TV5 Monde: retour sur un piratage hors-norme

la cyberattaqueTV5Monde a repris sa diffusion intégrale jeudi en fin d’après-midi au lendemain d’une cyberattaque d’ampleur sans précédent dans l’histoire de la télévision mondiale. La chaîne francophone diffusée dans 200 pays, captée par plus de 250 millions de foyers, a été piratée par un groupe de pirates qui ont opéré au nom du groupe Etat islamique (EI). La France y voit un acte terroriste, très bien organisé et coordonné. Au siège de la chaîne, on est encore sous le choc.

Dans le hall d’entrée de TV5Monde pas un salarié, mais sur les murs quelques mots : « nous avons été victime d’une attaque informatique massive ». L’ensemble de la rédaction est réuni en assemblée générale pour discuter de cet évènement sans précédent. « C’est une attaque qu’on a jamais vue, une attaque inédite en 30 ans de télévision. A TV5Monde ça ne s’était jamais produit, a souligné Hélène Zemmour, directrice du numérique de la chaîne. J’ai vu les tweets arriver quelques minutes après, et ça s’est propagé ensuite sur le web et ensuite sur nos antennes. On a été informés dans la minute, nous avons été très réactifs, les antennes ont de suite été arrêtées et le site a été mis en maintenance très rapidement après les attaques. »

Lorsqu’il s’est aperçu de cette cyberattaque, Pascal Guimier, directeur de la rédaction, était chez lui. Il n’en revient toujours pas. « J’ai allumé mon poste sur le canal 34 de ma box et j’ai vu le truc qui peut être le plus moche quand on travaille à la TV, c’est-à-dire un écran noir, raconte-t-il. Il n’y a pas d’acte plus violent. Il n’y a pas de mort heureusement, il n’y a que des dégâts matériels, il n’y a pas d’autres choses à déplorer, mais il y a quand même une chaîne qui est réduite au silence de manière brutale et de manière agressive. » Cette attaque est prise très au sérieux par la direction de la chaîne. Les salariés ont eu pour consigner de ne pas parler à la presse.

Inquiétude des autorités

Les programmes de la chaîne ont repris normalement depuis 18h. Le directeur général de TV5Monde, Yves Bigot, se demande si les hackers responsables de l’attaque ne voulaient pas « prendre (ses) antennes en otage » pour diffuser leur message de propagande, au lieu de les afficher seulement sur le site de TV5.

Les autorités françaises sont inquiètes, elles estiment que ce genre d’attaque pourrait se reproduire. D’où cet appel aux dirigeants des grands médias audiovisuels à la plus grande vigilance sur les éventuelles failles de sécurité dans la chaîne de production et de diffusion. « Beaucoup d’éléments convergents » permettant de présumer qu’« un acte terroriste soit bien la cause de cette attaque », a déclaré le ministre de l’Intérieur, Bernard Cazeneuve, à l’issue d’une réunion avec les dirigeants des médias audiovisuels français. Le ministre se dit déterminé à faire rapidement aboutir l’enquête pour savoir qui sont les hackers qui se revendiquent du groupe Etat islamique.

« Des semaines de préparation »

La cyberattaque semble a priori sophistiquée et aurait « nécessité des semaines de préparation », selon certains experts en sécurité. Ce n’est pourtant pas la première fois que cette méthode de piratage est employée.

Puissante et d’envergure, l’attaque informatique subit par TV5 présente cependant un air de déjà vu. Rappelons que le quotidien Le Monde a été la victime du même genre d’attaque en janvier. On constate aussi des précédents dans d’autres pays, de nombreuses chaînes américaines se sont fait pirater avec une méthode équivalente, des télévisions coréennes également. L’objectif des attaquants reste identique, soit diffuser des messages de propagandes directement sur les antennes et les sites web, soit détruire complètement tout le système d’information, afin que la chaîne ne puisse plus émettre. Pour unique parade, le groupe TV5 a dû interrompre ses programmes, rendre ses sites Internet inaccessibles et couper l’accès à ses réseaux sociaux, afin de contrecarrer l’action des pirates.

Pour réussir leur coup, les hackers ont d’abord introduit dans les serveurs ou les ordinateurs de TV5 des logiciels malveillants, des chevaux de Troie sophistiqués, indétectables et dormants, en passant par les failles du système d’information, ou plus simplement à l’aide des mises à jour de programmes, des courriels corrompus, des pièces jointes contaminées… Ces programmes nuisibles et espions ont renseigné les pirates sur l’infrastructure du réseau, le type de machines utilisées, l’état des protections informatiques ou de recueillir des mots de passe. Cette cartographie soigneuse leur a permis de déclencher une attaque ciblée et précisément planifiée.

Remonter les pistes

Cette opération qui demande de la préparation, beaucoup de patience, et une solide coordination n’est finalement pas si compliquée à mettre en place, estiment les experts en sécurité. Elle est couramment employée par les cybercriminels pour dérober des données, des secrets industriels ou subtiliser des numéros de cartes bancaires.

Les pirates de TV5 ont affiché sur le site internet et les réseaux sociaux de TV5 des messages de propagande à la gloire du groupe Etat islamique (EI) et divulgués des cartes d’identité de proches de militaires français. Ces messages revendiqués par les activistes de CyberCaliphate, dévoilent-ils vraiment l’origine des attaquants ? Rien n’est moins sûr. Le site Breaking 3.0 a tenté de remonter les traces virtuelles laissées par les hackers, notamment grâce aux signatures des concepteurs des logiciels malveillants. Le site conclut qu’il s’agirait de pirates installés en Algérie. Peut-être… Malheureusement, ce genre d’information est largement insuffisante, un piratage est considéré comme accompli quand ses auteurs ont réussi à envoyer les enquêteurs sur de fausses pistes, brouiller ou effacer tous les indices. Seule une longue enquête permettrait de retrouver les auteurs, sans garantie de succès. Par ailleurs, le véritable commanditaire du piratage a très bien pu faire appel à des mercenaires informatiques, spécialisés dans ce type de cyber méfait. En définitive, il est beaucoup trop tôt pour déterminer l’origine et les identités des donneurs d’ordres de cette attaque réussie.

Les systèmes d’information de TV5 étaient-ils bien protégés ? Telle est aussi la question. Malheureusement, la sécurité informatique ne consiste pas à se protéger d’une attaque imminente ou en cours, quand elle survient, il est déjà trop tard. Mieux vaut prévenir que guérir et anticiper celle qui se produira éventuellement dans six mois. C’est toute une philosophie de la cybersécurité qu’il faut mettre en place sans oublier d’affecter des ressources techniques et humaines demandant des investissements conséquents. Une véritable culture de la « contremesure informatique » que les entreprises françaises audiovisuelles publiques comme privées ainsi que la plupart des industries n’ont toujours pas adoptée.

Source: RFI

Brochure MOIMA Annonces1 Brochure MOIMA Annonces1

Exprimez vous!

CommentLuv badge