TV5 Monde : 5 points pour comprendre l’attaque qui a fait tomber la chaine de télé

Qui se cache derrière le «Cyber Caliphate» ?

Il n’y a que peu d’informations sur ce groupe, sinon qu’il prête ouvertement allégeance à l’Etat islamique. Les cyberdjihadistes ont non seulement revendiqué leur action sur les comptes Facebook et Twitter de TV5 Monde, mais aussi sur le site web « cyb3rc.com », sur lequel ils diffusent par ailleurs toute une série de documents présentés comme « confidentiels ». 01net a consulté ces données : il s’agit d’un gigantesque fatras où l’on trouve pêle-mêle des CV, des copies d’écrans, des convocations à des formations CHSCT, des factures de mairies, des photos étranges,… Mais nous n’avons trouvé absolument rien de réellement confidentiel.

Ce n’est pas la première fois que Cyber Caliphate fait ce coup de bluff. En janvier dernier, ces cyberdjihadistes avaient « défacé » les comptes Twitter et YouTube de l’US Central Command, tout en proclamant avoir piraté leur réseau. Puis ils ont publié sur Pastebin.com des documents soi-disant confidentiels, mais qui ne l’étaient pas du tout. Bref, Cyber Caliphate se cantonnait jusqu’à présent à des actions classiques de cyberactivistes, mettant l’accent sur la propagande. Avec la disruption de l’antenne de TV5 Monde, Cyber Caliphate passe à un niveau de dangerosité supérieur.    

Cette attaque était-elle d’un niveau sophistiqué ?

A ce stade, c’est un peu difficile à dire. Il semble que cette attaque n’était pas très sophistiquée sur le plan technique, mais qu’elle était plutôt bien préparée. Sur le site LesEchos.fr, le directeur informatique de TV5 Monde parle d’une « destruction méthodique et structurée ». Ce qui est plutôt surprenant pour des cyberdjihadistes. « Les activistes se limitent généralement à des actions simples et immédiates. Là, les pirates ont attendus d’avoir suffisamment d’informations pour passer à l’acte », explique Jérôme Robert, directeur marketing chez Lexsi, un spécialiste en cybersécurité.

D’après le site breaking3zero.com, les pirates auraient envoyé un courriel vérolé à l’un des utilisateurs de TV5 Monde et exploité une faille Java pour introduire un ver codé en VBscript baptisé « isis », l’abréviation d’Etat islamique en anglais. Celui-ci se serait propagé jusqu’au « serveur de transmission » de la chaîne. Sur le fond,  ceci n’est techniquement pas très compliqué si les réseaux sont peu sécurisés. « Ce sont-là des techniques classiques du cybercrime, ni plus ni moins », commente Jérôme Robert.

Quel crédit peut-on donner aux révélations techniques de breaking3zero.com ?

D’après Guillaume Lovet, expert en cybercriminalité chez Fortinet, l’attaque décrite par ce site est plausible. « En utilisant ce type de ver, il est parfaitement possible de réaliser ce qui s’est passé chez TV5 Monde », explique-t-il. Néanmoins, l’article est très inégal dans sa qualité rédactionnelle. D’un côté, l’auteur donne des informations très précises (codage VBscript, un extrait de code,…), mais de l’autre il manie les termes techniques de manière inappropriée, voire absurde. Comme « identité du réseau de la chaîne », « script html » ou « s’emparer de l’identité IP d’un utilisateur via Skype ». Sur Twitter, certains n’hésitent d’ailleurs pas à se moquer. Selon nous, il est possible que l’auteur ait réussi à récupérer de vraies informations au travers d’une source interne, sans toutefois toujours bien les comprendre.

Les réseaux de TV5 Monde étaient-ils bien sécurisés ?

Dans un communiqué, la direction de TV5 Monde estime que son infrastructure technique fait preuve d’un « niveau très élevé de sécurisation » et a bénéficié d’un « contrôle récent ». Auprès des Echos, le directeur informatique de TV5 Monde, Jean-Pierre Verines, précise que son « système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire », soulignant même avoir un « firewall quasi neuf ». 

Toutefois, quelques doutes sont permis sur ces déclarations. Il y a quinze jours, l’ANSSI avait prévenu la chaîne de l’utilisation frauduleuse d’un de ses serveurs, non protégé. Le ver était donc déjà dans le fruit, si l’on peut dire. De son côté, Damien Bancal, journaliste spécialisé et éditeur du site Zataz, explique avoir régulièrement contacté TV5 Monde pour des failles trouvées dans leurs systèmes informatiques. « Je leur ai envoyé une dizaine d’alertes en l’espace de deux ans », précise-t-il.

Enfin, selon nos informations, le réseau bureautique et le réseau de production audiovisuelle n’étaient pas totalement cloisonnés, comme cela devrait pourtant être le cas pour ce genre d’activité. Des passerelles permettent, en effet, de passer de l’un à l’autre. Ce qui expliquerait pourquoi un email vérolé a permis de plonger l’antenne dans le noir. Au passage, une interview vidéo réalisée aujourd’hui dans la rédaction de TV5 Monde tendrait à prouver qu’il n’y avait pas non plus une bonne politique de gestion des mot de passe…

Quelles seront les conséquences politiques de cette attaque ?

Le gouvernement s’est rapidement mobilisé sur cette attaque. Trois ministres se sont même déplacés au siège de la chaîne TV. Le ministre de l’Intérieur Bernard Cazeneuve en a profité pour annoncer 500 nouveaux emplois à la DGSI, les services secrets intérieurs, ainsi qu’un renforcement de la plateforme de signalement Pharos de la Police judiciaire et des équipes de l’OCLCTIC, afin de pouvoir « prévenir » ce type d’attaque. Implicitement, il a également fait référence à la loi sur le renseignement, qui est actuellement en débat au Parlement. Plus tard dans la journée, le ministre n’a pas hésité à qualifier ce piratage d’« acte terroriste », ce qui parait exagéré. Il semble donc que le gouvernement, d’une certaine manière, veuille profiter de cet épisode malheureux pour justifier son durcissement sécuritaire. La Quadrature du Net aura encore plus de mal à se faire entendre pour mobiliser les citoyens contre la loi sur le renseignement…

L’antenne de TV 5 Monde piratée par des cyberdjihadistes, le 09/04/2015

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.