Piratage de TV5MONDE : ce qu’en disent les experts

C’est une attaque informatique massive qui a été menée contre les chaînes de TV5MONDE, son site Internet et ses comptes de réseaux sociaux. Analyse de l’événement et retour dans l’histoire proche ou éloignée de ces actes de piratages informatiques de grande ampleur.

dans
Les comptes twitter, Facebook et le site internet de TV5MONDE ont été piratés un peu avant 22h (heure française). Les pirates se revendiquant du groupe Etat islamique ont pu diffuser leurs messages de propagande via ces canaux internet — avant que les comptes ne soient repris en main. Ce type d’attaques sur le réseau mondial est connu. En revanche, une heure auparavant, une autre attaque, bien plus exceptionnelle est survenue, et qui a obligé à stopper la diffusion des programmes de TV5MONDE. Compromettre une diffusion télévisuelle, par le biais d’une attaque informatique est une première en France, et certainement dans le monde, nous confirme l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui travaille actuellement dans les locaux de TV5MONDE afin de remettre en service les systèmes informatiques et sécuriser les réseaux.

Communiqué de l’ANSSI

« L’ANSSI apporte son soutien à TV5MONDE

Victime d’une attaque informatique, la chaîne de télévision TV5MONDE a dû interrompre ses programmes et rendre son site Internet inaccessible. Les comptes de la chaîne sur les réseaux sociaux ont également été attaqués. L’Agence nationale de la sécurité des systèmes d’information, rattachée au Secrétariat général de la défense et de la sécurité nationale (Premier ministre), apporte son soutien technique aux équipes de TV5MONDE pour analyser l’attaque et permettre à la chaîne de rétablir le service dans de bonnes conditions de sécurité. »
Comment une telle attaque informatique d’aussi grande ampleur a-t-elle pu être menée ?


Aucun piratage ne ressemble à un autre, même si…

Antoine Champagne, journaliste spécialisé dans les techniques de hacking, a vu, ou même parfois assisté à de nombreux « hacks » (piratages informatiques) depuis les années 90, tant aux USA qu’en France. D’après lui, « Aucune attaque informatique n’est jamais identique ou basée sur les mêmes procédés. Il n’y a pas de méthode type, parce que les pirates cherchent une faille, et le plus souvent progressent à tâtons. Au Monde, il y a deux mois, c’était grâce à une méthode de phishing (technique d’hameçonnage, par mail le plus souvent, en faisant exécuter un virus à l’utilisateur, ndlr), par exemple. »

Dans le cas de TV5MONDE, parce que l’attaque était concertée, touchait à l’ensemble des systèmes de communication informatiques, il est probable, d’après le spécialiste, que « C'est une opération de longue haleine. Il est fréquent que les pirates trouvent une première faille, puis remontent au fur et à mesure, comme au New York Times, il y a quelques années. A l’époque c’était une faille dans le système d’exploitation, mais ça peut aussi être le gestionnaire de contenus web. Le plus souvent c’est une escalade de privilèges que les auteurs arrivent à gagner au fur et à mesure. Jusqu’au moment où ils peuvent véritablement contrôler le système. » Qui est derrière cette opération ? Le journaliste spécialiste n’a pas de certitudes, mais certains détails peuvent aider à se faire une idée de ce qu’ils ne sont pas : « Leur opération est similaire à d’autres, et le fait que leurs messages soient mal écrits, avec un arabe traduit par un logiciel, et certains détails visibles laissent penser que ce pourrait être un groupe déjà actif qui n'a probablement rien à voir avec l’Etat islamiste ».

Les médias, une cible de choix


Des dizaines de sites sont attaqués tous les jours en France, et les médias sont particulièrement exposés. Mais entre modifier la page d’un site internet pour la remplacer par un message de propagande pendant quelques minutes, et pénétrer le réseau interne d’une chaîne de télévision internationale— jusqu’à couper sa diffusion — il y a un fossé. Malgré tout, pour Antoine Champagne, les médias sont plus faciles à pirater, à cause de leurs pratiques : « Au sein des médias, par essence, il y a besoin de communiquer sur les réseaux, beaucoup plus qu’un autre type d’entreprises. Cette communication est trop importante la plupart du temps, et les réseaux ne sont  jamais très « étanches ». C’est un problème récurrent ».

Olivier Laurelli, hacker et spécialiste en sécurité informatique, pense lui aussi que l’opération de piratage s’est faite dans la durée : « Ce qui ressort pour l’instant, c’est que ça ne s’est pas fait dans la soirée, et peut-être qu’une faille Java (langage informatique très utilisé pour les applications en réseau, ndlr) a été utilisée. Les attaquants avaient des accès depuis un temps indéterminé et ont organisé leur opération, je ne peux pas dire sur combien de temps, mais ce n’était visiblement pas en direct. Le site Breaking 3.0 qui a publié une enquête sur le piratage, n’est pas très crédible, selon moi . Il y a de nombreuses maladresses dans le langage technique qu’ils utilisent— et les précisions qu’ils détiennent leur ont été fournies de l’extérieur, avec des explications qu’ils ne maîtrisent pas. Les quelques informations que j’ai réussi à récupérer, comme mes propres explorations techniques, font penser que des postes ont été infectés par un logiciel malveillant, que des chevaux de Troie (virus logiciel permettant d’ouvrir une « porte informatique pour les pirates vers le réseau de TV5MONDE) ont réussi à être installés sur un PC par les pirates. Mais il y a aussi des failles sur le serveur web. Je les ai encore sous les yeux, donc ça a pu passer par là aussi… ».

Questionné sur la coupure des chaînes de télévision, le spécialiste est plus surpris : « Une attaque sur les comptes de réseaux sociaux, sur le site internet, s’il y a des failles de sécurité c’est assez simple. Par contre, que le réseau interne qui gère la diffusion de la télévision ait été touché est plus inquiétant en termes d’étanchéité entre les réseaux. A moins que quelqu’un ait utilisé une clef usb infectée sur une machine connectée au réseau de diffusion des chaînes, et que le virus s’y soit répliqué ? On peut penser que les pirates prévoyaient de diffuser leurs propres vidéos sur la chaîne, mais qu’ils n’ont pas eu le temps de le faire, avant que la diffusion ne soit coupée. Ca a été la même chose au Monde.fr, où les pirates avaient écrit dans le gestionnaire de contenus mais n’avaient pas trouvé le moyen de publier, parce qu’ils ne savaient visiblement pas comment faire ».

Cette attaque, selon les deux spécialistes est le signe que les systèmes informatiques sont fragiles au sein des médias. Le journaliste spécialiste du hacking informatique, Antoine Champagne, conclue par ces mots plus optimistes : « En fin de compte, en agissant au grand jour, les pirates permettent aux entreprises attaquées, TV5MONDE en l’occurrence, de régler leurs problèmes de sécurité informatique, même si c’est difficile à gérer et à accepter. Les pirates les plus dangereux sont ceux qui restent longtemps dans les systèmes, ne se font pas connaître. Ils peuvent faire beaucoup plus de dommages. Des entreprises ont été filmées à leur insu, écoutées très longtemps, et certaines le sont encore, c’est certain… ».  

Le piratage de TV5MONDE semble donc être une « nouvelle alerte » qui devrait permettre une prise de conscience de l’importance de la sécurité informatique. Particulièrement pour les médias… Ce que l'ANSSI souligne avec ce nouveau communiqué :

Attaque informatique contre TV5 Monde : l’ANSSI mobilisée.
 
"Pour répondre à l’attaque informatique ayant affecté la chaîne de télévision TV5MONDE, l’Agence nationale de la sécurité des systèmes d’information, rattachée au Secrétariat général de la défense et de la sécurité nationale (Premier ministre), apporte un soutien technique aux équipes pour analyser l’attaque et rétablir le service dans de bonnes conditions de sécurité. Dans la matinée du jeudi 9 avril, quatre experts ont immédiatement été dépêchés. Treize personnes sont actuellement au siège de la chaîne pour mettre en place les premières mesures de remédiation à l’incident. Il s’agit pour l’ANSSI d’offrir une réponse qui permette une remise en service rapide du système d’information sans effacer les traces d’intrusion, précieuses pour le travail d’enquête.

L’attaque contre TV5MONDE s’inscrit dans le contexte d’une guerre d’information où les médias sont particulièrement visés, ainsi que plusieurs incidents récents l’ont confirmé : il s’agit, pour les attaquants, d’une méthode de propagande.

Il n’est pas possible à ce stade des investigations de se prononcer, de manière certaine, sur les méthodes et l’origine de l’attaque. Une enquête judiciaire a été ouverte. Elle se déroulera dans les semaines à venir.

Ensuite, les équipes de la chaîne pourront procéder à la reconstruction et au durcissement du système d’information.

Au-delà de sa mission d’assistance, l’ANSSI encourage administrateurs et utilisateurs à s’approprier tous les réflexes nécessaires à la prévention des cyberattaques, susceptibles, outre les médias, d’affecter tous types d’acteurs économiques. 
L’agence invite en particulier à se référer aux documents :

Bonnes pratiques de l'informatique (tout public)
Guide d’hygiène informatique (administrateurs et utilisateurs expérimentés)"