TV5Monde : une cyberattaque de grande ampleur… médiatique !

Ethical Hacking & Incident Response

Publié le

L’attaque de de la chaîne télévisée TV5Monde, ayant notamment abouti à l’interruption des programmes dans la nuit du 8 au 9 avril 2015, aura occupé un large espace médiatique et fait couler beaucoup d’encre. Plus d’un mois après, plusieurs questions se posent toujours, auxquelles Chadi Hantouche, manager en cybersécurité au sein du cabinet Solucom, se propose de répondre.

Que sait-on de l’attaque contre TV5Monde ? Qui sont les attaquants ?

Le 8 avril au soir, les comptes de TV5Monde sur les réseaux sociaux diffusent des messages favorables à l’État Islamique. En parallèle, la chaîne arrête d’émettre et les téléspectateurs se retrouvent devant un écran noir. Dès le 9 avril au matin, de nombreux articles manquant de sérieux ont prétendu décrypter l’attaque en détail, et ont malheureusement été repris par de nombreux médias. Peu d’informations sont en fait disponibles publiquement à ce jour, et il faudra sans doute attendre les résultats de l’enquête pour en savoir davantage.

Cela étant, quelques éléments sont déjà connus avec un bon niveau de certitude. Tout d’abord, il s’agit d’une attaque préparée et coordonnée. De nombreuses sources évoquent un mail de phishing ayant piégé un ou plusieurs employés de la chaîne, permettant à des attaquant de prendre le contrôle de leur poste de travail, puis de rebondir à l’intérieur du système d’information. Les premiers comptes compromis ont peut-être été ceux des community managers de réseaux sociaux. Rappelons au passage que même un mot de passe très long et très complexe ne résisterait pas à cette méthode, puisque c’est l’utilisateur qui le « donne » à l’attaquant sans le savoir.

Une fois que les attaquants ont réussi à atteindre les serveurs assurant le multiplexage et permettant d’interrompre la diffusion. Ils ont lancé toutes les actions malfaisantes en parallèle : réseaux sociaux et diffusion. Ces éléments laissent à penser que l’attaque a nécessité une équipe de réalisation composée de plusieurs personnes et compétences. Attention toutefois à une attribution de l’attaque trop hâtive : elle pourrait effectivement avoir été menée par un groupe idéologique, mais elle pourrait également avoir été commanditée à un groupe de « cyber mercenaires » avec une unique motivation financière.

S’agit-il d’une attaque exceptionnelle ?

De ce que l’on sait aujourd’hui, l’attaque n’est pas extraordinaire par son mode opératoire. Les attaquants ont probablement suivi le schéma classique : une phase de reconnaissance, puis d’intrusion, et enfin de propagation jusqu’à atteindre les systèmes ciblés. Son objectif, une destruction à visée idéologique, n’est pas nouveau non plus en soi.

On ne peut pas parler de « cyberguerre » à ce stade, mais plutôt de « cyber-vandalisme », comme l’a fait Barack Obama pour le cas Sony Pictures fin 2014. Si l’attaque a été exceptionnelle, c’est surtout par sa couverture médiatique : tous les médias généralistes ou presque en ont parlé (chaînes télévisées, journaux papiers et web, magazines), en France comme à l’international.

À cela, il y a plusieurs explications. D’une part, l’aspect symbolique et très visible de l’attaque : TV5Monde est une chaîne francophone, diffusée partout dans le monde. Elle porte donc indirectement l’image de la France, et se retrouve au milieu d’une guerre médiatique. D’autre part, l’impact de l’attaque : la chaîne a arrêté d’émettre ses programmes, ce qui est son principal métier. Cela a créé une frayeur dans beaucoup de médias, qui redoutent d’être les prochaines victimes et ont donc tenté de comprendre l’attaque.

Les médias vont-ils devenir une cible privilégiée pour les pirates ? Y a-t-il un moyen pour eux de se prémunir contre ce type d’attaque ?

L’essence d’un média est sa visibilité, ce qui en fait une cible de choix pour qui veut diffuser un message de propagande idéologique. Il est donc aujourd’hui important pour les médias, comme pour beaucoup d’entreprises, de se préoccuper de leur sécurité informatique. C’est tout de même déjà bien souvent le cas, mais nous pouvons rappeler quelques priorités pour réduire la probabilité qu’une telle attaque réussisse.

Tout d’abord, il faut systématiquement faire auditer les infrastructures informatiques exposées sur Internet, et bien sûr corriger les éventuelles faiblesses découvertes. Il est également nécessaire de sensibiliser les collaborateurs aux bonnes pratiques « d’hygiène » en sécurité informatique, en portant une attention particulière aux utilisateurs disposant de données ou de droits particuliers (tels que les community managers de réseaux sociaux, les administrateurs informatiques, et les dirigeants).

Enfin, l’affaire TV5Monde a mis en exergue un point intéressant à garder à l’esprit : il est vital que la cybersécurité soit un domaine de collaboration entre entreprises, et non de compétition ! En particulier, le partage des IOC (indicateurs de compromission permettant de détecter les traces d’une attaque) entre entreprises du même secteur devient une priorité. C’est l’un des axes que l’ANSSI promeut auprès des différents acteurs et qui a été mis en oeuvre lors de cette attaque.

Après une chaîne de télévision, qu’est-ce qui empêche l’attaque d’infrastructures plus critiques de notre pays ?

Les spécialistes de la sécurité n’ont pas découvert l’existence d’attaques avec celle de TV5Monde, loin de là. Des entreprises aux activités sensibles sont attaquées tous les jours, parfois avec succès : ce risque est connu ! C’est bien pour cela que les sociétés concernées travaillent depuis des années sur leur sécurité informatique, et que le sujet est pris de plus en plus au sérieux par les directions générales.

Par ailleurs, l’état se donne aujourd’hui les moyens de sécuriser les infrastructures informatiques les plus sensibles : d’importants budgets sont mis en œuvre pour protéger les services étatiques et accompagner celle des entreprises (Opérateurs d’Importance Vitale en particulier), voire leur imposer dans certains cas.

Une attaque n’est bien sûr pas exclue, et il faudrait idéalement pouvoir en faire davantage sur le sujet de la cybersécurité. Mais la situation va dans la bonne direction et il est important de rester rationnels suite à l’attaque contre TV5Monde, tout en continuant les efforts de sécurisation.