Piratage de TV5 Monde. Mise à jour: mode opératoire des hackers

Piratage de TV5 Monde. Mise à jour: mode opératoire des hackers

Mise à jour du 14 Avril: Comme je l'avais envisagé lors de mon analyse, le piratage à probablement été rendu possible par un e-mail piégé; Voir article du Point de ce mardi, à la fin du post. Source AFP

La chaîne TV5 Monde piratée par des militants de l'État islamique

Le Figaro | Par Xavier Allain | Publié le 09/04/2015 à 13h39

« L'antenne et les réseaux sociaux de la chaîne francophone ont été piratés mercredi soir par des individus se réclamant du groupe État islamique.

Yves Bigot, dans un message vidéo : « TV5 monde a été victime d'une cyberattaque extrêmement puissante. Ce piratage a conduit l'ensemble de nos onze chaînes, les neuf généralistes et les deux thématiques, à virer à l'écran noir et nous avons perdu dans le même temps le contrôle de nos réseaux sociaux et de nos sites Internet.

On avait anticipé ce genre d'attaques et nous disposons de systèmes de sécurités puissants et audités régulièrement. Sur le principe, nous étions prêts. Mais cette attaque était très puissante, ils en savaient visiblement beaucoup…

Nous attendons désormais les résultats de l'enquête. Le gouvernement nous a apporté un soutien moral et logistique, avec l'envoi d'experts.»

————————————-

Mon but ici n’est pas de commenter l’efficacité ou de juger la qualité des protections mises en place, mais plutôt d’éclairer les citoyens sur ce qui se passe, peut se passer et pourra se passer dans le futur, puis voir comment on peut s’améliorer sur le sujet de la cyber-sécurité. Pour cela, je vais reprendre quelques commentaires que j’ai lus à la suite de l’article du Figaro et y apporter des réponses d’expert.

————————————————————————

Comms lus à la suite de l’article du Figaro:

(Ils)…peuvent pirater une antenne de chaine publique qui émet des ondes radios et télévisées.

Mon analyse :

  • Oui, c’est tout à fait possible, car Il y a eu une révolution dans les medias : En quelques années toute l’information est devenue numérique : la production des journalistes, se fait grâce à des ordinateurs qui ont remplacé les machines à écrire, les caméras et la prise de son est numérique aussi. Toute l’information est maintenant dans des fichiers numériques. Les journalistes utilisent Internet et les e-mails pour transférer leurs informations, encore du numérique. Les données sont donc stockées et traitées dans le système informatique. Mais il y a plus : la régie s’est elle-même numérisée, les programmes sont constitués et coordonnés par des ordinateurs. Les « émissions » sont alors envoyées à un satellite qui renvoie le signal vers les paraboles des téléspectateurs des bouquets satellites, mais ça peut être aussi sur Internet, à travers les box ADSL : celui qui pirate le système informatique d’un media est capable de tout bloquer. Il suffit donc de connaître un mot de passe d’administrateur informatique pour avoir la main sur la totalité du système.
  • Les accès aux réseaux sociaux sont également inclus dans le système d’information, il suffit donc de connaître le mot de passe du community manager. Tout est une histoire de connaissance des mots de passe.
  • En résumé compte tenu de la dépendance numérique totale d’un média par rapport au système informatique, le fait de se faire pirater son système d’informations est fatal.

Quel scenario possible ? Pour pénétrer un système d’informations depuis l’extérieur il suffit d’arriver à infecter un seul ordinateur qui se trouve à l’intérieur. Comme pour le piratage de Bercy en décembre 2010, on peut y arriver facilement avec un e-mail piégé. On exploite ensuite des failles de sécurité non corrigées (patches), ce qui permet d’installer un programme de type « cheval de Troie » et ensuite on « renifle » tous les mots de passe qui circulent sur le réseau interne. Après quelques minutes, ou au pire, quelques jours, on dispose de nombreux mots de passe, dont celui des administrateurs du système. De plus, n’importe quel hacker « basique » est capable d’exploiter ces failles, car elles sont publiées sur internet avec le code d’attaque correspondant, sur des sites comme METASPLOIT. Une fois que l’on dispose d’un mot de passe d’un des administrateurs (comme l’était Snowden à la NSA) on peut faire ce qu’on veut, y compris planter tout le système, donc les émissions.

Quelles contre-mesures peut-on prendre ?

L’ampleur de l’attaque sur la totalité du système d’informations de la chaine, y compris des pages hébergées ailleurs comme Facebook, montre clairement que ce sont les comptes des administrateurs informatiques qui ont été piratés, sinon il n’aurait pas été possible de simultanément attaquer les sites internet, la régie de diffusion et les pages des réseaux sociaux. Heureusement Il existe toute une palette de mesures de protection disponibles mais la plupart du temps elles sont non appliquées, y compris dans les très grandes entreprises ou administrations.

  • Le problème de la confiance dans les administrateurs et autres « gardiens » du dispositif ne date pas d’hier : Il faut d’abord se rappeler de la citation de Juvénal qui date de près de 50 ans avec J.C. : « quis custodiet ipsos custodes ? », « Mais qui gardera les gardes ? » Comme pour l’affaire Snowden, il faut vérifier les profils des administrateurs informatiques et notamment les sous-traitants. La motivation idéologique ne faisant aucun doute, il faut vérifier que parmi les administrateurs ou les sous-traitants il n’y a pas une « brebis galeuse ». Par la suite il faudra tracer toutes les actions des administrateurs et les empêcher de modifier les logs (la journalisation) de leurs actions. Encore une citation pleine de bon sens : « La confiance n’exclut pas le contrôle », même si celle-ci provient de… Lenine ! ll faut identifier et contrôler les actions de chaque administrateur et non pas les laisser utiliser des comptes génériques comme « root » ou « admin », sinon les logs ne seront pas utilisables, puisqu’on ne saura pas qui a fait telle ou telle action.
  • Patcher-patcher-patcher ! Il faut vérifier constamment que tous les correctifs de sécurité sont appliqués sur la totalité des ordinateurs. La moindre défaillance ou retard dans le domaine pourra être exploitée.
  • Il faut protéger les mots de passe des admins dans un coffre électronique (comme keepass) et ne pas les faire circuler en clair sur le réseau ou les stocker sans aucune protection.
  • Le mieux est de mettre en œuvre un système intermédiaire (bastion de sécurité) qui est seul habilité à accéder aux serveurs et auquel les admins doivent s’identifier avec autre chose en plus d’un mot de passe, comme par exemple un élément physique, appelé token (un jeton, clef USB, générateur de mot de passe valable une fois, smartphone ou encore biometrie, empreintes, reconnaissance faciale). Tout ceci aura pour but de rendre impossible l’attaque distante par la simple connaissance d’un mot de passe.

Encore un comm que l’on peut lire : … (ils) maîtrisent à la perfection l'outil informatique, donc la crainte c'est de voir nos sous-marins nucléaires piratés, avec d'autres installations et armements, devient possible.

Nos systèmes militaires ou nos infrastructures vitales sont-ils en danger ?

  • Réponse : En fait, il s’agit d’une attaque facile et simple à mener par n’importe quel informaticien « à dix centimes ». Donc, non, pas de danger, simplement parce que les processus industriels (SCADA) ou militaires sont physiquement séparés des réseaux dits « de gestion ». On pourrait pratiquer de même en séparant le réseau « journalistes » et du réseau « régie/diffusion ».

On peut également lire dans les comms : Une attaque d'une puissance inouïe ? On est plus probablement confronté à une informatique d'une incompétence inouie…

  • Non ce n’est pas si facile de bien sécuriser un système, car, comme dans le cas d’un château fort, les attaquants ne doivent gagner qu’une seule fois pour pénétrer dans le château, alors que les défenseurs doivent gagner tout le temps, 24h sur 24h et sur la totalité du périmètre. Ça devient une tache encore plus difficile, quand on a des journalistes qui sont disséminés dans le monde entier et que l’on utilise de manière intensive Internet pour transmettre des informations.
  • Pour comprendre quoi corriger, il faut, dans un premier temps, effectuer une enquête précise sur ce qui s’est passé, ce que l’on appelle dans notre domaine un « inforensique » (venant de forensics – autopsie en anglais).
  • La plupart du temps les dirigeants des grandes entreprises et administrations sont mal informés des risques informatiques, croyant qu’il s’agit d’une affaire purement d’informaticiens, puis sont mal éclairés dans leurs décisions à prendre, car l’informatique leur dit que "tout est sous contrôle"… Jusqu’à l’incident critique qui remet tout en cause, y compris la confiance dans leurs équipes. La bonne façon de procéder est, une fois les mesures immédiates prises, de faire auditer la totalité de la sécurité de l’information par une tierce partie et déterminer s’il y a des directives adaptées et si elles sont effectivement appliquées. Ensuite d’en déduire un plan d’actions curatives, correctives et préventives avec des priorités et des dates de mise en œuvre rapides, afin de colmater les défauts de sécurité majeurs.
  • Il faut donc créer ou promouvoir une organisation spécifique de cyber-sécurité (comme il en existe en sécurité physique) avec des moyens, financiers et humains, mais également de contrôle et de reporting à la direction. Puis de recommencer : audit, plan d’actions, reporting…
  • Une dernière citation d’Aristote qui couvre bien le sujet de la cyber-sécurité : « L'excellence est un art que l'on n'atteint que par l'exercice constant. Nous sommes ce que nous faisons de manière répétée. » L'excellence n'est donc pas une action mais une habitude. Autrement dit, dans le monde actuel avéré de la cyberguerre, la cyber-sécurité doit faire partie des habitudes, des comportements. Comme on a pris l’habitude de fermer la porte de sa maison ou de sa voiture, il faut prendre l’habitude de protéger l’accès à son ordinateur et ceci pour chaque utilisateur.

L'attaque contre TV5 Monde était prévue de longue date

Le Point – Publié le 14/04/2015 à 11:09

Dès janvier, la cyberattaque a débuté par un envoi de mails aux journalistes de la chaîne. La semaine dernière, elle avait été contrainte de cesser d'émettre.

La cyberattaque djihadiste dont a été victime TV5 Monde a été enclenchée dès fin janvier, par l'envoi de mails aux journalistes de la chaîne internationale francophone, d'après des sources proches du dossier. Dans la nuit du 9 au 10 avril, des pirates se revendiquant de l'organisation de l'Etat islamique (EI) ont pris le contrôle des comptes Facebook et Twitter et du site de TV5 en y affichant des messages de propagande djihadiste, puis ont bloqué tout son système informatique. La chaîne a dû interrompre sa diffusion plusieurs heures. Mais l'attaque avait commencé bien plus tôt, avec un mail envoyé fin janvier à l'ensemble des journalistes de la chaîne, selon la technique classique du "phishing", a-t-on expliqué de sources proches du dossier.

Trois d'entre eux y répondent, permettant aux "hackers" de pénétrer dans le système de la chaîne par des logiciels de type "cheval de Troie". Trois semaines avant l'attaque, en mars, la deuxième phase de l'offensive est lancée, et un virus contamine plusieurs ordinateurs de TV5 Monde, détaille à l'AFP une des sources. Puis, le 9, l'offensive proprement dite commence, avec l'attaque des serveurs : pendant plusieurs heures, les serveurs sont attaqués, puis les réseaux sociaux. "Cette attaque est à la fois simple dans son déclenchement", avec la technique du phishing qui a permis "de faire pénétrer le ver dans le fruit" et "très sophistiquée dans son déroulé avec un logiciel compliqué", a expliqué l'autre source proche du dossier. Ce qui a permis son déclenchement, c'est, "comme toujours, une faille humaine au début", a-t-elle poursuivi.