TV5Monde: enquête autour d'un incroyable cyberpiratage

La chaîne de télévision TV5Monde a été piratée mercredi soir par un groupe de «hackers» se revendiquant de l'EI.
© REUTERS/Christian Hartmann

Ecran noir pendant des heures et une page internet occupée par des slogans et sigles jihadistes, la chaîne de télévision TV5Monde a été lourdement piratée mercredi 8 avril au soir. L'enquête est maintenant lancée pour déterminer qui est à l’origine de cette attaque avant même que l'antenne de la chaîne francophone ne soit complètement rétablie. Un piratage revendiqué par le groupe « Cybercaliphate », sans doute des partisans du groupe Etat islamique.

En janvier 2015, les réseaux sociaux des activistes s'appelant eux-mêmes « Cybercaliphate » avaient réussi à pirater certains comptes du CentCom, le Centre de commandement régional pour le Moyen-Orient du Pentagone.

Pendant plusieurs heures, la page YouTube de cet organe du département américain à la Défense diffusait les films officiels de l'Etat islamique. Au même moment, le compte Twitter du Centcom diffusait des documents présentés comme confidentiels, mais en réalité disponibles en libre accès sur le web avec des appels au meurtre de soldats américains précisant leurs noms, courriels et numéro de téléphone. Peu après, c'est le compte Twitter du magazine Newsweek qui était piraté pour diffuser la propagande de l'Etat islamique.

Pour autant, aucune des actions de « Cybercaliphate » n'a jamais été revendiquée par le groupe EI. En outre, chacun de leurs messages comporte des incohérences : des fautes grossières en langue arabe, mais aussi une terminologie qui ne correspond pas à celle de l'EI à commencer par le sigle ISIS (EIIL en français) qui n'existe plus dans ses communiqués depuis le changement de nom du groupe le 29 juin dernier, lors de la proclamation du Califat.

Ces attaques sophistiquées qui paralysent en ce moment encore partiellement les antennes de TV5Monde ont sans doute été menées par des sympathisants jihadistes plutôt que par l’organisation de l’Etat islamique elle-même, car le « Cybercaliphate » n'en est pas un organe officiel.


Reportage: au siège de TV5Monde à Paris, le malaise est palpable

Plusieurs ministres français se sont rendus dans les locaux de TV5Monde ce 9 avril. © REUTERS/Benoit Tessier

L’ensemble de la rédaction de TV5Monde se trouve dans les bureaux. Impossible de s’y rendre et donc de rencontrer les salariés. Seul le hall d’entrée reste accessible aux médias qui pressent devant. Le directeur de l’information de TV5Monde a fait part de l’étonnement, de la stupéfaction des salariés après cette cyberattaque. Une action minutieusement préparée par ses auteurs, selon la directrice du numérique de la chaîne, « Même si nous avions voulu essayer, nous n’aurions pas réussi à perturber à ce point notre système », a ajouté Hélène Zemmour.

Les onze canaux, les onze chaînes de TV5Monde ont repris leur diffusion vers 10 heures ce matin. Mais ce ne sont que des programmes enregistrés, des programmes que la chaîne avait en stock. L’information, elle n’a pas repris : aucun journal depuis 22 heures mercredi, aucun magazine en direct non plus. En fait, il faut attendre que tous les systèmes informatiques soient rétablis et leur sécurité renforcée. La rédaction espère tout de même pouvoir assurer son journal de 18 heures. Si cette diffusion est possible, la chaîne a d’ores et déjà prévu une édition spéciale pour revenir en détail sur cette incroyable cyberattaque.

yves_bigot_invite20150409
09-04-2015 - Par RFI


■ Les cinq étapes du cyberpiratage

Laurent Heslault est expert en sécurité informatique chez Symantec. Pour lui, l'attaque contre TV5Monde a été soigneusement préparée par les pirates. Une attaque qui se déroule en cinq étapes.

« La première étape est ce que l’on appelle l’étape de reconnaissance. C'est-à-dire que l’attaquant va récupérer des informations sur sa cible en ligne évidemment, mais ça peut aller jusqu’à de la reconnaissance physique.

Une fois que l’on a fait ça, on va passer à la phase dite d’incursion. C'est-à-dire que l’on va utiliser différents moyens techniques pour envoyer un logiciel malveillant à l’intérieur de l’infrastructure de la cible qui va servir de tête de pont une fois que l’on sera à l’intérieur.

Lorsqu’on a fait cette phase d’incursion, on passe à la phase de découverte. On va cartographier le réseau de l’entreprise, on va identifier les différents systèmes et différentes technologies et on va récupérer des informations dessus.

La 4e phase, c’est la phase d’attaque proprement dite où on va lancer vraiment l’attaque, que ce soit une attaque liée à la confidentialité d’informations que l’on va soit dérober soit dévoiler. Ça peut être une attaque liée à l’intégrité de l’information. Dans le cas d’une attaque, on avait vu des informations qui avaient été diffusées à la place de la chaîne qui était propriétaire de l’outil de diffusion. Et puis il y a la disponibilité, c’est à dire on va rendre l’outil indisponible. C’est la grande classique.

La 5e phase, quand il y a vol d’informations, c’est la phase dite d’exfiltration. C'est-à-dire l’attaquant va récupérer les données qu’il va ensuite utiliser, soit divulguer sur des sites, etc.

Ces attaques ciblées suivent toutes systématiquement ce même processus. »

La première étape est ce que l’on appelle l’étape de reconnaissance.
Laurent Heslault, expert informatique chez Symantec
09-04-2015 - Par Raphaël Reynes