TV5 Monde : des pirates russes à l’origine de l’attaque ?
L’enquête de l’Anssi s’orienterait sur la piste de pirates russes. Ce qui reste loin d’aider à l’attribution formelle de l’opération.
C’était le 8 avril dernier : une attaque informatique conduisait à l’arrêt de la diffusion des programmes de TV5 Monde. La chaîne l’indiquait sur son site Web mobile dans la nuit, « depuis 22h, nous ne sommes plus en état d’émettre aucune de nos chaînes. […] Nos sites et nos réseaux sociaux ont été un temps hors de contrôle et ont affiché des revendications de l’Etat Islamique. Sur Facebook, la photo a été changée par une image noire où il était inscrit “Je suIS IS” et CyberCaliphate. Les hackers ont posté des vidéos de propagande ». Mais ils ont également, via des liens dans un message sur Pastebin, posté des détails personnels présentés comme ceux de « proches de militaires français impliqués dans des opérations contre l’Etat islamique ».
La culture interne de la sécurité de TV5 Monde a immédiatement été questionnée, mais également la sophistication réelle de l’attaque, et donc son niveau de préparation. A savoir : l’attaque s’est-elle véritablement étendue jusqu’aux systèmes de diffusion ?
Une question d’autant plus prégnante que l’attaque se serait appuyée sur un ver écrit en script Visual Basic. Des allégations portées principales par le site Web Breaking 3.0 qui affirmait alors avoir mis la main sur des échantillons de code. Des échantillons sur lesquels se sont notamment appuyés Blue Coat et Trend Micro pour produire des analyses venant, au final, ajouter du crédit aux allégations, en boucle. Et justement, ces échantillons semblaient alimenter la thèse selon laquelle CyberCaliphate aurait été à l’origine de l’opération, du fait de certaines références en commentaires dans le code.
Mais qu’en est-il réellement ? Selon L’Express, l’enquête menée par l’Agence nationale pour la sécurité des systèmes d’information (Anssi), pointe bien vers une atteinte des systèmes de diffusion. Des équipements Cisco auraient au passage été affectés. Pour l’Anssi, « il s’agit clairement d’un sabotage », assurent nos confrères après lecture de la note d’information rédigée par l’agence.
Pour Trend Micro, l’opération pourrait être liée à une autre, baptisée Pawn Storm. Fin octobre dernier, le groupe alertait sur celle-ci, faisant état d’une opération d’espionnage « qui vise des officiels militaires ainsi que des fournisseurs de la Défense ». Mi-avril, il assurait que cette opération montait en puissance, visant les membres de l’Otan et même la Maison Blanche.
Peu après les révélations de Trend Micro, FireEye faisait le lien avec le groupe de pirates APT28. Dans un rapport, ce spécialiste des attaques avancées persistantes expliquait alors que « les indicateurs de logiciels malveillants d’APT28 suggèrent que le groupe est constitué de personnes parlant russe et opérant durant les heures ouvrées des grandes villes de Russie ». Et d’ajouter que « trois thèmes dans le choix des cibles d’APT28 reflètent clairement un intérêt spécifique pour un gouvernement d’Europe de l’Est, et plus probablement le gouvernement russe ».
APT28 est connu pour opérer notamment à partir de hameçonnage ciblé, ce dont TV5 Monde semble avoir victime fin janvier, juste après la vague d’attaques #OpFrance.
Dans les colonnes de nos confrères, Yves Bigot, directeur de la chaîne, évoque alors la revendication initiale comme un leurre, « comme nous l’ont suggéré les experts de l’Anssi ». De là à attribuer l’opération à la Russie, il n’y a qu’un pas. Que beaucoup hésiteront à franchir trop vite.
Graham Cluley souligne la difficulté de l’attribution des attaques informatiques : « nous n’aurons probablement jamais assez de données suffisamment convaincantes pour confirmer que le cerveau de l’attaque venait de Russie, et encore moins qu’il était soutenu par le Kremlin ».
En mars 2014, Art Coviello soulignait encore à quel point attribuer les attaques numériques est difficile, plaidant au passage pour un renoncement aux cyberarmes. Et c’était loin d’une première : en France aussi cette difficulté a été soulignée par les experts à de nombreuses reprises. La récente attaque sur les systèmes de Sony Pictures Entertainment l’a encore montré.
Sur Twitter, nombreux d’entre eux ironisent d’ailleurs sur l’évocation de la Russie derrière l’attaque de TV5 Monde, à commencer par Matthieu Garin, de Solucom, ou encore Olivier Laurelli, aussi connu sous le pseudonyme de Bluetouff, entre de nombreux autres. D’autant plus que rien ne permet d’affirmer que des pirates d’un quelconque pays n’ont pas vendu leurs services à des tiers à l’origine de la revendication.
En attendant, la chaîne de télévision prévoit un budget de 5 M€ en 2015 pour remettre en état son infrastructure, et 2,5 M€ par an ensuite pour en assurer la sécurité opérationnelle.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace
-
Surveiller la sûreté de l’infrastructure Active Directory sur son cycle de vie
-
TV5 Monde : une attaque résolument destructrice, savamment préparée
-
Le mouvement En Marche ! visé par Fancy Bear ? L’Anssi conforte les doutes