats de Chodiev nient.
Au fil du temps, le phishing évolue et s’accompagne désormais d’une surveillance proactive : le 27 novembre, Georges Gilkinet reçoit une newsletter imitant celles du journal Le Soir, l’invitant à lire un article sur les rachats d’actifs par la Banque centrale européenne, sujet sur lequel il s’était exprimé dans un média le matin même. L’adresse provient de » news@gua.net » (et non, comme cela devrait être le cas, d’une adresse type @lesoir.be). Cliquer sur la news permettait de renvoyer vers le fameux faux webmail Sogo, mais cette fois, on demandait à Georges Gilkinet de réactiver sa session, et son adresse e-mail était préremplie dans un champ du formulaire.
Sur la piste russe
Bref, Ecolo et Georges Gilkinet décident, le 14 décembre dernier, de se constituer partie civile, afin d’avoir accès au dossier de l’enquête lancée après la plainte de juin 2017. Entre-temps, qu’a fait la Federal Computer Crime Unit pour remonter la piste des pirates informatiques ? Elle n’a pas voulu donner suite à nos sollicitations, nous renvoyant vers le parquet fédéral, où l’instruction du dossier est confiée au juge Olivier Anciaux. Wenke Roggen, porte-parole du parquet, confirme l’existence de l’enquête et déclare, huit mois après la plainte initiale d’Ecolo, qu’elle » n’en est qu’à ses débuts et s’annonce difficile au vu des techniques de hacking utilisées « .
Selon nos informations, la Sûreté de l’Etat s’est également intéressée à ces attaques. Leurs informaticiens auraient remonté la piste jusqu’en Russie, et même jusqu’au groupe de hackers russes APT28, alias Fancy Bear. APT28 signifie » Menace persistante avancée 28 « , et est le nom donné à ces pirates par la communauté de la cybersécurité. On les dit proches du renseignement militaire russe, le GRU, sans que cela n’ait été prouvé. APT28 est responsable d’attaques contre TV5 Monde, le Parti démocrate américain, le mouvement politique En Marche ! d’Emmanuel Macron, les Affaires étrangères néerlandaises et bien d’autres.
Anticor Belgique a également porté plainte et rapporté à la Computer Crime Unit les tentatives de phishing ayant visé certains de ses membres. Claude Archer, cheville ouvrière du mouvement, se rappelle de messages Facebook d’une pseudo-journaliste anglaise, qui désirait avoir son avis sur un document relatif à » de la corruption « , le pressant de le télécharger » en encodant ses identifiants de compte Google « . Elle refusera obstinément de décrire le contenu dudit document. Au total, une petite dizaine de tentatives de phishing des identifiants Google de Claude Archer auront lieu.
Le Kazakhgate demeure un terrain miné et pour se protéger, au moins en ligne, Ecolo a pris des mesures. Les informaticiens ont mis fin aux mots de passe trop courts, demandant à chacun de se créer plutôt des » phrases de passe « , long ensemble de mots mémorisables mais sans liens entre eux, choisis en jouant avec des dés. Il faut des centaines, voire des milliers d’années de calcul informatique pour les briser. Aussi, l’accès au serveur mail est désormais interdit dans une flopée de pays, d’où Vincent Van Osta a repéré des tentatives de connexion louches. » On est passé, grâce à cette mesure, de 700 tentatives de connexion depuis l’étranger, chaque jour, à environ 150. »
Cette campagne d’hameçonnage sur mesure rappelle, si c’est encore nécessaire, le besoin, pour l’Etat, les partis politiques, mais aussi la société civile et les journalistes, d’être conscientisés et formés aux enjeux de la sécurité informatique – et d’y consacrer les moyens nécessaires.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici