La piste russe des «Macron Leaks» mène à un sous-traitant du FSB

Par et Anastasia Kirilenko

Pourquoi le nom d’un Russe s’est-il retrouvé dans les métadonnées des mails piratés du trésorier de la campagne d’Emmanuel Macron ? Mediapart a suivi la piste de ce mystérieux personnage, employé d’Evrika, une grosse société russe de sécurité informatique, dont les liens avec les services secrets du pays sont indéniables. Les « Macron Leaks » n’ont pas encore révélé tous leurs secrets.  

Cet article est en accès libre. Découvrez notre offre spéciale ! S'abonner

Georgy Petrovitch Rochka. C’est à neuf reprises que ce nom à consonance russe est apparu, écrit en cyrillique, dans les métadonnées de certains des mails piratés des « Macron Leaks ». À neuf reprises, le 27 mars 2017, cette « personne » aurait ainsi modifié ou simplement ouvert des fichiers qui avaient été créés, le 5 mai 2016, par Cédric O, le trésorier d’En Marche!. Il s’agit de documents détaillant le « business plan » du mouvement d’Emmanuel Macron : les salaires de l’équipe, les dépenses en communication, les frais généraux, ainsi que les flux de trésorerie : les dons, les appels à dons, etc. Bref, tout ce qui aurait pu être sensible mais qui, après examen, ne recèle apparemment aucune irrégularité, comme l’écrivait récemment Libération. À cela s’ajoute la découverte par plusieurs experts de fichiers édités sur des ordinateurs utilisant des caractères russes.

Ces empreintes « russes », que n’importe quel amateur en informatique est capable de découvrir, ont de quoi laisser perplexe. Elles sont étonnamment démonstratives, un peu comme si un cambrioleur laissait derrière lui sa carte d’identité.

Le premier tweet du site d'investigation bulgare Vibol Le premier tweet du site d'investigation bulgare Vibol
C’est le site d’investigation bulgare Bivol qui, sur son compte Twitter, le 6 mai, à 3 h 20 du matin, a été le premier à soulever le lièvre. L’information a ensuite été relayée par WikiLeaks, qui dans la soirée du 5 mai avait largement contribué à propager la fuite lancée sur le site 4Chan, la plateforme où l'anonymat prime. Répondant à la question d’un internaute, l’organisation de Julian Assange émettait plusieurs hypothèses : « faux pavillon [pour désigner les Russes – ndrl], incompétence, volonté de la Russie de se signaler ou hasard », avant de s’empresser de refermer le dossier.

Il y a pourtant certains faits troublants. À commencer par le fait qu’en Russie, il existe bel et bien quelqu’un du nom de Georgy Petrovitch Rochka, un personnage plutôt mystérieux. Sur Internet, on retrouve sa trace dans la liste des participants à une conférence informatique de renom – « Parallel Computational Technologies » (PCT) – qui s’est tenue à Rostov-sur-le-Don (sud de la Russie) en avril 2014. Rochka y est alors répertorié comme « expert » de la société Evrika (Eureca en anglais) et laisse même un mail privé.

Créée en 1990 à Saint-Pétersbourg, Evrika est l’un des plus grosses entreprise russes de sécurité informatique. Elle emploie aujourd’hui 700 personnes, avec une antenne à Moscou et une autre à Koursk. Depuis 2003, elle dispose de licences du FSB (ex-KGB) l’autorisant à avoir « des activités dans le domaine de la protection des secrets d’État », comme par exemple « la détection de dispositifs d’écoute électronique dans les outils d’ingénierie ». Ses clients réguliers sont les ministères russes de la défense, des affaires étrangères, des situations d’urgence et de la justice, ainsi que le Comité national des douanes, le Service fédéral de protection (FSO), la Banque centrale de Russie et la Cour des comptes, comme le précise son site Internet.  

Contactée par Mediapart, Evrika s’est fendue d’une réponse détaillée, une chose tout à fait exceptionnelle en Russie. Dans un mail daté du 11 mai, Irina Vladimirskaya, sa directrice adjointe, écrit que « pour la période du 1er janvier 2003 au 10 mai 2017 » – une précision de date que nous n’avions pas demandée –, Georgy Petrovitch Rochka « ne travaillait pas sur une base permanente et n’avait pas conclu de contrat temporaire [avec Evrika – ndrl] ». Et qu’il ne figurait pas non plus « dans les listes des étudiants du centre de formation, ainsi que dans la base des adresses électroniques de domaine ».

Le programme de la conférence informatique qui s'est tenue en avril 2014 à Rostov-sur-le-Don. Georgy Petrovitch Rochka s'y était inscrit comme expert de la société Evrika Le programme de la conférence informatique qui s'est tenue en avril 2014 à Rostov-sur-le-Don. Georgy Petrovitch Rochka s'y était inscrit comme expert de la société Evrika

La responsable ajoute qu’« Evrika n’a pas participé à la conférence informatique de Rostov-sur-le-Don en 2014 ». Une affirmation surprenante puisque dans le « Who’s Who » de la manifestation qui curieusement n’est désormais plus accessible sur le Web (mais que l’on peut consulter en cache ici), outre le fameux M. Rochka, deux autres individus se sont inscrits comme des représentants d’Evrika. L’un d’eux, un certain Sergueï Zaïtsev, a un parcours intéressant, puisque selon le journal russe Insider, il était, en 2015, l’un des collaborateurs du Centre des projets spéciaux du ministère de la défense, une structure qui recrute activement des hackers et des spécialistes du chiffrage.

Autre curiosité, dans sa réponse à Mediapart, Irina Vladimirskaya écrit que « selon des informations disponibles en source ouverte, Georgy Petrovitch Rochka a participé à l’édition 2016 de “Parallel Computational Technologies” (PCT) à Arkhangelsk, et à celle de 2017 à Kazan, se présentant comme l’employé d’autres organisations ». Elle suggère ainsi que le mystérieux Rochka, un habitué de ce genre de manifestations, est un usurpateur.

Mediapart a consulté les documents officiels des deux conférences précitées, celle d’Arkhangelsk en avril 2016 et celle de Kazan en avril 2017, sans, cette fois-ci, trouver la moindre trace de l’expert en informatique dans la liste des participants.

Organisées sous l’égide du ministère de l’éducation et des sciences de Russie, les conférences « Parallel Computational Technologies » (PCT) réunissent chaque année une centaine d’universitaires et de spécialistes en informatique. Elles sont fermées au grand public et semblent être parfaitement encadrées. Difficile d’imaginer que quelqu’un puisse s’y accréditer sans documents officiels, ni références sérieuses. 

Les télévisions russes relaient largement les « Macron Leaks »

À supposer que le nom de Georgy Rochka/Evrika ait été introduit intentionnellement pour attribuer l’attaque informatique aux Russes – ce que, dans le jargon des hackers, on appelle une opération « false flag » (« sous faux pavillon » en français) –, ceux qui ont ainsi agi ne s’y sont pas trompés pour donner l’apparence de la vraisemblance.

Les liens d’Evrika avec les services secrets et les organes de sécurité du pays ne font, en effet, aucun doute. Et même ses collaborateurs ne s’en cachent pas. Sur un site Internet de recherche d’emploi, un ancien policier du Département de lutte contre la criminalité organisée (RUBOP), employé depuis 2000 d’Evrika, vante dans son CV sa grande expérience en matière « d’installation de matériel anti-écoute et anti-piratage », et « sa collaboration avec le FSB et le ministère de la défense ».

En mai 2016, la société a remporté un appel d’offres organisé par l’État pour fournir des ordinateurs protégés à l’Institut d’études scientifiques « Kvant », une structure spécialisée dans les systèmes de protection de l’information et rattachée depuis 2007 au FSB. En 2011, Kvant avait été au centre d’un scandale d’espionnage. Des documents, alors publiés par WikiLeaks, révélaient que son directeur était en contact avec une société italienne pour l’achat d’un logiciel espion nommé « Remote Control System » permettant d’infiltrer les ordinateurs et les smartphones [ordiphones – ndlr].

Si désigner un coupable dans une attaque informatique est toujours extrêmement difficile, voire impossible, l’équipe de campagne d’Emmanuel Macron avait mis en garde il y a quelques mois, disant avoir été la cible de tentatives de piratage. Et déjà la piste russe était évoquée.

Fin avril, la société de sécurité informatique japonaise Trend Micro a publié un rapport très complet sur les activités de « Pawn Storm » (également connu sous le nom de « Fancy Bear », « APT28 » ou encore « Guccifer 2.0 »), un groupe de hackers qui travaillerait pour les services russes de renseignement militaire, le GRU. Ils sont fortement suspectés d’être derrière les piratages des mails du parti démocrate américain et de l’Agence mondiale anti-dopage. Trend Micro révélait alors que parmi les cibles de « Pawn Storm » figuraient les boîtes mails de l’équipe d’En Marche!.

À Moscou, les « Macron Leaks » ont provoqué une véritable euphorie dans la médias proches du pouvoir. Samedi 6 mai, tous les journaux télévisés ont consacré un sujet à la nouvelle « sensationnelle ». La chaîne Rossia 24 affirmait ainsi sans détours que le compte offshore Emmanuel Macron aux Caïmans avait été découvert, montrant à l’écran le document de l’accord entre la fameuse Providence LLC et la First Caribbean International Bank qui, comme ont pu le prouver plusieurs spécialistes, est le résultat d’un grossier montage. Le journaliste affirmait aussi « que d’énormes sommes non déclarées » avaient financé la campagne de Macron, produisant aussi un des mails falsifiés sur l’ahurissante demande au directeur de campagne – « Ne pas oublier l’achat de la c… pour le boss » – et relayant les rumeurs d’un président « cocaïnomane » (voir ci-dessous).

Le sujet de la chaîne Rossia 24 : "les hackers ont découvert les comptes offshore de Macron " © Россия 24

Tous les sites ultra-nationalistes qui avaient soutenu Marine Le Pen se sont également engouffrés dans la brèche, désignant au passage WikiLeaks comme étant à l’origine de la diffusion des « Macron Leaks » et dénonçant « le crime financier de Macron ». Tsargrad, le journal en ligne et la chaîne de télévision propriété de l’oligarque ultra-orthodoxe Konstatin Malofeev – l’un des soutiens financiers du Front National – titrait sur « les fuites WikiLeaks : Macron est lié à la CIA et a un compte offshore aux Bahamas [sic !] ». « Ces documents auront un effet sur les élections en France, en particulier sur le scrutin législatif où Macron, cette fois-ci, n’obtiendra pas la majorité parlementaire », prédisait ainsi un expert, au lendemain de la victoire d’Emmanuel Macron.  

Depuis, la passion semble être retombée. La découverte de traces russes dans les métadonnées des fichiers piratés a été peu relayée, provoquant quelques sarcasmes sur le fait qu’une fois de plus Moscou était accusée sans preuves.  

Le site Sputnik a donné la parole à un « expert français en cyberdéfense », Charles Préaux, qui affirme que « la seule chose que cela prouve, c’est qu’un nom d’un employé russe aurait été mis dans les métadonnées en question, c’est tout ». « Maintenant, la source n’est pas prouvée pour autant. Pour une bonne raison, c’est que n’importe qui, n’importe quel pays, à commencer par le nôtre, ou par un autre, peut mettre ces métadonnées dans ces documents. Cela prouve que le nom de l’employé en question figure bien, mais cela ne prouve pas la source », explique-t-il.

L’enquête ouverte à Paris, vendredi 5 mai au soir, pour « accès frauduleux à un système de traitement automatisé de données » et « atteinte au secret des correspondances », permettra peut-être d’y voir un peu plus clair. Confiée à la Brigade d’enquête sur les fraudes aux technologies de l’information (Befti), elle dépendra cependant en partie de la collaboration des autorités russes et américaines.

Prolongez la lecture de Mediapart Accès illimité au Journal contribution libre au Club Profitez de notre offre spéciale