Après l'attaque dont a été victime TV5Monde et qui a entrainé écrans noirs et défaçage, la situation commence à revenir à la normale pour la chaine de télévision. De nombreuses déclarations ont été faites sur le sujet et nous avons décidé de faire le point sur ce que Guillaume Poupard, directeur de l'ANSSI, présente comme « une guerre de l'information ».
Comme nous l'avons évoqué hier matin, TV5Monde a été la cible d'une cyberattaque présentée par certains comme « historique[et d'une] ampleur inédite ». Une chose est sûre, les conséquences ont été très importantes : les 11 chaines du groupe ont cessé d'émettre durant plusieurs heures, tandis que les comptes Facebook et Twitter, ainsi que le site Internet, ont été piratés et affichaient pour certains des messages de propagande.
Si les comptes sur les réseaux sociaux sont retournés entre les mains de leur propriétaire dès hier matin, le site a par contre mis plus de temps à revenir en ligne dans la journée, à cause de dégâts relativement importants. Mais tout ne semble pas encore terminé puisque, aujourd'hui encore, il était inaccessible pendant une partie de la matinée.
Un écran noir pendant plusieurs heures, le direct de retour au bout de 20 heures
Concernant les chaines de télévision, la situation est plus complexe. Si l'arrêt total de la diffusion (écran noir) a duré plusieurs heures, le retour à la normale s'est fait progressivement dans la journée d'hier. Jean-Pierre Verines, directeur de l'information à TV5Monde, explique : « depuis [hier]10h00, nous diffusons l'ensemble de nos signaux sur l'ensemble des territoires. Nous avons à midi mis en place les 13 langues de sous-titrage ». Il ne s'agissait par contre que de programmes enregistrés et le direct n'a pu être récupéré que pour le journal de 18h00, soit près de 20 heures après la coupure tout de même.
Dans une vidéo qui vient d'être publiée sur le compte YouTube de la chaine, Hélène Zemmour précise que « aujourd'hui, la diffusion antenne est complètement bunkerisée, sécurisée, elle est étanche : il n'y a plus de lien avec l'extérieur ». Et c'est probablement ce lien qui est en effet la cause de l'infiltration des pirates dans les machines chargées de la diffusion et de la coupure des 11 chaines.
Pour le reste, le retour à la normale n'est pas encore de mise et TV5Monde travaille en collaboration avec l'ANSSI afin de nettoyer son réseau et ses machines. L'Agence nationale de la Sécurité des Systèmes d'Information a d'ailleurs publié hier soir un communiqué afin de préciser qu'elle « apporte un soutien technique aux équipes pour analyser l’attaque et rétablir le service dans de bonnes conditions de sécurité ». Il prend la forme de treize personnes dépêchées sur place, neuf tôt hier matin et quatre de plus dans la journée.
Les origines de l'attaque restent encore à déterminer, « on a peu de certitudes »
Malgré de nombreuses rumeurs, les origines de l'attaque ne sont toujours pas connues avec certitude. On sait simplement que le groupe de pirates se revendique comme appartenant à l'État islamique, sans que cela ne soit confirmé pour le moment. Guillaume Poupard, directeur général de l'ANSSI, revient d'ailleurs sur ce point chez nos confrères d'Europe 1 : « il faut être très prudent sur l'origine de l'attaque. On a peu de certitudes. [...] On a clairement une revendication qui est associée à cette attaque et on ne peut pas l'exclure aujourd'hui ». De même, l'identité des pirates et leur localisation restent inconnues à l'heure actuelle.
Il ajoute que, bien souvent, « on a un peu un paradoxe : en général on arrive à deviner et à comprendre qui c'est, même s'il est difficile d'avoir des preuves. Mais par un faisceau de présomption, on arrive à deviner la zone géographique ». Dans son communiqué, l'Agence reste plus terre-à-terre et indique simplement qu'une « enquête judiciaire a été ouverte [et qu']elle se déroulera dans les semaines à venir ».
Concernant le vecteur d'attaque des pirates sur l'infrastructure de TV5Monde, Guillaume Poupard précise que des pistes sont étudiées, mais sans donner plus de précisions. Il ajoute néanmoins que, généralement, « c'est la messagerie qui est vulnérable ». Comme souvent, ce pourrait donc être un mail piégé qui serait à l'origine de l'attaque. Il pourrait prendre la forme d'une pièce jointe au contenu hasardeux ou bien d'un lien vers un site piégé. Ce scénario n'est d'ailleurs pas sans rappeler celui envisagé par les enquêteurs américains concernant la cyberattaque dont a été victime la Maison Blanche.
Les failles de sécurité sur les différents systèmes d'exploitation et navigateurs faisant le reste. Une fois que les pirates ont pris possession d'une machine, ils partent à l'exploration des autres ordinateurs du réseau, perçant les défenses les unes à la suite des autres. Un scénario plausible, mais pas encore confirmé.
Le Ministère de la Défense dément par contre la publication de documents confidentiels lorsque les pirates avaient pris possessions des réseaux sociaux de TV5Monde : « Après un examen minutieux de l’ensemble de ces documents par la chaîne de cyberdéfense des armées, les services du ministère de la Défense et ceux du ministère de l’Intérieur, il s’avère qu’aucun de ces documents ne mentionne l’identité de militaires français ni de leur famille. Le ministère de la Défense dément ainsi catégoriquement que les individus s’en étant pris aux moyens de diffusion de TV5Monde aient publié des documents confidentiels le concernant ».
Des « firewalls récents » et l'étrange affaire des mots de passe sur des feuilles blanches
Pour Jean-Pierre Verines, « le niveau et l'investissement que fait TV5Monde pour sa sécurité est important, très important. On peut toujours faire mieux, toujours faire plus, mais je ne suis pas certain que cela aurait arrêté nos malveillants ». Visiblement, les « firewalls récents » et le passage, il y a peu, d'un ingénieur système n’ont pas été suffisants pour assurer la sécurité d'une structure comme celle-ci.
À nos confrères des Échos, le directeur de l'information de TV5Monde précise que l'ANSSI avait alerté la chaine quinze jours plus tôt sur l'utilisation frauduleuse de l'un de leurs serveurs. « L’agence a récupéré le serveur. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point », sans donner plus de détails. Difficile donc pour le moment d'établir un lien entre ces deux événements, même s'il est plus que probable que l'attaque ait été préparée depuis plusieurs semaines par les pirates.
Puis nouvelle mésaventure pour la chaine de télévision. Hier, lors d'une interview vidéo dans les locaux de TV5Monde, on pouvait apercevoir des feuilles avec les identifiants et mots de passe de certains de ses comptes. Repéré par @Vinzniv et décortiqué par nos confrères d'Arrêt sur Images, on apprend que celui de YouTube était « lemotdepasseyoutube ».
comment faire une attaque "élaborée" chez #tv5monde ? lisez les mots de passe affichés sur le mur #facepalm pic.twitter.com/Af6hPCHWy8
— vinzniv (@vinzniv) 9 Avril 2015
Concernant cette histoire, Denis Verloes, responsable des projets web et mobiles chez TV5Monde, précise que des « mesures ont déjà été prises en amont » et que tout avait été changé après l'attaque. Il n'en reste pas moins que c'est un coup dur pour la chaine qui ne respectait pas franchement les recommandations de l'ANSSI sur la gestion des mots de passe. Espérons que cette politique ait changé depuis.
Mais ce n'est pas la fin de cette histoire puisque, plus récemment, Yves Bigot est revenu sur cette affaire auprès de nos confrères de l'AFP, mais avec un son de cloche différent : « On ne fait pas fi du fait que c'est une bourde », ajoutant que « les codes n'étaient pas affichés avant ». Hélène Zemmour ajoute que « comme nous n'avions plus d'antenne, plus aucune messagerie en interne, plus aucun email (...) nous avons dû afficher de façon temporaire et transitoire des codes d'accès sur les murs afin que les journalistes qui auraient eu besoin de diffuser via le web puissent le faire de façon rapide ».
On comprend donc mieux pourquoi TV5Monde a effacé l'un de ses tweets dans lequel la chaine indiquait que c'est « amusant, mais ce sont de vieux mots de passe »... ce qui n'est finalement pas le cas puisqu'il s'agissait bien des nouveaux mots de passe, évidemment changé depuis.
Ah, TV5Monde a supprimé son tweet... #lemotdepassedeyoutube pic.twitter.com/qGSSUfVUnr
— Vincent Coquaz (@VCquz) 10 Avril 2015
Quel est le but des pirates dans ce genre d'attaque ?
A priori, le but de cette attaque n'était pas le vol d'informations dans la plus grande discrétion afin de rester le plus longtemps possible, mais de faire un maximum de bruit. « L’attaque contre TV5 Monde s’inscrit dans le contexte d’une guerre d’information où les médias sont particulièrement visés, ainsi que plusieurs incidents récents l’ont confirmé : il s’agit, pour les attaquants, d’une méthode de propagande » résume l'ANSSI dans son communiqué.
Guillaume Poupard ne cache d'ailleurs pas que c'est un sujet de préoccupation pour l'Agence. « On sait que techniquement rentrer dans ces réseaux, non pas pour rester très discret, mais au contraire pour détruire des choses, voire provoquer des accidents, c'est la crainte majeure, prioritaire, que l'on prend en France et également chez nos alliés [...] On est dans une guerre de l'information » résume-t-il. Sont sous entendu ici les opérateurs de téléphonies, de transports, les centrales, les banques, etc.
Si les pirates n'ont pas diffusé de message de propagande à l'antenne cette fois-ci, rien n'exclut que cela puisse arriver par la suite. Il faut finalement toujours se remettre en question et faire preuve d'une « saine paranoïa » pour le directeur de l'ANSSI. Un important coup de semonce pour les médias, qui n'est pas sans rappeler, dans une moindre mesure, l'attaque dont avait été victime Le Monde, avec une tentative avortée de publication de faux articles, mais une vraie prise de contrôle du compte Twitter.
Et maintenant ?
Cette attaque de TV5Monde aura également eu des répercutions politiques, notamment avec la conférence de presse de Fleur Pellerin, ministre de la Culture et de la Communication, et de Bernard Cazeneuve, ministre de l'Intérieur. La première explique qu'il « faut protéger au maximum la liberté d'expression », en ajoutant qu'il « existe des menaces élevées et des risques divers ». Elle en profite pour placer que le projet de loi sur le renseignement (voir notre analyse) permettrait d'être « plus efficace dans la prévention de la cybercriminalité ».
De son côté, le ministre de l'Intérieur indique que « beaucoup d'éléments convergent pour que la présomption d'une attaque terroriste soit bien la cause de cette attaque », en ajoutant qu'il « convient de rester prudent tant que l'enquête n'a pas abouti ». Quoi qu'il en soit, le mot « terroriste » est lâché, de quoi pousser également le projet de loi sur le renseignement. Bernard Cazeneuve évoque au passage la création de 500 emplois supplémentaires, « dont 100 dédiés à la plateforme de signalement Pharos », ainsi que le déblocage de « 233 millions d'euros supplémentaires sur trois ans, dédiés à la lutte contre le terrorisme ».
Pour conclure, Fleur Pellerin ajoute qu'on « ne peut pas exclure que des attaques similaires puissent à nouveau se produire, qu'elles soient d'ores et déjà planifiées. Et je crois qu'il nous faut vraiment faire en sorte de protéger au maximum l'exercice de la liberté d'expression ».
