Piratage de TV5 Monde : l’enquête s’oriente vers la piste russe

 L’enquête sur le piratage de TV5 Monde s’oriente vers la piste russe. L’enquête sur le piratage de TV5 Monde s’oriente vers la piste russe. Christophe Ena / AP

L’enquête sur le piratage de TV5 Monde s’oriente vers la piste russe. Christophe Ena / AP

La revendication publiée sur le site de TV5 Monde après son piratage début avril avait d’abord laissé penser que l’attaque trouvait sa source dans l’EI.

Après le piratage de TV5 Monde, survenu le 8 avril, les yeux des enquêteurs se tournent vers la Russie. C’est en tout cas en ce sens que convergent des indices récoltés par les enquêteurs de l’Agence nationale de la sécurité des systèmes d’information (Anssi), chargés des investigations techniques sur cette attaque d’envergure.

Des traces du passage des pirates ont été fournies, à la fin du mois d’avril, par l’Anssi à plusieurs grands médias. Elles correspondent, au moins en partie, à des attaquants qui ont déjà sévi dans le passé, selon les informations de L’Express, que Le Monde est en mesure de confirmer.

Si l’on en croit ces éléments, l’attaque ne proviendrait pas de l’Etat islamique, contrairement à ce que la revendication, publiée sur le site et sur les réseaux sociaux de TV5 Monde, laissait penser. Le mode opératoire et certaines traces spécifiques laissées par les pirates pointent vers un groupe de pirates russes bien connu des experts en sécurité informatique. Une source judiciaire a confirmé au Monde que l’enquête préliminaire s’orientait bien, à ce stade, vers des hackers russes, mais qu’il ne s’agissait encore que d’une piste de travail.

Le groupe désormais soupçonné de s’être introduit dans les infrastructures informatiques de TV5 Monde a plusieurs noms – en fonction de l’entreprise qui l’a analysé. L’entreprise américaine FireEye l’a appelé « APT28 », les Canadiens de la société qui développe des antivirus ESET lui ont donné le nom de « Sednit » et Trend Micro l’a baptisé « Pawn Storm » (« tempête de pions », par analogie avec une stratégie du jeu d’échecs).

Les experts de ces trois entreprises estiment tous, à des degrés divers, que ces groupes sont liés à la Russie. Trend Micro affirme avoir retrouvé la signature de « Pawn Storm » dans plusieurs attaques visant des cibles militaires aux Etats-Unis, mais aussi des opposants à Vladimir Poutine, des objectifs en Pologne et en Ukraine et des journalistes aux Etats-Unis…

Dans son rapport sur « APT28 », FireEye décrit « une équipe douée de développeurs collectant des informations sur les questions de défense et de géopolitique, engagés dans des opérations d’espionnage contre des cibles politiques et militaires ».

Joan Calvet, chercheur pour ESET, note une « accumulation » d’indices – des réglages de langue, des traces de russe dans le code ou d’horaires de création de certains logiciels –, qui le conduisent à estimer avec « un grand niveau de confiance que les développeurs de ce groupe ont le russe comme langue principale » et sont basés en Europe de l’Est.

Les chercheurs de FireEye sont les plus assurés quant à l’origine de ce groupe. Selon eux, ce dernier « reçoit un financement direct d’une organisation bien installée, très probablement un gouvernement ».

Mais il faut rester prudent, tant l’attribution précise d’une cyberattaque est délicate. On trouve en tout cas parmi les principales victimes du groupe les ministres de l’intérieur et de la défense de Géorgie et plusieurs organisations gouvernementales d’Europe de l’Est.

Mode opératoire

Les enquêteurs français de l’Anssi ont acquis davantage de connaissances quant au mode opératoire des pirates. Ils savent désormais que les pirates se sont approchés de TV5 Monde en s’abritant derrière un virtual private network (VPN — « réseau privé virtuel ») grand public. Les VPN sont, entre autre, un moyen de camoufler les connexions de manière à être moins traçable.

Ils sont arrivés dans le réseau de TV5 Monde dès la fin du mois de janvier, sur l’ordinateur d’un poste de production servant à contrôler les caméras sur le plateau, auquel ils ont réussi à accéder grâce à un mot de passe peu sécurisé d’un prestataire du groupe de télévision.

Ensuite, pendant plusieurs semaines et jusqu’à la date de l’attaque, les pirates ont exploré le réseau de TV5 Monde et mis en œuvre une technique rodée, appelée « élévation de privilèges » : ils ont gravi peu à peu les échelons à l’intérieur du réseau jusqu’à s’octroyer de très larges pouvoirs sur le réseau. Les enquêteurs pointent le rôle des prestataires, des entreprises externes à TV5 Monde qui avaient la main sur des portions critiques du système informatique du groupe de télévision.

Enfin, les pirates s’en sont pris ensuite à trois cibles : les réseaux sociaux, le site Internet et, surtout, les outils de production, nécessaires à la diffusion des images. Comme nous l’écrivions précédemment, les enquêteurs ont noté la grande sophistication des pirates, qui sont parvenus à endommager des matériels Cisco en détruisant des composants logiciels indispensables à leur bonne marche. Des multiplexeurs, des encodeurs et des « switchs » ont été pris pour cible, ainsi qu’un serveur de messagerie.

Par Damien Leloup et Martin Untersinger

Le Monde de l’Economie 09.06.2015

 

 

Le piratage de TV5 Monde revendiqué par un groupe djihadiste

 La page Facebook de TV5 Monde, le compte Twitter de TV5 Afrique et les antennes du groupe ont été attaquées par des pirates se réclamant du Cyber Caliphate. La page Facebook de TV5 Monde, le compte Twitter de TV5 Afrique et les antennes du groupe ont été attaquées par des pirates se réclamant du Cyber Caliphate. Capture d'écran

La page Facebook de TV5 Monde, le compte Twitter de TV5 Afrique et les antennes du groupe ont été attaquées par des pirates se réclamant du Cyber Caliphate. Capture d’écran

La revendication publiée sur le site de TV5 Monde après son piratage début avril avait d’abord laissé penser que l’attaque trouvait sa source dans l’EI.

Des documents présentés comme des pièces d’identité et des CV de proches de militaires français impliqués dans les opérations contre l’Etat islamique ont été publiés sur le compte Facebook de TV5 Monde.

Les chaînes, le site Web et plusieurs pages Twitter et Facebook du groupe télévisé français TV5 Monde ont été victimes mercredi 8 avril vers 22 heures d’une attaque informatique revendiquée par le groupe islamiste CyberCaliphate.

 

L’attaque qu’a subie @TV5MONDE est inédite et de grande envergure. L’enquête en dira plus très bientôt et nos antennes seront rétablies.

— Hélène Zemmour (@hzemmour)

La chaîne a dû interrompre ses programmes et rendre son site Internet inaccessible pour barrer la route aux pirates. Elle a repris le contrôle de ses pages sur les réseaux sociaux pendant la nuit, mais son site Internet est resté inaccessible jusqu’à jeudi en début d’après-midi.

Des programmes pré-enregistrés, mais pas de journaux

Quant aux émissions télévisées, « nous sommes en train d’essayer de restaurer nos onze chaînes avec leurs propres programmes » précise au Monde le directeur de la chaîne, Yves Bigot, jeudi en tout début de matinée :

« Depuis l’attaque, nous n’avons réussi qu’à diffuser un seul programme unique sur toutes les chaînes. Nous ne sommes toujours pas en mesure de produire nos propres journaux télévisés, nous ne diffusons que des programmes de stock enregistrés. Nous espérons surmonter cela en fin de matinée ou en début d’après-midi. »

« Nous sommes sous le choc, l’ambiance est morose. Il n’y aura aucun journal télévisé jusqu’à nouvel ordre. Peut-être celui de 18 heures, mais ça n’est même pas sûr » précise une source au sein de la rédaction. Tous les salariés de TV5 Monde ont l’interdiction de s’exprimer sur l’attaque subie par leur chaîne.

« Nos systèmes ont été extrêmement détériorés » par cette attaque « d’une puissance inouïe » et le retour à la normale « va prendre des heures, voire des jours », explique encore M. Bigot.

« On commence à analyser avec des experts qui sont venus sur place. La cyberattaque est d’une puissance majeure : nos systèmes de production sont puissants et sophistiqués et avaient été revus récemment. »

Le directeur de TV5 a assuré qu’une plainte serait déposée, « ne serait-ce que pour marquer cette attaque et puis pour éventuellement plus tard travailler avec des assurances ».

Un « véritable acte terroriste »

Pour Manuel Valls, ce piratage est une « atteinte inacceptable à la liberté d’information et d’expression ». Le premier ministre a affiché dans le même message son « soutien total à la rédaction ». La ministre de la culture Fleur Pellerin a qualifié cette attaque de « véritable acte terroriste » :

J’exprime tout mon soutien et ma solidarité aux équipes de la chaîne @TV5MONDE, victimes d’un véritable acte terroriste @YvesBigot

— Fleur Pellerin (@fleurpellerin)

Les services d’enquête français notamment l’Anssi, l’autorité en charge de la sécurité informatique des institutions sensibles se sont rendus sur place, mais ne peuvent pas encore se prononcer sur l’authenticité des documents d’identité diffusés et de l’identité des attaquants. En fin de matinée, le ministre de l’intérieur a indiqué qu’une enquête était ouverte, et que le gouvernement était « déterminé » à combattre « des terroristes déterminés ».

Selon une source judiciaire, l’enquête, dirigée par le parquet de Paris, vise des faits présumés d’association de malfaiteurs en relation avec une entreprise terroriste, ainsi que d’accès, maintien frauduleux et entrave au fonctionnement d’un système de traitement automatique de données.

Menaces contre les militaires français

Durant la durée de l’attaque, de nombreux internautes ont constaté des anomalies sur les sites du groupe : apparition de l’en-tête noire et blanche du groupe Etat islamique, mais aussi publication de vidéos de propagande ainsi que de menaces envers des militaires français. Des documents présentés comme des pièces d’identité et des CV de proches de soldats français impliqués dans les opérations contre l’Etat islamique ont été postés sur le compte Facebook de TV5 Monde.

Un message accuse également le président français François Hollande d’avoir commis « une faute impardonnable » en menant « une guerre qui ne sert à rien ». « C’est pour ça que les Français ont reçu les cadeaux de janvier à Charlie Hebdo et à l’Hyper Cacher », ajoutent les pirates, en référence aux attentats sanglants contre l’hebdomadaire satirique et le magasin, qui avaient fait 17 morts entre le 7 et le 9 janvier à Paris.

Le groupe CyberCaliphate est apparu début janvier. Il s’est notamment signalé par le détournement du compte Twitter du CentCom, le centre de commandement américain au Moyen-Orient et en Asie Centrale, puis en prenant le contrôle durant plusieurs minutes de celui de l’hebdomadaire américain Newsweek, en février. Deux attaques bien moins sophistiquées que celle qui a touché TV5 Monde.

Chaîne internationale de télévision francophone basée à Paris, TV5 Monde est reçue dans plus de 200 pays et territoires dans le monde.

Source : Le Monde avec AFP  9/04/2015

Voir aussi : Actualité Internationale, rubrique Politique, Affaire, Politique Internationale, rubrique International, rubrique Médias,   rubrique Société, Citoyenneté, Opinion, rubrique Internet, On Line, TV5 Monde, un piratage d’ampleur et de nombreuses zones d’ombre, TV5 Monde : les pirates ont infiltré la chaîne plusieurs semaines avant l’attaque ,