Victime d’une cyberattaque, TV5 Monde a été contrainte, jeudi 9 avril, de couper l’antenne. En plus de cela, la chaine francophone a perdu le contrôle de ses comptes de réseaux sociaux, et de ses sites internet. Guillaume Lovet, expert en cybercriminalité chez Fortinet, revient avec nous sur cette attaque pas si sophistiquée que nous pourrions le croire, et sur la cybercriminalité en général. Interview.
Techniques de l’Ingénieur : La cyberattaque contre TV5 Monde a fait l’objet de déclarations enflammées, notamment du ministre de l’Intérieur Bernard Cazeneuve, qui a parlé d’une “attaque massive, qui a mobilisé des compétences techniques exceptionnelles ». Est-ce la réalité ?
Guillaume Lovet : Ces derniers mois, de nombreuses tentatives d’attaques similaires ont eu lieu, contre les sites du Monde et du Guardian, contre des comptes de réseaux sociaux… Il y a un point commun entre toutes ces attaques : ce sont les comptes sociaux des médias qui sont visés. Le but premier des pirates, c’est de prendre le contrôle des comptes des réseaux sociaux (Twitter, FB, instagram…) pour pouvoir toucher le plus de monde, et diffuser leur message.
Dans ce type d’attaques, les pirates ne vont pas plus loin que le “défacement” du site visé, c’est-à-dire le remplacement de la page d’accueil, et la prise de contrôle des comptes des réseaux sociaux. Dans l’attaque contre TV5 Monde, une conclusion logique s’impose : les cibles des pirates étaient les comptes Twitter et Facebook. Par conséquent, l’interruption d’antenne par la chaine n’était pas leur intention première, simplement un dommage collatéral !
Il n’est pas exclu que leurs attaques se perfectionnent un jour, mais nous avons à faire à des cellules plutôt isolées, avec des compétences relativement limitées. Le modus operandi est toujours le même : essayer d’infecter un “point d’entrée sur le réseau” (une personne) avec un cheval de troie, grâce à du social engineering. Le but est d’amener quelqu’un à cliquer sur une pièce jointe (un PDF si l’attaque est sophistiquée, un .exe ou un script VBS si les hackers sont moins expérimentés) qui va infecter une machine du réseau.
Si l’on en croit les révélations du site Breaking 3.0, qui cite (maladroitement) une cible bien informée, le cheval de troie utilisé dans le cas de TV5 est un script VBS. Après des recherches sur Internet, il apparaît qu’il s’agit d’un script ancien, qui ne tourne même pas sur Windows 7 : il faut redescendre jusqu’à Windows XP pour le rendre efficace ! Ce qui indique que TV5 Monde utilise, comme bon nombre d’entreprise, du matériel ou un système d’exploitation obsolète. Il s’agit donc probablement d’une attaque peu sophistiquée, avec un script récupéré (gratuitement) sur Internet, et non créé pour l’occasion. N’importe qui peut faire la même chose en cherchant bien sur le Web.
Les pirates ont par contre réalisé un bon travail de social engineering, puisque quelqu’un à TV5 Monde a cliqué sur la pièce jointe infectée, ce qui leur a permis ensuite de connecter la machine à leur centre de commande, avant d’infiltrer l’intérieur du réseau, au moyen d’une série de malwares, comme des keyloggers.
Une fois que les hackers ont réussi à mettre la main sur les identifiants des comptes sociaux de TV5 Monde, ceux-ci ont peut-être décidé d’endommager le réseau de l’entreprise, en effaçant des disques durs. C’est sûrement ce genre d’action (non planifiée) qui a entraîné l’interruption des programmes. La chaine a été amenée à suspendre ses programmes pour diverses raisons, probablement parce que le réseau interne, bureautique, ne fonctionnait plus, qu’il n’était peut-être pas très bien séparé du réseau utilisé pour le “broadcasting”.
Comment réellement hacker une chaine de télé ?
Pour vraiment prendre le contrôle de l’antenne, autrement dit prendre le contrôle des serveurs communiquant entre une chaine et un satellite, il faut avoir des connaissances très pointues dans le matériel de contrôle des processus industriels. Il faut pouvoir reproduire tout ce matériel, pour tester son attaque. Le hasard n’a pas sa place dans une attaque de ce type, et nous sommes très loin de la cyberattaque contre TV5 Monde.
Quand les renseignements israéliens et américains ont conçu le ver informatique Stuxnet pour attaquer une centrale d’enrichissement d’uranium en Iran, ils ont passé des mois et des années à répliquer tous l’environnement de la centrale : ils ont reconstruit la centrale dans le désert, afin de pouvoir tester leur attaque.
D’abord, il faut savoir quel matériel est utilisé par la cible, et comment il est structuré. Cela nécessite un travail de reconnaissance avancée, pointue, de l’espionnage. Il faut avoir un complice à l’intérieur, réussir à scanner le réseau, et progresser très lentement en utilisant plusieurs stratégies d’attaque – ce que l’on appelle de l’APT (Advanced persistent threat).
Ensuite, il faut posséder les fonds et les moyens suffisants pour reproduire l’architecture (la chaine de production) de la cible dans un laboratoire, puis développer un virus specifique, qui sera lancé au bon moment, une seule fois. Cela coûte trop cher pour une cellule isolée – il s’agirait dans ce cas, d’une cellule bien plus avancée, bénéficiant du soutien financier d’un Etat ou d’une organisation.
L’on est loin des cybercriminels interessés par l’argent, ou des “hacktivistes”, qui misent beaucoup sur la chance : il s’agirait, ici, de véritable “mercenaires” payés par des Etats, très compétents, avec des moyens colossaux derrière eux, et souvent impliqués dans le vol de propriété industrielle, l’espionnage étatique ou la destruction de cibles militaires. Dans le cas d’attaques réellement sophistiquées, le piratage est tellement bien fait que l’on ne saura jamais qu’il y a eu piratage, à moins de révélations telle que celle d’Edward Snowden.
Propos recueillis par Fabien Soyez
Et aussi dans les
ressources documentaires :
Dans l'actualité
- Les avions à la merci des pirates ?
- De la COP-1 à la COP-21 : 20 ans de négociations !
- Le B-A BA de la sécurité informatique selon Edward Snowden
- Les plus gros piratages de 2015
- Hackers éthiques et emploi : 11% d’augmentation mais un poste peu accessible
- Le gouvernement japonais va créer des logiciels malveillants défensifs