FRANCE

TV5Monde : de vieilles ficelles pour un piratage sans précédent

La chaîne TV5 Monde est restée muette pendant plus de 20 heures.
La chaîne TV5 Monde est restée muette pendant plus de 20 heures. AFP

Le 8 avril, TV5 Monde a été victime d'un piratage "sans précédent". Aucun cybercriminel n’avait jusqu’alors stoppé l’émission d’une chaîne. Réussir à le faire n’est pas cependant beaucoup plus difficile que de prendre le contrôle d’un compte Twitter.

Publicité

TV5 Monde se remet à peine, vendredi 10 avril, d’un piratage sans précédent dans le paysage audiovisuel mondial. Pendant plus de 20 heures, la chaîne française a dû interrompre sa diffusion et a perdu le contrôle de ses moyens de communication, comme son système mail et ses comptes sur les réseaux sociaux.

“L’attaque est maitrisée”, a assuré Clémence Picart, chargée de communication de l'ANSSI (Agence nationale de la sécurité des systèmes d’information), au “Parisien". Plus de 10 de ces experts ont été dépêchés à TV5 Monde pour “corriger les failles de sécurité” afin d’éviter une rechute de la chaîne. Un travail de remise en ordre qui devrait prendre “plusieurs jours”.

La faute à la numérisation à grande vitesse ?

En attendant, cette cyber-opération a montré que des pirates informatiques jihadistes sont capables d’arrêter l’émission d’une chaîne de télévision. “Le message, qui est de démontrer que tout le monde est vulnérable, est clair, et l’impact médiatique est très fort”, résume Thierry Karsenti, vice-président technique Europe pour la société de sécurité informatique CheckPoint. Après tout, “prendre le contrôle des comptes des réseaux sociaux est une chose, pénétrer profondément dans les réseaux informatiques d’une chaîne [...] en est une autre”, souligne à ce propos “Le Monde”.

Vraiment ? “Les gens pensent que parce que certains systèmes métiers - comme le montage télé, la diffusion et l’enregistrement - sont très spécifiques et très complexes, la tâche serait beaucoup plus difficile pour les pirates, mais c’est faux”, assure Gérôme Billois, expert du Cercle européen de la sécurité informatique et consultant senior pour la société française Solucom, à FRANCE 24.

La télévision, comme bon nombre d’autres médias, s’est numérisée à grande vitesse. “La régie, la réception d’images ou encore la diffusion, tout est numérique, donc tout est informatique et de ce fait dispose de faiblesses potentielles qui peuvent être exploitées par des cybercriminels”, résume Thierry Karsenti. En clair, ce n’est pas parce qu’il y a plein de boutons et de commandes sur une console de régie, que le tout ne repose pas sur un serveur informatique qui tourne sous Windows.

L’email piégé

Outre cet aspect numérique, les systèmes ne sont pas toujours bien mis à jour, ce qui peut créer des opportunités pour les pirates. “Les fabricants de ces solutions métiers vendent souvent des kits clefs en main sans garantir un suivi de sécurité pour la partie invisible, c’est-à-dire les logiciels qui permettent de tout faire fonctionner”, regrette Gérôme Billois.

Il suffit donc de trouver un accès administrateur “à cette sous-couche logicielle pour effacer les disques durs ou à l’interface utilisateur pour provoquer une réinitialisation de tout le système”, extrapole-t-il.

Pour y arriver, la méthode est sensiblement la même que pour prendre le contrôle d’un compte Twitter ou Facebook. Les pirates informatiques identifient, grâce aux réseaux sociaux, plusieurs cibles potentielles dans l’entreprise et ensuite leur envoient un mail piégé. “Ils visent généralement une dizaine de personnes et peuvent être sûrs que l’une d’elles au moins va ouvrir la pièce jointe qui installera un virus”, explique Thierry Karsenti.

Le virus leur permet de prendre le contrôle de l’ordinateur et de s’installer dans le système informatique de l’entreprise. Trouver, ensuite, le moyen d’accéder au cœur de l’infrastructure réseau (pour stopper l’émission de la chaîne par exemple) demande un peu de temps et d’organisation… mais pas beaucoup plus de compétence technique que pour récupérer les identifiants des comptes Twitter et Facebook. “Les cybercriminels vont cartographier l’architecture réseau pour trouver des points d’accès et tout savoir sur le matériel utilisé”, explique Thierry Karsenti.

Détermination et patience

Cette phase peut durer plusieurs semaines, voire plusieurs mois, et demande des compétences spéciales… comme par exemple "quelqu’un qui parle français pour parcourir les emails et la documentation technique”, souligne Gérôme Billois.

C’est donc une “technique d’attaque qui n’a rien de spectaculaire pour un résultat qui, lui, l’est beaucoup plus”, assure cet expert en sécurité informatique.

Pour les deux spécialistes interrogés, le plus impressionnant dans cette attaque aura été le niveau d’organisation des cybercriminels. “Il fallait que tout soit parfaitement synchronisé pour ralentir au maximum la capacité de réaction de la chaîne”, souligne Thierry Karsenti. L'accès aux emails de tous les employés a été coupé en même temps que la prise de contrôle des comptes Twitter et Facebook : “il devenait, du coup, plus difficile de joindre le bon interlocuteur pour tenter de résoudre les problèmes”, note-t-il encore.

Face à une telle détermination et une telle patience, il est difficile pour l’entreprise cible de se protéger parfaitement. Compliqué par exemple d’interdire à un journaliste d'ouvrir tous les communiqués de presse qui lui semblent intéressants et légitimes. Mettre à jour les antivirus n’est pas non plus très efficace car, aujourd’hui, “dans plus de 90 % des cas, les assaillants crées des versions personnalisées de logiciels malveillants qui ne sont pas détectés par les antivirus”, note Thierry Karsenti.

Il reste possible toutefois de limiter les risques en mettant régulièrement à jour les systèmes les plus sensibles et en changeant le plus souvent possible les mots de passe.

Le résumé de la semaineFrance 24 vous propose de revenir sur les actualités qui ont marqué la semaine