La nouvelle a ravi les médias officiels russes : le 1er juin, dans une interview d’abord accordée à l'agence de presse américaine Associated Press, puis à Russia Today (RT), Guillaume Poupard, le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui a enquêté sur le piratage de l'équipe de campagne d'Emmanuel Macron, a déclaré qu'aucune trace formelle de hackers russes n'avait été relevée dans les « Macron Leaks ».
« Aujourd’hui, je suis absolument incapable de dire que c’est APT28 [le groupe de hackers russes liés au GRU, les services secrets de l'armée russe – ndlr] qui a fait les Macron Leaks. Je n’ai absolument aucun élément pour dire si c'est vrai ou faux », expliquait-il à AP.
« Sur la base des éléments techniques qui sont trop simples, il n’est pas possible de dire : “C’est forcément un État, ou c’est manifestement un groupe criminel.” Cela peut être n’importe qui », disait-il à RT. « La simplicité fait qu’on peut imaginer que ce soit une personne seule qui ait fait cela et donc il peut être dans n’importe quel pays avec n’importe quelle motivation », ajoutait-il (voir ici la vidéo de RT sur YouTube).
Au même moment, deux enquêtes publiées en Russie sur des sites indépendants d’information sont venues quelque peu troubler ce message. Le journal en ligne The Insider est parvenu à tirer encore un peu plus le fil autour du mystérieux Georgy Petrovitch Rochka, dont le nom était apparu à neuf reprises, écrit en cyrillique, dans les métadonnées de certains des mails piratés des Macron Leaks. Il a pu être démontré qu’il s’agissait vraisemblablement d’un collaborateur du GRU, les services secrets de l’armée russe.
Comme nous l’avons écrit dans Mediapart, cette « empreinte » russe, laissée de manière particulièrement démonstrative, a suscité la perplexité de nombreux hackers. Notre enquête avait pu établir que Georgy Petrovitch Rochka existait cependant bel et bien. Nous avions retrouvé sa trace dans une conférence informatique de renom – « Parallel Computational Technologies » (PCT) – qui s’était tenue à Rostov-sur-le-Don (sud de la Russie) en avril 2014.
Il était alors répertorié comme « expert » de la société Evrika (Eurêka), une importante entreprise russe de sécurité informatique. Cette structure qui compte 700 collaborateurs a obtenu plusieurs licences du FSB (ex-KGB) l’autorisant à avoir « des activités dans le domaine de la protection des secrets d’État », comme par exemple « la détection de dispositifs d’écoute électronique dans les outils d’ingénierie ». Ses clients réguliers sont les ministères russes de la défense, des affaires étrangères, des situations d’urgence et de la justice, ainsi que le Comité national des douanes, le Service fédéral de protection (FSO), la banque centrale de Russie et la Cour des comptes, comme le précise son site internet.
Contactée, Evrika nous avait fait parvenir par mail une réponse alambiquée, affirmant que « pour la période du 1er janvier 2003 au 10 mai 2017 » – une précision de date que nous n’avions pas demandée –, Georgy Petrovitch Rochka « ne travaillait pas de façon permanente et n’avait pas conclu de contrat temporaire [avec Evrika – ndlr] ». Sa vice-directrice indiquait que Georgy Petrovitch Rochka « avait également participé à l’édition 2016 de la conférence “Parallel Computational Technologies” (PCT) à Arkhangelsk, et à celle de 2017 à Kazan en se présentant comme l’employé d’autres organisations ».
Mais sur le site de la conférence PCT, pour les années 2016 et 2017, il était impossible de trouver le nom de monsieur Rochka, les fichiers « Who is Who » n’étant pas disponibles.
Une fois l’article publié, Mediapart avait reçu une étrange réponse émanant du professeur Léonid Sokolinski, l’un des principaux organisateurs de ces conférences placées sous l’égide du ministère de l’éducation et des sciences de Russie et qui réunissent chaque année une centaine d’universitaires et de spécialistes en informatique. Il indiquait que les listes détaillées des participants pour 2016 et 2017 avaient disparu en « raison d’une erreur dans les bases de données qui s'est produite le 11 mai dernier et qui a conduit à une perte des informations ».
Ce sont ces documents prétendument effacés que le journal The Insider a pu se procurer. Et, surprise, on y découvre qu’en 2016, à Kazan, Georgy Rochka s’était cette fois-ci inscrit comme collaborateur de la « Division militaire N° 26165 » et qu'en 2017, à Akhkangelsk, il est apparu comme collaborateur du « Centre des études stratégiques », une division du ministère de la défense russe qui recrute ouvertement des informaticiens, des programmistes et des hackers !
Toutes ces entités mènent au GRU, les services secrets de l’armée. La division militaire N° 26165 est une unité basée à Moscou et spécialisée dans la formation de professionnels en cryptographie, connue sous le nom de 85e centre spécialisé du GRU.
La société Evrika, elle, disposerait d’un centre de formation pour futurs hackers, comme l’a confirmé une source à The Insider. La journaliste russe Alexandra Garmazhapova a pu visiter les lieux incognito en août 2014. « Dans la salle, les rideaux étaient baissés. C’était bourré de fils, d’ordinateurs et de “jeunes talents” flânaient. On ne pouvait pas se déplacer sans être escorté. Il y avait des gardes à l'entrée, des codes d’accès et des caméras de surveillance à l'intérieur », raconte-t-elle. Le site russe Munscanner, qui publie aussi une enquête, révèle que l’un des fondateurs d’Evrika, Alexandre Kinal, a acheté le 9 février 2017 un appartement voisin de celui d’Arkadi Rotenberg, Nikolaï Chamalov et Gennadi Timchenko (de très proches amis de Poutine), dans une maison de luxe à Saint-Pétersbourg gardée par le service fédéral de sécurité.
À supposer que le nom de Georgy Rochka ait été introduit intentionnellement pour attribuer l’attaque informatique aux Russes – ce que, dans le jargon des hackers, on appelle une opération « false flag » (« sous faux pavillon » en français) –, ceux qui ont ainsi agi auraient fait preuve d'une étonnante connaissance des arcanes des services secrets russes. « Théoriquement, on peut admettre que quelqu’un ait introduit des données d’un Russe intentionnellement. Comme a dit Vladimir Poutine : “Quelqu’un a introduit une clé USB avec les données d’un employé russe.” Mais ce n'est pas le nom de Felix Dzerzhinski [le fondateur de la TCHEKA, l'ancêtre du KGB – ndlr] qui a été trouvé dans les fichiers, mais un nom méconnu du large public et crédible et cela oblige à faire des enquêtes nécessaires », estime Andreï Soldatov, journaliste du site spécialisé Agentura.ru interrogé par Mediapart.
Mercredi 1er juin, en ouverture du Forum économique de Saint-Pétersbourg, Vladimir Poutine a concédé qu'il était envisageable que des hackers russes aient mené des attaques lors d'élections. « Des hackers voient les choses d’un œil de patriote, ils commencent à apporter leur propre contribution à ce qu’ils estiment être une juste cause contre ceux qui parlent mal de la Russie. Est-ce possible ? Théoriquement, oui », a-t-il répondu à la question d'un journaliste, niant toute implication de l'État.
Si désigner un coupable dans une attaque informatique est toujours extrêmement difficile, voire impossible, l’équipe de campagne d’Emmanuel Macron avait mis en garde il y a quelques mois, disant avoir été la cible de tentatives de piratage. La piste russe était alors évoquée.
Fin avril, la société de sécurité informatique japonaise Trend Micro a publié un rapport très complet sur les activités de « Pawn Storm » (également connu sous le nom de « Fancy Bear », « APT28 » ou encore « Guccifer 2.0 »), un groupe de hackers qui travaillerait pour les services russes de renseignement militaire, le GRU. Ils sont fortement suspectés d’être derrière les piratages des mails du parti démocrate américain et de l’Agence mondiale antidopage. Trend Micro révélait alors que parmi les cibles de Pawn Storm figuraient les boîtes mails de l’équipe d’En Marche!.
Confiée à la Brigade d’enquête sur les fraudes aux technologies de l’information (Befti), l’enquête ouverte à Paris, vendredi 5 mai, pour « accès frauduleux à un système de traitement automatisé de données » et « atteinte au secret des correspondances » se poursuit.
