Retour sur #MacronLeaks : comment la Campagne aurait-elle pu mieux se protéger (et pourquoi les entreprises devraient faire de même !).

Deux jours avant le premier tour des élections présidentielles Françaises, la campagne d’Emmanuel Macron a fait l’objet d’une attaque qui a permis aux cybercriminels de mettre la main et diffuser des milliers de courriers électroniques. Ce nouvel exemple est une bonne occasion pour rappeler les principes à respecter pour éviter, ou au moins rendre plus complexe, ce genre d’attaques !

1. Surveiller les noms de domaines similaires au nom de domaine de l’entreprise

On ne sait pas encore comment les membres de l’équipe de campagne ont été abusés, ce qui a permis aux pirates d’accéder à de nombreux courriels qui ont été ensuite diffusés sur le réseau 4Chan et repris par Wikileaks. Cependant, il est intéressant de noter que les équipes étaient sensibilisées à la probabilité d’une attaque et que Mounir Mahjoubi – le désormais secrétaire d’état au Numérique du gouvernement Philippe – a eu l’occasion d’expliquer que la campagne avait mis en place des mesures pour lutter contre les tentatives de Phishing. Cependant, SafeBrands ayant utilisé son outil de veille de noms de domaine sur les principaux candidats à la présidentielle, nous avons pu constater des enregistrements troublants reprenant les termes « en marche ».

Si on part du principe que dans les documents divulgués le 5 mai se trouvent, par exemple, des courriels du 3 avril, on peut s’interroger sur le dépôt du nom de domaine « eenmarche.com » (avec deux e) pour lequel notre logiciel de veille détecte la présence d’un serveur « MX » utilisé, justement, pour envoyer des e-mails. Compte tenu de la proximité entre ce nom et l’original (« en-marche.fr »), si on ne peut pas affirmer à coup sûr que ce nom a été utilisé dans l’attaque, le fait qu’il ait pu être enregistré le 27 mars laisse songeur… Tout comme, alors que la campagne n’a pas fait mystère d’utiliser des services « Cloud » de Microsoft, celui de « onedrive-en-marche.fr » le 15 mars !

Mettre en place une surveillance sur des noms de domaine proche de la marque de l’entreprise (ou d’un mouvement politique) est facile et peu cher en regard des risques encourus lors de tentatives de Phishing.

 

2. Saisir toutes les chances d’acquérir des variations évidentes de sa marque.

Les exemples ci-dessus parient en partie sur la distraction de l’utilisateur (qui ne verra pas les deux « e » du début du nom par exemple). Il est malheureusement plus simple encore d’utiliser un nom de domaine identique mais sans tiret par exemple. Ainsi, le nom de domaine « enmarche.fr » (sans tiret) a été enregistré par un tiers depuis juillet 2014. Une source nous a appris que le titulaire était disposé à le vendre et que la campagne a refusé de l’acheter… Nous ne saurons pas si les hackers auraient eu plus de chance d’acquérir le nom, mais il est certain que laisser en circulation un nom de domaine aussi proche de son nom principal, enregistré dans la même extension, n’est pas la meilleure façon de se protéger !

Avec un mandat d’acquisition SafeBrands aurait pu acheter ce nom de domaine auprès de son titulaire et le sécuriser pour le mouvement du nouveau Président de la République.

 

3. Mettre en place des protocoles d’authentification d’e-mail    

Comme dans le cadre de l’affaire Podesta/Clinton qui avait secoué les Etats-Unis à quelques semaines de leur propre élection présidentielle, on découvre avec les #MacronLeaks que le piratage en lui-même s’accompagne souvent de pure désinformation. Puisque les faux documents compromettants sont diffusés au milieu des milliers de fichiers et courriels authentiques de la campagne, la confusion est possible, et mettra la victime sur la défensive.

Bien sûr la meilleure solution consiste à ne pas se faire pirater mais, lorsque le mal est fait, pouvoir séparer les bons mails de l’ivraie est fort utile. Pour cela, il suffit que les e-mails soient « signés » en utilisant le protocole DKIM (« Domain Keys Identified Mail ») sur les serveurs utilisés pour l’envoi de mail.  Ainsi, les e-mails peuvent être authentifiés facilement, et donc de ne pas être trompés par de faux e-mails qui, eux, ne seront pas signés.

Les serveurs mails professionnels de SafeBrands supportent le protocole DKIM par défaut, et nos experts peuvent aussi assister les entreprises qui souhaitent intégrer DKIM à leurs propres serveurs.

 

4. S’assurer que les mêmes erreurs ne produisent pas les mêmes effets !    

Peu après l’élection du Président Macron, le mouvement En Marche est devenu « La République en Marche ». Pourtant, le nom de domaine officiel reste « en-marche.fr ». Le nom « la-republique-en-marche.com » a bien été enregistré par le Webmaster habituel du mouvement (qui est d’ailleurs, curieusement, le « titulaire » officiel du nom et non pas l’association elle-même) mais elle n’affiche qu’une page parking, qui ne donne aucune information sur le caractère officiel du nom de domaine. En parallèle, l’outil de surveillance de SafeBrands montre que des noms de domaine comme « republiqueenmarche.net », « la-republique-en-marche.info » ou « republique-enmarche.com » ont tous été enregistrés au plus tôt 7 mai 2017. Ils pourraient s’agir de noms officiels mais les coordonnées Whois sont masquées et ils n’utilisent pas le Registrar habituel du Mouvement.

A tout le moins – s’ils sont légitimes –  ces noms de domaines devraient être consolidés au sein d’un même portefeuille pour en faciliter la gestion… Et s’ils ne le sont pas (comme nous le craignons), il faut malheureusement constater aussi que chacun de ces noms pointe vers un serveur de courrier électronique actif. De quoi préparer de nouvelles attaques de Phishing, cette fois en se faisant passer par le parti du Président ?

Les outils pour préparer des attaques évoluent chaque jour. Les équipes de juristes de SafeBrands peuvent vous aider à mettre en place une politique de surveillance de long terme associée des mandats de cessation d’astreinte permet de réduire les risques.