Un vent de guerre froide soufflerait-il sur la campagne électorale américaine ? La publication de 22 000 emails de la campagne du parti démocrate américain mis en ligne par WikiLeaks vendredi 22 juillet serait le fait de pirates russes agissant pour le compte du Kremlin, selon nombre d'experts en cybersécurité. Leur but, aux dire de responsables démocrates : semer la discorde au sein du parti pour favoriser le candidat républicain Donald Trump, favori du Kremlin. Objectif en partie atteint : ces documents compromettant ont coûté son poste à Debbie Wasserman Schultz, la présidente de la convention nationale démocrate.

L'hypothèse d'un Poutine s'immisçant dans la campagne américaine a été qualifiée d'"absurde" par WikiLeaks. Pourtant, cette option est prise au sérieux au sein même de l’administration Obama, puisque le Maison Blanche a réuni un conseil d’experts à ce sujet avant même la publication des emails compromettant, rapporte le Washington Post.

Deux ours sinon rien

Les soupçons d’une implication russe dans cette affaire remontent à avril, lorsque le piratage de la convention nationale démocrate a été découvert. La société de sécurité engagée pour enquêter sur ces cyberattaques, Crowdstrike, avait alors mis en cause deux groupes de pirates informatiques russes, Cozy Bear (Ours confortable) et Fancy Bear (Ours chic).

"Ils ont analysé les fichiers laissés par les assaillants sur les ordinateurs infectés, les adresses IP [identifiants des machines connectées à Internet] utilisées pour extraire les données volées et ont ainsi obtenu un certain nombre de marqueurs d’attaque qui pointaient en direction de ces groupes", raconte Gérôme Billois, spécialiste en cybersécurité pour le cabinet de conseil Wavestone, contacté par France 24.

L’enquête de Crowdstrike a ainsi pu déterminer que les attaques avaient eu lieu durant les heures de bureau en Russie, que les assaillants étaient inactifs pendant les périodes de vacances russes ou encore qu’ils utilisaient des claviers configurés pour des utilisateurs russes. Les "armes" déployées – les logiciels malveillants – sont aussi conformes à l’arsenal utilisé par ces groupes lors de leurs précédentes attaques.

Le précédent TV5 Monde ?

Car Cozy Bear et Fancy Bear sont de vieilles connaissances des experts en sécurité. Actifs depuis au moins 2010, ils sont accusés d'avoir attaqués des cibles prestigieuses telles que le Bundestag allemand en 2014, la chaîne française TV5 Monde en avril 2015 ou encore la Maison Blanche début 2015 et le département d’État américain en octobre de la même année.

La nature de leurs victimes semble indiquer que ces pirates informatiques suivent un agenda politico-diplomatique précis et ne serait pas des cybercriminels simplement guidés par l’appât du gain. La preuve de leurs liens avec le pouvoir russe tiendrait du fait qu'ils effacent méticuleusement le plus de traces possible de leurs méfaits. "On est face à des assaillants qui suivent des procédures standardisées et qui ont une organisation quasi-industrielle typique des groupes soutenus par des États", analyse Gérôme Billois.

"Ce n’est pas parce qu’on utilise une Kalachnikov qu’on est forcément russe"

Reste à savoir pourquoi la Russie déploierait autant de ressources pour pirater les mails de la convention nationale démocrate. La cible, après tout, apparaît moins prestigieuse que la Maison Blanche ou le Parlement allemand. Robby Mook, le chef de la campagne d’Hillary Clinton, a affirmé, dimanche 24 juillet, que le but de Moscou était de déstabiliser le camp démocrate afin d’aider Donald Trump. Une analyse très politique – voire politicienne – de l’affaire qui reposerait sur une prétendue sympathie du candidat républicain pour Moscou. Ce dernier avait affirmé au New York Times le 21 juillet qu’il n’interviendrait pas systématiquement si un membre de l’Otan était militairement attaqué par la Russie, sauf si l’État agressé avait "suffisamment soutenu l’Alliance atlantique".

L’accusation du camp Clinton a fait bondir les républicains. Apparaître comme pro-Poutine n’est pas électoralement porteur aux États-Unis. Donald Trump Jr est rapidement monté au créneau pour défendre son père contre “le plus gros mensonge qui soit”, tandis que le chef de campagne du candidat de droite a qualifié cette thèse d'"absurde". Pour le parti de droite américain, le mieux serait encore que la Russie n’ait rien à voir dans la fuite des emails.

La piste d'un partisan de Bernie Sanders

Ce qui n’est pas exclu. "Il n’y a pas de lien formellement établi entre le piratage d’avril et les documents remis à WikiLeaks", souligne Gérôme Billois. Si deux groupes ont eu accès au système informatique de la convention nationale démocrate, d’autres pirates informatiques ont également pu y parvenir. Il peut aussi s’agir d’une fuite interne au parti démocrate, notamment d’un partisan du candidat malheureux aux primaires démocrates, Bernie Sanders. Les emails publiés illustrent, en effet, l’hostilité d’une partie de l’establishment démocrate à l’égard de l’adversaire d’Hillary Clinton.

Certains contestent même l’implication de Cozy Bear ou Fancy Bear dans les attaques informatiques contre la convention nationale démocrate. "Ce n’est pas parce qu’on utilise une Kalachnikov qu’on est forcément russe ou qu’on travaille pour Kalachnikov", ironise l’expert américaine en cybersécurité Jeffrey Carr, dans un billet de blog. Une comparaison destinée à rappeler à quel point "l’attribution d’une attaque est un problème difficile en cybersécurité", rappelle Gérôme Billois. Les deux groupes mis en cause sont bien connus, leurs modus operandi a été détaillé dans plusieurs rapports et les logiciels malveillants qu’ils utilisent sont comme les fusils mitrailleurs russes : facile à trouver si on sait où chercher, facile à copier. Il serait donc possible qu’un autre groupe de pirates informatiques ait cherché à se faire passer pour eux afin de brouiller les pistes.

Le FBI a lancé une enquête sur ce piratage lundi 25 juillet pour tenter de démêler cet imbriglio.