/

ActualitéCyber

Présidentielle 2022 : Quels risques cyber ?

Les élections présidentielles en France se rapprochent, et avec elles le risque cyber.

Les cibles de demain seront les organismes publics : les mairies, les préfectures, mais aussi les partis politiques ou les prestataires de services.

On peut s’attendre à des attaques sur les infrastructures directement, ou des tentatives de déni de service, ou vol de données sur les sites des partis politiques, les instituts de sondage…

Enfin, il ne faut pas oublier cette nouvelle menace de plus en plus fréquente, la désinformation, qui va affecter la crédibilité des candidats et peut influencer les votes.

Dans un contexte où les attaques vont encore monter en puissance, il est stratégique de bien mesurer les risques et d’opter pour une approche préventive.

Les risques cyber joueront une place de plus en plus importante dans les prochaines élections

Quels sont les risques ?

Les attaques techniques

Exemples dans le monde

  • Ce type d’attaque ne date pas d’aujourd’hui, déjà en 2007 l’Estonie en a subi les frais. Il s’agissait de la première cyberattaque (DDOS) visant une structure étatique lié à un différend diplomatique. Les principaux sites internet ont été bloqués.
  • La Géorgie a suivi avec une autre série d’attaques d’abord en 2008, puis en 2019 ciblant 2 000 sites Internet appartenant à la présidence, aux tribunaux et quelques médias.
  • Les cybercriminels ont malheureusement beaucoup de ressources, car la plupart des violations sont financées par des Etats. On pourrait ainsi subir demain, en France, les mêmes types d’attaques qu’en Ukraine actuellement. Ces agressions ne s’inscrivent pas dans le cadre de campagne électorale, pour autant, elles pourraient être tout à fait adaptées à ce contexte.
  • Les Etats Unis ont également été confrontés à ces problématiques, notamment lors de la campagne présidentielle de 2016. En effet WikiLeaks avait révélé le 22 juillet, que près de 20.000 messageries, des comptes de sept responsables du parti démocrate de Hilary CLINTON, avaient été piratés.
  • Emennet Pasargad, une entreprise de cyber sécurité et de renseignement basée en Iran, a mené une campagne d’ingérence dans les élections présidentielles américaines de 2020. Ils auraient envoyé des e-mails d’intimidation, des vidéos de désinformation et auraient piraté des sites de société de médias.

Exemples en France

  • En France en 2017, on peut citer le Macronleak, où des dizaines de milliers de documents à savoir les discussions internes du mouvement, des photos, des factures, soit au total 70 663 mails attribués à l’équipe de campagne d’Emmanuel Macron, ont fuité sur le forum américain 4Chan.
  • Autre exemple, lors des élections municipales en 2020, la ville de Marseille et Aix-Marseille-Provence ont été paralysées par un virus, bloquant les listes électorales.
  • A quelques semaines des présidentielles, des tentatives d’infiltrations ont été repérées dans des mairies en France. L’attaquant s’est fait passer pour un usager demandant par e-mail des documents de type acte de décès, actes de naissance etc. Dans son mail, il ne manquait pas d’ajouter une pièce jointe malveillante.

L’ANSSI avait anticipé ce schéma et a évité que l’attaque soit de plus grande ampleur, néanmoins cette tentative de déstabilisation a bien eu lieu, et on peut évidemment s’attendre à ce que cela se reproduise dans les semaines ou mois à venir.

Le vote en France reste majoritairement au format papier, non numérisé. La partie numérique intervient dans la collecte de résultat, dans la diffusion de sondage, … Une attaque serait donc plus facilement « maitrisable » et visible. Le risque se situe plus au niveau de la déstabilisation lors des campagnes.

Le risque de désinformation

En plus de ces attaques purement techniques, il faut également s’attendre à des campagnes de désinformation ou deepfake. (Des vidéos sophistiquées et trompeuses)

  • En Inde, en février 2020, un candidat à une élection locale a usé de cette nouvelle technique afin de mettre en avant sa candidature et d’influencer ses futurs électeurs.
  • L’usine à troll en Russie appelée l’Internet Research Agency a été créée dans un seul but : déstabiliser par la diffusion de fausses informations, rumeurs, etc.

L’impact des deepfakes ne doit pas être ignoré. Même si jusqu’ici les deepfakes ne touchaient pas vraiment la politique, sinon de façon satirique, où n’étaient pas encore parfaits ; ils tendent à gagner en réalisme. Il ne faut donc pas négliger cette nouvelle source de menace.

En effet, cette nouvelle technologie peut amener à créer de faux renseignements, modifier l’opinion publique, propager des rumeurs et ainsi changer les décisions des futurs électeurs.

  • En 2017, on se souvient de cette vidéo montrant Emmanuel Macron se lavant les mains, soi-disant après avoir salué des ouvriers de l’usine Whirlpool, alors qu’il s’agissait d’une vidéo faisant suite à sa rencontre avec des pêcheurs d’anguilles dans l’Hérault. Cela peut sembler dérisoire, mais l’impact d’une telle vidéo peut être importante dans le cadre d’élections et compromettre l’image d’un candidat.

Quelle solution de protection ?

Au niveau international

Les gouvernements ont compris les enjeux de la nouvelle cyberguerre et notamment lors des campagnes électorales, depuis les incidents aux Etats-Unis. Il est entendu que des pays rivaux vont utiliser leurs services de renseignements pour obtenir des informations sur les candidats.

Les plateformes comme Facebook et Twitter multiplient les efforts pour éviter ces campagnes de manipulation.

Des organismes se multiplient afin de procéder à des fact-checking, des vérifications de faits. On en voit de plus en plus dans les journaux, sur les réseaux, etc.

Mais ce combat doit prendre en compte des questions de législation : le droit à l’image, la censure…

Au niveau national

Voici 4 initiatives nationales :

  • Viginum, qui est le service de vigilance et de protection contre les ingérences numériques étrangères crée en 2021, a été créé dans ce but.
  • La « loi anti-fake news » permettant de réagir en cas de désinformation lors des périodes de campagnes électorales.
    https://www.gouvernement.fr/action/contre-la-manipulation-de-l-information
  • Les lumières à l’ère numérique, cette commission crée par E. MACRON aura pour but de lutter contre les diffuseurs de haine et de la désinformation.
  • La mise en place de la CNCCEP[1] afin de renforcer la sécurité juridique de l’élection présidentielle. Ainsi en cas d’attaque importante, l’ANSSI[2] détache du personnel pour investiguer et veiller au quotidien sur la sécurité du pays

Les solutions au niveau étatique existent donc bel et bien, mais qu’en est-il au niveau des partis politiques ? C’est là que la question demeure. Il est difficile pour certains partis de se protéger de toutes ces menaces qui demandent un budget et une structure que tous n’ont pas. A noter qu’un budget de 1 milliard d’euros a été débloqué afin de renforcer la cybersécurité en France. La plupart des partis politiques ont compris l’enjeux et le risque cyber en limitant au maximum la surface d’attaque. Les militants sont de plus en plus sensibilisés au risque cyber, privilégiant l’authentification multi facteurs, en étant sensibilisés au phishing, en préférant les communications sécurisé type Signal, etc

Au niveau Européen, on agit aussi pour la sécurité. La directive « Network and information security »(NIS) a été mise en place dans ce sens. Elle concerne entres autres la sécurité informatique des « opérateurs de services essentiels » (OSE), la coopération entre états membre en cas de cyber attaques (NIS a créé le CSIRTs Network)

Les basiques en sécurité doivent être appliqués comme :

  • sécuriser les comptes
  • s’assurer d’avoir des technologies fiables protégeant les sites des partis, les communications, les données échangées. Les outils comme la technologie EDR de TEHTRIS ou MTD sont spécialement conçus pour la sécurité des Endpoint. L’EDR détecte et neutralise les menaces en temps réel et sans action humaine, tandis que la technologie MTD protège la flotte de mobile et scanne les applications. Ces types d’outils sont un élément essentiel d’une stratégie globale de confiance zéro ou zero trust.
  • renforcer les partenariats avec des médias de fact-checking
  • rester constamment en veille sur toutes publications, vidéos, incohérentes.
  • enfin la CNIL[3] propose 6 reflexes à adopter lors des campagnes électorales : https://www.cnil.fr/fr/elections-six-reflexes-pour-une-campagne-responsable

[1] Commission nationale de contrôle de la campagne électorale relative à l’élection du Président de la République

[2] L’Agence nationale de la sécurité et des systèmes d’information

[3] Commission nationale de l’informatique et des libertés