Des pirates se revendiquant d’ISIS s’attaquent à TV5 Monde

Un important effort de synchronisation

De fait, comme TV5 Monde l’a indiqué sur son site Web mobile dans la nuit, « depuis 22h, nous ne sommes plus en état d’émettre aucune de nos chaînes. […] Nos sites et nos réseaux sociaux ont été un temps hors de contrôle et ont affiché des revendications de l’Etat Islamique. Sur Facebook, la photo a été changée par une image noire où il était inscrit “Je suIS IS” et CyberCaliphate. Les hackers ont posté des vidéos de propagande ».

Mais ils ont également, via des liens dans un message sur Pastebin, posté des détails personnels présentés comme ceux de « proches de militaires français impliqués dans des opérations contre l’Etat islamique ».

Manifestement impressionnée, Hélène Zemmour, directrice du numérique chez TV5 Monde, a fait état d’une attaque « inédite et de grande envergure », soulignant, à nos confrères de FranceTVInfo, sa nature « très synchronisée » : « peu après le début de l’attaque, notre système informatique interne est tombé, et nos programmes ont suivi. Nous n’avions plus accès à notre messagerie, ce qui a compliqué la tâche pour entrer en contact avec les équipes de Twitter et de Facebook afin d’y récupérer le contrôle de nos comptes ».

L'attaque qu'a subie @TV5MONDE est inédite et de grande envergure. L'enquête en dira plus très bientôt et nos antennes seront rétablies.

— Hélène Zemmour (@hzemmour) April 8, 2015

Surprenante surprise

Pour beaucoup, le plus surprenant, ici, sera peut-être la surprise, tant des victimes que des commentateurs, et en particulier des politiques.

Ainsi, sur LCI, Eric Woerth, député-maire de Chantilly, explique que l’on «  découvre que l’on peut bloquer la diffusion d‘une chaîne de télévision. » 

Pourtant, au printemps 2013, les systèmes informatiques de grandes banques et de grandes chaînes de télévision sud-coréennes sont tombés, dans le cadre d’une vaste attaque informatique. Mais Guillaume Lovet, chercheur en sécurité chez Fortinet, rappelle que dans le cadre de cette opération, dite DarkSeoul, la diffusion des programmes télévisés n'avait pas été interrompue.

Reste que l’ancien ministre relève une question clé : « je ne sais pas si le degré de sécurité était suffisant […] Et je ne sais pas quel est le degré de sécurité des autres médias ».

C’est dès lors, sans surprise, que Fleur Pellerin, ministre de la Culture et de la Communication, prévoit de réunir les dirigeants des « grands médias audiovisuels et même peut-être de presse écrite » dans l’après-midi pour faire le point sur la sécurité de leurs systèmes d’information. Bernard Cazeneuve, ministre de l’Intérieur, sera également présent, aux côtés de représentants de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et du Secrétariat général de la défense et de la sécurité nationale (SGDSN).

Une opération préparée ?

Mais Guillaume Lovet s'interroge : les attaquants ont-ils bloqué la diffusion des programmes ou est-ce la chaîne qui a décidé de l'interrompre, de crainte que ses systèmes de production n'aient été compromis ? Pour le chercheur, la seconde hypothèse apparaît aujourd'hui, et faute d'informations supplémentaires, comme la plus probable.

D'ailleurs, si les pirates avaient pu prendre le contrôle des systèmes de diffusion, pourquoi n'avoir pas détourné l'antenne ? Pourquoi lancer une opération hors des heures de grande écoute et ainsi gâcher, au moins en partie, l'importante préparation qu'elle aurait sûrement demandé ?

La chaîne de télévision indique avoir "dû interrompre" ses programmes. Elle évoque également des "dégradations" sur son système de production et de diffusion. Dès lors, si les systèmes de production de la chaîne ont effectivement été compromis, la "synchronisation" - évoquée par Hélène Zemmour - de l’opération suggère un niveau de préparation important, une attaque planifiée et menée avec prudence et patience. Dans le cas contraire, elle suggère un niveau de préparation aux incidents de sécurité relativement peu élevé au sein de TV5 Monde.

De fait, le détournement de comptes Twitter ou Facebook ne nécessite pas un niveau de compétence extrêmement elevé, et le groupe CyberCaliphate n’en est pas là à sa première expérience : il serait à l’origine du détournement des comptes Twitter de Newsweek, en février dernier, et du commandement de l’armée américaine au Moyen-Orient en janvier.

Le compte Twitter du Monde a également été piraté, en janvier. L’occasion pour le quotidien de se prêter alors à un intéressant exercice de transparence, et de pédagogie, en détaillant comment le détournement a eu lieu… commençant pas « deux vagues successives de courriels piégés. Ils ont été envoyés depuis l’extérieur et étaient camouflés pour faire croire au destinataire qu’ils émanaient de journalistes et de rédacteurs en chef ». Une opération de hameçonnage classique, recourant à une toute aussi classique ingénierie sociale.

Qui en annonce d’autres ?

Cette attaque sur TV5 Monde rappelle une opération plus vaste, #OpFrance, en janvier dernier, qui avait pris place à la suite de l’attentat ayant décimé la rédaction de Charlie Hebdo.

L’Anssi avait alors alerté sur un « accroissement significatif du nombre d’attaques informatiques visant des sites Internet français ».

A cette occasion, quelques dizaines de milliers de sites français avaient été rendus inaccessibles, ou défigurés, sinon piratés. Dans certains cas, des coordonnées personnelles et des identifiants avaient même été divulgués.

L’histoire, et l’enquête, diront si l’attaque sur les systèmes de TV5 Monde n’a pas commencé là, dans la discrétion du bruit de fond généré par une opération de plus grande ampleur.

L’attaque de TV5 Monde rappelle en effet #OpFrance par sa nature : une forme de vandalisme, encore, s’inscrivant dans le cadre d’une guerre de communication – même si Fleur Pellerin préfère, dans un tweet plein de mesure, parler de terrorisme. Et en termes de publicité, les attaquants ont encore une fois atteint leurs objectifs.

Reste que cela ne doit pas inviter au laxisme ni à la légèreté. Thierry Berthier, chercheur au sein de la chaire de cybersécurité et cyberdéfense de Saint-Cyr-Thales, appelait à la prudence, lors d’une table ronde organisée au FIC.

S’il est facile de regarder de haut des auteurs d’actions peu techniques, comme de simples défacements, « ce n’est qu’un début », et ces acteurs montent ensuite en compétence pour s’ouvrir à d’autres pans de la cybercriminalité.