TV5 Monde : une attaque résolument destructrice, savamment préparée
A l’occasion du Sstic, l’Anssi est revenue, la semaine dernière, dans le détail, sur l’attaque qui a visé la chaîne de télévision il y a deux ans, ainsi que sur la manière dont a été gérée la remédiation.
C’était le 8 avril 2015, au soir, que TV5 Monde faisait état d’une attaque informatique « de grande envergure », affectant sa capacité à diffuser ses programmes. L’agence nationale pour la sécurité des systèmes d’information (Anssi), se retrouvait le lendemain matin dans ses locaux, aux côtés d’équipes du ministère de l’Intérieur, de la DSI de la chaîne ou encore de sous-traitants. L’enquête aura permis de reconstituer la chronologie de l’attaque et d’y remédier. Mais elle a aussi vocation à sensibiliser et à éclairer sur certains modes opératoires, dans tout le secteur audiovisuel comme au-delà. Et l’Anssi a ainsi pu, avec le plein accord de TV5 Monde, malgré toutes les critiques que la chaîne a pu essuyer à l’occasion de cette attaque, partager son retour d’expérience, la semaine dernière, à l’occasion du Symposium sur la sécurité des technologies de l'information et des communications (Sstic) qui se déroulait à Rennes.
Pour son travail, l’agence a collecté plus de 13 To de données : des copies de dispositifs de stockage de masse, de mémoire vive de systèmes, de logs Windows (annuaire, serveurs et postes clients), de pare-feu (Cisco), etc. Des logs que l’Anssi qualifie de « très bonne qualité », soulignant au passage l’ouverture dont les équipes de TV5 Monde ont su faire preuve pour aider à la collecte initiale.
Une attaque menée par le biais d’un prestataire
L’analyse des données collectées a permis de reconstruire la chronologie d’une attaque ressemblant finalement à beaucoup d’autres attaques avancées persistantes (APT). Les premiers accès ont eu lieu fin janvier 2015 : un serveur spécifique exposait sur Internet son service d’ouverture de session à distance (RDP) ; il était configuré avec le nom d’utilisateur et le mot de passe par défaut pour ce produit. L’attaquant s’en est servi pour installer un outil de prise de contrôle à distance qui allait lui permettre de commencer son travail d’exploration de l’infrastructure de la chaîne. En vain : ce serveur n’était pas relié au reste de l’infrastructure via des connexions réseau standard.
Mais quelques jours plus tard, l’attaquant est revenu à la charge, en passant un compte d’administration à distance d’un prestataire externe – l’Anssi ne dit pas comment celui-ci a été obtenu ; à l’époque, une opération de hameçonnage avait été évoquée –, pour se connecter au VPN de TV5 Monde via un service en ligne d’anonymisation, IPVanish. De là, il trouve deux serveurs utilisés pour le contrôle des caméras sur le plateau de la chaîne. Là encore, des comptes par défaut « qui n’ont pas été changés par l’intégrateur ». Cette fois, l’attaquant « a un pied dans le réseau de TV5 ; il est vraiment à l’intérieur ».
De là, l’attaquant vise le contrôleur de domaine, auquel il se connecte avec un compte de prestataire administrateur. Le 7 février, l’accès au contrôleur est sécurisé par un nouveau compte administrateur, mis en place par l’attaquant, et baptisé LocalAdministrator.
Une infrastructure sans bastion ?
A partir de la mi-février, l’attaquant cherche à en apprendre plus sur sa cible, s’intéressant notamment au Wiki de la DSI de TV5 Monde, ou encore à sa messagerie pour chercher de nouveaux identifiants de comptes utilisateurs sensibles. Et là, « très vite, il va trouver tout un ensemble de documents qui contiennent non seulement les adresses IP des équipements réseau, mais également des schémas d’architecture et des comptes utilisés pour y accéder ». L’attaquant vérifiera ensuite la validité des informations qu’il aura réussi à collecter.
Mi-mars, l’attaquant dépose un outil d’accès à distance sur un poste d’administration, dit Ankou, une DLL spécifique qui communique avec une adresse IP routable sur Internet, sur le port 443. Là, « il a tout à sa disposition ».
Le 8 avril, l’attaque commence par une nouvelle vérification à 15h40, ainsi que le dépôt, sur Ankou, de ce que l’Anssi interprète comme un leurre, un nouvel outil de contrôle à distance, qui ne sera pas utilisé. Près de deux heures plus tard, c’est l’outil spécifique déposé trois semaines plus tôt sur Ankou qui est mis à profit.
Ralentir la reprise d’activité
A 20h, explique l’Anssi, l’attaquant s’en prend à la configuration IP des systèmes de diffusion. Mais « cela n’a pas d’effet visible immédiatement car tant qu’ils ne sont pas redémarrés, la nouvelle configuration IP n’est pas validée ». Lors de l’incident, l’absence d’impact significatif à une heure de grande audience avait soulevé plusieurs questions. Celles-ci trouvent peut-être simplement leur réponse dans ce point de détail technique.
A 21h, la présence en ligne de TV5 Monde est attaquée. Près d’une heure plus tard, les opérations destructrices sont lancées : des commandes sont envoyées visant à détruire les composants logiciels de démarrage d’équipements réseau, ou leurs configurations de maintenance. C’est à ce moment-là que la chaîne cesse d’être en mesure de diffuser ses programmes. Quelques dizaines de minutes plus tard, l’attaquant parachève son offensive en arrêtant plusieurs machines virtuelles, privant les équipes de TV5 Monde de messagerie électronique. Tout apparaît ainsi fait pour ralentir autant que possible la reprise d’activité.
Peu avant minuit, certaines d’avoir été la cible d’une attaque, les équipes informatiques de la chaîne décident de déconnecter l’infrastructure d’Internet pour « figer » la situation. Une démarche qualifiée d’efficace par l’Anssi.
Un environnement hétérogène
L’agence est donc intervenue dès le lendemain matin, un coordinateur technique, plusieurs analystes en criminalistique, deux analystes réseau, et un analyste en rétro-ingénierie. Entre trois et six auditeurs étaient également mobilisés.
Ces derniers ont contribué de manière importante aux premiers gains rapides, avec la découverte du compte LocalAdministrator et de la DLL spécifique de contrôle à distance. Mais l’un des premiers objectifs de la remédiation consistait à s’assurer de l’absence de bombe logique dans l’infrastructure, pour permettre une reprise d’activité sûre. Et cela dans un environnement hautement hétérogène : environ 140 serveurs, 380 postes Windows, et 310 Mac déclarés dans le domaine Active Directory. Les serveurs, principalement virtualisés sur base VMware, fonctionnaient sous Windows et Linux. A cela, il convient d’ajouter des serveurs de bases de données SQL Server et Oracle et des équipements métiers spécifiques, comme les compresseurs vidéo et les multiplexeurs, auxquels les auditeurs de l’Anssi ne connaissaient alors… rien.
Cette difficulté – une montée en compétence très rapide sur des outils très spécifiques – s’ajoutait à plusieurs d’autres, à commencer, bien sûr, par des délais très contraints, mais aussi l’impératif de n’oublier aucun élément du réseau ni de l’infrastructure de gestion des identités, et un bien sûr une exposition médiatique toute particulière. Là, il s’agit en fait de protéger le travail d’enquête d’une éventuelle exposition publique que l’attaquant pourrait mettre à profit.
Un contexte de crise exacerbé
Plus généralement, l’Anssi insiste sur l’impératif d’exhaustivité, d’exigence dans la qualité de la collecte des informations sur l’infrastructure, et sur celui d’humilité face à l’attaquant. « On veut tout inventorier », pour « se construire notre propre vision des éléments du système d’information ».
Et justement, l’exhaustivité était loin d’être au rendez-vous des premières heures. Il aura fallu J+1 pour que l’Anssi obtiennent un schéma d’architecture commençant à ressembler à quelque chose. Puis J+2 pour obtenir une représentation complète, issue du prestataire d’infogérance du réseau. « La différence est faramineuse avec les schémas obtenus précédemment ».
De quoi illustrer l’un des risques liés à l’externalisation : « TV5 Monde avait beaucoup de prestataires et perdait beaucoup la maîtrise ». Quelque chose de « naturel » pour l’Anssi, d’inévitable, mais qu’il faut bien gérer parce que « l’urgence rend cette perte de connaissance problématique ». Et en cas d’incident de sécurité… pas question de laisser ses prestataires prendre les décisions à sa place : car ils prendront les « bonnes décisions pour pouvoir poursuivre leur contrat avec vous », par forcément pour renforcer « votre sécurité ». Et l’Anssi d’insister : « cette situation est très courante en France ; nous la rencontrons tous les jours ».
Un passage de témoin négligé
Surtout, l’agence n’a pu que constater une situation où les interactions avec les partenaires externes n’ont pas été maîtrisées : des comptes administrateurs ont été laissés avec leurs mots de passe par défaut, d’autres, utilisés pour l’intégration ou pour l’infogérance ont tout simplement été oubliés. Et pour certains, utilisés par l’attaquant.
Les diffuseurs apparaissent avoir disposé d’un accès privilégié au cœur de réseau de TV5 Monde. Le cloisonnement réseau n’était pas suffisamment granulaire pour assurer l’isolement des ressources en fonction de leur niveau de criticité. De la segmentation était à l’œuvre, suivant le concept de routage et de transfert virtuels (VRF), mais avec des règles trop lâches. Le tout sur une base Cisco.
Mais dans le pare-feu « tout neuf » dont se targuait la chaîne, « deux règles de filtrage » seulement, pour des questions de performances et parce que le cloisonnement était considéré comme suffisant en s’appuyant sur VRF. Pourtant, « on a trouvé d’énormes lacunes de segmentation ».
Et c’est sans compter un pare-feu de secours installé sans le dire par le prestataire d’infogérance réseau afin de se ménager un accès de repli en cas de mauvaise manipulation sur le pare-feu principal.
Les failles valaient aussi pour l’annuaire : pour l’Anssi, Active Directory est en fait trop simple à administrer. Et le profil d’administrateur sécurité d’AD est « très rare, très spécialisé, et souvent jugé inutile ou coûteux ».
Des traumatismes multiples
Pour permettre à TV5 Monde de commencer à reprendre rapidement son activité, les équipes ont mis en place un « service minimum » avec des bulles d’accès à Internet filtrées, un système de sas pour les clés USB, ou encore le filtrage des échanges avec les équipes de production. Le tout pour permettre la diffusion de nouveaux contenus. Cinq postes permettaient initialement de se connecter à Internet ; un chiffre qui est monté à 50 pour ce qui allait devenir « le principal réseau de travail pour les journalistes ».
L’expérience de gestion de crise partagée par l’Anssi avec TV5 Monde souligne aussi les nombreuses répercutions de l’incident, au-delà de sa dimension technique. Et cela commence par des conditions de travail qui se durcissent immédiatement de manière radicale avec extension des horaires, ou encore annulations de vacances et pression croissante pour les équipes techniques.
Les équipes dont le travail quotidien est affecté ne sont pas à négliger, même si, pour celles qui interviennent sur le plan technique, comme l’Anssi, leur traumatisme apparaît là moins visible : « on traite ces situations tous les jours, donc nous sommes habitués ». Et à cela s’ajoute « la crainte persistante que l’attaquant revienne et détruise tout ».
Une toute nouvelle architecture
C’est le 11 mai, un mois après l’incident, qu’une bascule a pu être engagé « sur un cœur confiance sain », avant d’engager une « phase de durcissement longue ». Et c’est notamment passé par la création 41 nouveaux segments réseau. Dont 5 pour les postes d’administration, à raison d’un par prestataire, une pour le poste d’administration Active Directory, une autre pour les services d’infrastructure, encore une pour la supervision. Et sans compter le redécoupage des segments existants. Des bastions RDP sont également mis en place pour les administrateurs, ainsi que le durcissement des politiques de mot de passe, ou encore un modèle de délégation de droits. Ce dernier est basé sur trois zones : le cœur de confiance sain, durci, les services critiques, et la zone bureautique. Chaque zone dispose de ses propres administrateurs spécifiques, sans droits d’administrations sur les ressources des autres zones. « Les élévations de privilèges vont être coupées entre ces zones ».
Au-delà de l’exemple que représente TV5 Monde, l’Anssi a cherché à faire passer un message clair : le niveau de sécurité des entreprises en France est bas. Et remédier un incident de sécurité est d’autant plus difficile que l’organisation est grande, ancienne, et à recours à l’externalisation. Dans de nombreux cas, ce qui a été fait pour la chaîne de télévision aurait probablement été impossible…
« Tout cet événement est représentatif de l’extrême vulnérabilité des systèmes informatiques aujourd’hui. Il y a un vrai problème de prise de conscience de l’importance de l’informatique dans nos sociétés modernes ». Une chance : « aucun attaquant n’a voulu faire de morts en France jusqu’à présent ».