Cyberattaque contre TV5 Monde

La chaîne de télévision francophone TV5 Monde est diffusée dans plus de 200 pays.

La cyberattaque contre TV5 Monde est une cyberattaque qui entraîne entre les 8 et l'arrêt de la diffusion des programmes de la chaîne de télévision francophone internationale TV5 Monde, et la publication de messages de soutien à l'État islamique sur ses réseaux sociaux.

Cette attaque de grande ampleur, sans précédent dans l'histoire de la télévision, est revendiquée par le groupe de pirates informatiques « Cybercaliphate », se réclamant de l'organisation État islamique sans que cette dernière ne l'ait confirmé. Cependant, l'enquête s'oriente vers un groupe de hackers russes nommé APT28 (ou Pawn Storm), qui serait soutenu par le gouvernement de Russie.

Contexte

Précédentes cyberattaques

En , devant la recrudescence des cyberattaques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) lance un exercice dans le cadre du plan Piranet visant à « mettre l'État français à l'épreuve d'une crise informatique majeure ». Le scénario consiste en une attaque de grande ampleur de l'Internet français et des réseaux des administrations pour tester la capacité de l'État à réagir et à se coordonner. Des opérateurs d'importance vitale des secteurs de la santé, des transports et des communications électroniques sont présents[1],[2].

Dans la semaine qui suit les attentats de janvier 2015 en France, 19 000 sites internet français sont la cible de cyberattaques par des groupes revendiquant la « Défense des musulmans » et la cause pro-palestinienne. Cette vague d'attaques informatiques vise essentiellement des sites des petites collectivités territoriales, des PME et des TPE, toutes reliées à une série de serveurs informatiques[3],[4].

Le , les comptes Twitter et YouTube du commandement de l'armée américaine au Moyen-Orient et en Asie centrale (CentCom) sont piratés par un groupe de hackers prenant le nom de « Cybercaliphate »[5]. Quelques jours plus tard, le site internet et le compte Twitter du quotidien français Le Monde sont la cible de plusieurs attaques de l'Armée électronique syrienne. Mais les mécanismes de sécurité mis en place par le journal résistent et mettent en échec les pirates[6]. Le , le compte Twitter de l'hebdomadaire américain Newsweek est victime d'une attaque par le Cybercaliphate[7].

TV5 Monde

Article détaillé : TV5 Monde.

TV5 Monde est une chaîne de télévision généraliste francophone internationale créée le et détenue conjointement par des sociétés audiovisuelles publiques françaises, belges, suisses, canadiennes et québécoises. Elle est l'un des trois plus grands réseaux mondiaux de télévision, accessible auprès de 291 millions de foyers à travers 200 pays et territoires. Elle diffuse 10 signaux régionalisés distincts, 2 chaînes thématiques et 2 web TV.

À la fin du mois de , l'ANSSI prévient TV5 Monde d'une utilisation frauduleuse d'un de ses serveurs non protégé. L'agence récupère le serveur en question et la chaîne internationale se met à la recherche d'un prestataire pour un audit de sécurité[8].

Le , TV5 Monde inaugure sa nouvelle chaîne thématique sur l'« art de vivre à la française », TV5 Monde Style HD, en présence du ministre des Affaires étrangères Laurent Fabius. La chaîne doit diffuser au Moyen-Orient et en Asie des programmes sur la mode, le luxe, l'hôtellerie, la joaillerie, la gastronomie, l'œnologie, le design, l'art des jardins, l'architecture, le patrimoine culturel et historique[9].

Déroulement

Le à 20 h 50 HAEC, l'infrastructure de diffusion de TV5 Monde (le multiplexage) est la cible d'une cyberattaque. Même si l'infrastructure principale et celle de secours sont neutralisées d'un seul coup, le directeur informatique de la chaîne et son équipe croient tout d'abord à une panne technique. Mais quelques minutes plus tard, le serveur de messagerie électronique est détruit, confirmant une cyberattaque. Pour le directeur informatique, il s'agit d'une « agression fulgurante qui a probablement été très bien préparée ». Pour limiter les dégâts, les équipes techniques coupent l'ensemble du réseau informatique vers 22 h, interrompant les diffusions télévisées de la chaîne dans le monde[8],[10].

En parallèle, les comptes Twitter et Facebook de la chaîne sont également piratés. Des messages de soutien à l'État islamique en anglais, arabe et français y sont publiés, ainsi que des documents présentés comme des pièces d'identité et des CV de proches de militaires français impliqués dans les opérations contre l'EI. Un message accuse le président de la République François Hollande d'avoir commis « une faute impardonnable » en menant « une guerre qui ne sert à rien », récompensée par les « cadeaux de janvier à Charlie Hebdo et à l'Hyper Cacher », faisant référence aux attentats de janvier 2015 en France[11],[12].

« Soldats de France, tenez-vous à l'écart de l'État islamique ! Vous avez la chance de sauver vos familles, profitez-en. [...] Au nom d'Allah le tout Clément, le très Miséricordieux, le CyberCaliphate continue à mener son cyberjihad contre les ennemis de l'État islamique »

— Extrait du message publié sur le compte Facebook de TV5 Monde le [11],[12].

Peu avant minuit, les équipes techniques arrivent à reprendre le contrôle des réseaux sociaux et postent des messages d'explication à destination des internautes[13]. Le directeur général de TV5 Monde, Yves Bigot, poste une vidéo sur Facebook et parle d'une « cyberattaque extrêmement puissante »[14].

Le à partir de h HAEC, le système informatique et les signaux télévisés sont progressivement relancés avec l'aide d'une quinzaine d'ingénieurs en sécurité informatique de l'ANSSI dépêchés sur place. Vers 10 h, toutes les chaînes du réseau sont rétablies mais elles ne peuvent diffuser que des programmes préenregistrés, et pas les journaux en production propre[8],[10]. À 18 h, la chaîne reprend une diffusion normale avec son programme d'information en direct 64' Le Monde en Français[15].

Enquête

Le , le parquet de Paris saisit la direction générale de la Sécurité intérieure (DGSI), la sous-direction anti-terroriste (SDAT), et les cyber-policiers de la direction centrale de la Police judiciaire (DCPJ). Le procureur ouvre une enquête pour « accès, maintien frauduleux et entrave au fonctionnement d'un système de traitement automatique de données » ainsi qu'« association de malfaiteurs en relation avec une entreprise terroriste ». Les experts de l'agence nationale de la sécurité des systèmes d'information (ANSSI) sont chargés d'analyser le mode opératoire de la cyberattaque[4].

Le , le ministère de la défense annonce qu'aucun document confidentiel relatif à l'armée française et à l'identité de militaires et de leur famille n'a été diffusé lors de la cyberattaque de TV5 Monde[16].

Le , les autorités confirment que l'attaque n'a pu être perpétrée par un seul individu mais par un groupe de plusieurs dizaines de pirates de haute volée, qui ont pu être engagés comme mercenaires. Pour les ingénieurs de l'ANSSI, l'attaque a été préparée de longue date et de façon minutieuse, indiquant que les pirates étaient infiltrés depuis des semaines dans les réseaux de TV5 Monde. L'enquête indique que les pirates ont utilisé la technique de l'hameçonnage (ou phishing) en envoyant un e-mail fin janvier à l'ensemble des journalistes de la chaîne. Trois d'entre eux ont répondu, permettant aux hackers de pénétrer le réseau de la chaîne via un cheval de Troie. Trois semaines avant l'attaque, un virus informatique s'est propagé dans plusieurs ordinateurs, profitant d'une architecture informatique mélangeant la partie « métier » constituant le cœur de la chaîne et la partie bureautique ouverte sur l'extérieur via Internet. Les pirates auraient créé des comptes avec des droits d'administrateurs leur permettant de circuler là où ils le souhaitaient[17],[18].

En juin, les médias révèlent que l'enquête s'éloigne de la piste djihadiste, vue comme un leurre, et s'oriente vers celle d'un groupe de hackers russes nommé APT28 (aussi connu sous le nom de Pawn Storm, Tsar Team, Fancy Bear ou Sednit). La cyberattaque présenterait des similitudes avec le mode opératoire de ce groupe, utiliserait des serveurs communs et le code source aurait été tapé sur un clavier cyrillique à des moments correspondant aux heures de bureau à Saint-Pétersbourg et à Moscou. Selon la société de sécurité informatique américaine FireEye, APT28 serait soutenu par le gouvernement de Russie, au vu de ses cibles comme des dissidents russes, des journalistes et des organisations militaires aux États-Unis et en Europe. La cyberattaque a lieu dans un contexte de dégradation des relations entre la France et la Russie à la suite de la suspension de la livraison de deux navires Mistral sur fond de crise ukrainienne[19],[20].

Réactions et conséquences

Le ministre de l'Intérieur Bernard Cazeneuve, la ministre de la Culture Fleur Pellerin et le ministre des Affaires étrangères Laurent Fabius se rendent le au matin au siège de TV5 Monde, avenue de Wagram à Paris, pour apporter leur soutien à la rédaction. Bernard Cazeneuve déclare qu'une enquête a été ouverte et que les moyens alloués à la cybersécurité seraient renforcés, avec notamment la création de 500 emplois supplémentaires. Fleur Pellerin annonce qu'elle va rapidement réunir « l'ensemble des dirigeants de grands médias audiovisuels et même peut-être de presse écrite » pour s'assurer « des points de vulnérabilité ou de risque qui peuvent exister et la manière de les traiter au mieux »[21],[22].

Le Premier ministre Manuel Valls condamne « une atteinte inacceptable à la liberté d'information et d'expression », et la ministre de la Culture Fleur Pellerin qualifie le piratage d'un « véritable acte terroriste »[21]. Harlem Désir exprime sa « solidarité aux équipes de la chaîne »[23] et Christiane Taubira son « soutien »[24].

En juillet, les journalistes de la chaîne ne peuvent toujours pas accéder à l'intégralité du réseau informatique de la chaîne : ils ne peuvent ni utiliser le wifi et Skype, ni scanner de documents car le réseau Internet n'est pas encore reconnecté. Le coût de l'attaque est estimé à près de 5 millions d'euros pour l'année 2015[25]. En octobre, la messagerie interne est encore régulièrement inaccessible[26].

Au total, cette opération de destruction a coûté à TV5 plus de 5 millions d'euros pour la première année suivie de 3 millions d'euros l'année suivante pour investir dans de nouveaux systèmes de protection[27].

À la suite de cette attaque, TV5 Monde prévoit d'investir au moins 10 millions d'euros dans sa cybersécurité dans les années qui suivent[28].

Notes et références

  1. « Piranet met l'État à l'épreuve d'une crise informatique », sur le site du Point, (consulté le 16 juin 2016).
  2. Cécilia Gabizon, « Internet : la France se prépare à une attaque massive », sur le site du Figaro, (consulté le 16 juin 2016).
  3. Géraldine Russell, « La France face à une vague sans précédent de cyberattaques », sur le site du Figaro, (consulté le 16 juin 2016).
  4. a et b Christophe Cornevin, « Cyberattaque : TV5 Monde reprend sa diffusion, la faille de sécurité n'a pas été trouvée », sur le site du Figaro, (consulté le 16 juin 2016).
  5. « Le commandement de l'armée américaine au Moyen-Orient visé par une cyberattaque », sur le site du Monde, (consulté le 16 juin 2016).
  6. « Le Monde visé par une cyberattaque de l'armée électronique syrienne », sur le site d'Europe 1, (consulté le 16 juin 2016).
  7. Jean-Philippe Louis, « « Sanglante Saint-Valentin » : le CyberCaliphate pirate Newsweek », sur le site des Échos, (consulté le 16 juin 2016).
  8. a, b et c Julien Dupont-Calbo Florian Debes, « TV5Monde : comment les pirates ont débranché la chaîne », sur le site des Échos, (consulté le 16 juin 2016).
  9. « TV5MONDE lance la chaîne thématique Style HD », sur le site de TV5 Monde, (consulté le 9 juin 2016).
  10. a et b Pierre Alonso, Luc Mathieu et Amaelle Guiton, « TV5 Monde débranchée par des pirates », sur le site de Libération, (consulté le 16 juin 2016).
  11. a et b Anne-Laure Frémont, « Piratage de TV5 Monde : mystère autour de l'identité du CyberCaliphate », sur le site du Figaro, (consulté le 16 juin 2016).
  12. a et b « Ce que l'on sait du piratage de la chaîne TV5 Monde par des individus se réclamant du groupe Etat islamique », sur francetvinfo.fr, (consulté le 16 juin 2016).
  13. Xavier Allain, « La chaîne TV5 Monde piratée par des militants de l'État islamique », sur le site de TV Magazine, (consulté le 16 juin 2016).
  14. « Ce que l'on sait de la cyberattaque sans précédent de TV5 Monde », sur le site de L'Obs, (consulté le 16 juin 2016).
  15. « TV5 Monde reprend ses journaux télévisés après la cyberattaque terroriste islamiste », sur francetvinfo.fr, (consulté le 16 juin 2016).
  16. « TV5 Monde : les pirates n'ont pas diffusé de documents confidentiels de l'armée », sur le site du Monde, (consulté le 17 juin 2016).
  17. Christophe Cornevin, « L'attaque de TV5 aurait mobilisé plusieurs dizaines de cyberpirates », sur le site du Figaro, (consulté le 17 juin 2016).
  18. « TV5 Monde : la cyberattaque réalisée grâce au phishing », sur le site d'Europe 1, (consulté le 17 juin 2016).
  19. Emmanuel Paquette, « Piratage de TV5 Monde: l'enquête s'oriente vers la piste russe », sur le site de L'Express, (consulté le 17 juin 2016).
  20. Serge Leblal, « Piratage de TV5 Monde, la piste russe se précise », sur le site du Monde informatique, (consulté le 17 juin 2016).
  21. a et b « Trois ministres au chevet de TV5 Monde, victime de piratage », sur le site du Monde, (consulté le 16 juin 2016).
  22. « TV5 Monde victime d'un piratage "sans précédent" », sur le site de France Inter, (consulté le 16 juin 2016).
  23. Harlem Désir, « Solidarité aux équipes de la chaîne @TV5MONDE. Personne ne fera taire la liberté d'informer et de la presse. », sur Twitter, (consulté le 16 juin 2016).
  24. Christiane Taubira, « Pas de doute, ils ne supportent ni éducation ni culture ni libre information ni libertés. Soutien aux équipes de @TV5MONDE », sur Twitter, (consulté le 16 juin 2016).
  25. Sébastien Baer, « Que devient TV5 Monde après la cyberattaque ? », sur le site de France Info, (consulté le 17 juin 2016).
  26. « Piratage de TV5 Monde. Un surcoût de 4,6 millions d'euros en 2015 », sur le site d'Ouest-France, (consulté le 17 juin 2016).
  27. (en) Gordon Corera, « How France's TV5 was almost destroyed by 'Russian hackers' », sur BBC, (consulté le 24 octobre 2016).
  28. « Après sa cyberattaque, TV5 Monde investit dans sa protection auprès d'Airbus », sur le site du Point, (consulté le 17 juin 2016).

Articles connexes