vendredi 5 juin 2020    || Inscription
BanniereNews
 
 

36 heures après les premières révélations concernant le piratage massif dont a été victime la chaîne de télévision TV5 Monde, les réponses techniques commencent à être apportées. On oscille entre le professionnalisme réel ou supposé des attaquants et peut-être l’incroyable amateurisme de la chaîne.

Rappelons les faits. Mercredi vers 22h00, des pirates se revendiquant de l'organisation de l'Etat Islamique (EI) prennent le contrôle des comptes Facebook et Twitter et du site de TV5, en y affichant des messages de propagande djihadiste, puis bloquent tout son système informatique, réduisant la chaîne à un écran noir. Cette attaque est « sans précédent dans l'histoire de la télévision », a déclaré le directeur général de la chaîne Yves Bigot. Le but des pirates était peut-être de « prendre (les) antennes en otages » et de « diffuser leur message aussi sur les antennes et pas seulement sur les réseaux sociaux et nos sites », s'est-il interrogé.

Un emballement médiatique rarement vu

Rapidement, les experts en sécurité de tout poil y vont de leurs commentaires. Certains expliquent doctement qu’il s’agit d’une attaque coordonnée. On reste confondus devant tant de perspicacité. Pour faire tomber des sites Internet puis le réseau informatique de la chaîne et finalement la chaîne elle-même, il est préférable d’être coordonné : M. de la Palisse n’aurait pas fait mieux. Le lendemain, trois ministres se rendent dans les locaux de la chaîne, la ministre de la Culture Fleur Pellerin organise une réunion avec une vingtaine de responsables de médias et propose l’aide de l’Etat pour qu’ils sécurisent – si nécessaire – leurs propres systèmes. Bref, l’emballement médiatique est total. 

Les déclarations martiales se sont également succédé : atteinte inacceptable à la liberté d’expression et d’information. La culture qui est visée. On se demande si cet emballement n’a pas plus contribué à la renommée de l’attaque que l’attaque elle-même. N’oublions pas non plus que le gouvernement souhaite faire passer un projet de loi qui instaure une surveillance généralisée des réseaux. Montrer sa bobine pour expliquer comme les djihadistes sont méchants et dangereux ne peut qu’aider à faire passer la pilule ; du moins auprès de ceux qui ne comprennent pas les subtilités de ces choses.

La communication a plus d'impact que l'attaque

« En s'attaquant à TV5 Monde, le ou les auteurs de cette attaque savai(en)t que leur geste aurait un impact considérable», estime TV5. Certes, la chaîne est captée par 250 millions de foyers dans le monde et très regardée en Afrique. Elle incarne la culture et l'information en langue française à l'international. Mais qu’il nous soit permis de douter de « l’impact considérable » pour un « défacement » entre 22 heures et 4 heures du matin. En revanche annoncer la chose à grands coups de tambours et trompettes a un impact considérable. La presse généraliste a d’ailleurs repris les cris d’orfraie gouvernementaux avec une belle unanimité. 

Nos confrères découvrent – enfin – la réalité de la cyberguerre, laquelle existe depuis des années. Il n’était que temps. « Cet acte terroriste d’un nouveau genre » écrit Bernard Stéphan de La Montagne. Dans le déluge de commentaires laudatifs, apprécions la mesure et la sagesse de Dominique Garraud de La Charente Libre. : « Le cyberterrorisme n'en est sans doute qu'à ses balbutiements. L'attentat numérique contre TV5 Monde doit être considéré comme un avertissement sans trop de frais de la capacité de nuisance des groupes terroristes ». Même si selon nous, le cyberterrorisme n’est pas une nouveauté en témoigne par exemple l’attaque dont a été victime l’Estonie dès 2007.

Une porte blindée avec la clé accrochée

Au-delà de ces arguties vient ce qui selon nous est la vraie question : le professionnalisme et le niveau de compétence réels ou supposés des attaquants. M. Bigot, le directeur de la chaîne explique : « Nous disposons du fameux pare-feu dont tout le monde nous certifiait qu'il était à la hauteur ». Peu importe, sommes-nous tentés de répliquer. Que votre pare-feu ou n’importe quel autre élément de votre réseau ressemble à la huitième merveille du monde ou pas n’a strictement aucune importance si vous disposez des mots de passe pour rentrer.

Et c’est là que nous commençons – semble t-il – à rentrer dans le grand n'importe quoi. Par l’odeur alléchés, les confrères se sont rendus hier dans les locaux de la chaîne. Et que voit-on en plein journal de 13h sur France 2 ? Tout simplement, certains mots de passe affichés directement sur le mur. Notamment celui du compte YouTube de la chaîne, lequel fonctionnait parfaitement hier selon nos confrères d’Arrêt sur images qui ont pu se balader en toute impunité sur le compte et auraient donc pu poster n’importe quelle vidéo. On n’imagine pas que les mots de passe ont été mis sur les murs hier midi. En conséquence, ces mots de passe traînent depuis des lustres au vu de tous et notamment des personnages qui se rendent dans la chaîne pour y être interviewés. Une personne a donc pu se procurer l’un ou les mots de passe de certains systèmes et donc y pénétrer. Si cela s’appelle une attaque sophistiquée, c’est à désespérer du sens des mots.

Hackers de haut vol ou script kiddies ?

Par ailleurs, selon la chaîne russe NTV, le mot de passe le plus puissant de TV5 pour les sites web et les données, serait azerty12345. Un tel mot de passe est crackable en quelques secondes en attaque en force brute par n’importe quel « Script kiddie ». Si l’information est avérée, on est encore plus loin du « professionnalisme » si largement évoqué. La chaîne russe indique également que si cela a pris pas mal de temps pour restaurer les systèmes, c’est parce que les attaquants avaient changé la plupart des mots de passe Administrateur des systèmes. Notre confrère Damien Bancal de zataz.com indique avoir remonté pas moins de 9 failles majeures à TV5 durant ces deux dernières années. Auprès de BFMTV, Damien Bancal indique qu’il s’agit selon toute vraisemblance d’une attaque par ingénierie sociale. Nous ne pouvons qu’être d’accord avec son analyse.

Le groupe CyberCaliphate qui a revendiqué l’attaque a affirmé avoir posté des documents appartenant à des militaires français engagés dans des missions au Proche-orient. Il n’en est rien. Il s’agit de divers documents administratifs provenant de mairies ou autres centres administratifs. « Bref, très certainement des « visites » dans des machines piégées de ces entités territoriales. Ce qui est tout aussi inquiétant que le piratage de TV5 Monde » écrit Damien Bancal. Ces documents ont sans doute été dérobés lors des attaques du mois de janvier attribués également aux djihadistes dans la foulée des attentats contre Charlie Hebdo et Hypercasher.

Une faille Java

Selon le site breakingzero , le site aurait été visé via une faille Java. Le site détaille par le menu l’attaque. Outre la faille Java, le site précise que l’origine de l’attaque est algérienne et que le hacker JoHn.dz a travaillé en collaboration avec un hacker qui combat avec Daesh et répondant au sobriquet de Khattab. Pour preuve de ses dires, BreakingZero affirme que le dénommé Khattab tweetait déjà tous les détails de l’opération alors qu’elle débutait à peine. Finalement, le site affirme que le but ultime était de prendre le contrôle de la chaîne pour y diffuser ses propres vidéos de propagande mais que ceux-ci en ont été empêchés par les services techniques de TV5. 

Finalement, il semble s’avérer que l’attaque a effectivement été très soigneusement préparée mais qu’elle ne requiert pas nécessairement un très grand savoir-faire technique dans la mesure où les pirates étaient vraisemblablement présents depuis des mois pour étudier l’architecture du système, une information confirmée par le directeur informatique Jean-Pierre Vérinès. 

Notons d’ailleurs qu’il y avait eu un signe. Il y a quinze jours, l’Anssi avait prévenu la chaîne d’une utilisation frauduleuse d’un de ses serveurs, non protégé. « L’agence a récupéré le serveur. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point », souligne le directeur informatique.

Finalement, l’attaque est d’un grand classicisme. « C’est la même recette depuis un moment, et elle marche toujours aussi bien, constate Thierry Karsenti, directeur technique chez CheckPoint cité par Les Echos. L’attaque est spectaculaire et bien coordonnée, mais pas si sophistiquée que ça. Il s’est passé la même chose au “Monde” en janvier, mais il n’y avait pas eu un tel vandalisme.» 




Autres News Cyber Crime

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI