Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Les dessous de la cyberattaque contre TV5 Monde

Les spécialistes ont commencé à analyser l’attaque dont a été victime TV5 Monde. Les cyberpirates auraient lancé leurs attaques concertées depuis l’Irak et l’Algérie. Un scénario plausible commence à se dessiner avec une intrusion réalisée via un compte Skype.

Suite à l’attaque contre TV5 Monde, les déclarations de soutien se manifestent un peu partout dans le monde. De son coté, l’ANSSI a publié une déclaration indiquant qu’elle allait aider la chaîne francophone à analyser l’attaque et restaurer ses services de manière sécurisée. Inutile de repartir sur une sauvegarde que les cyberdjihadistes pourront immédiatement rebloquer. Le site canadien Breaking 3.0 indique de son coté avoir réussi à retracer l’attaque qui rappellerait celle contre le Centcom américain (United States Central Command), dont les réseaux sociaux avaient été piratés une trentaine de minutes en janvier dernier, et les attaques massives contre des sites web (effacement) après les attentats contre Charlie Hebdo et l’HyperCacher de Vincennes, toujours en janvier.

Pour identifier les pirates de TV5 Monde, Breaking 3.0 a commencé par analyser les couleurs utilisées pour les écrans de substitution. Sans résultats probants, ils se sont tournés vers les traces virtuelles. Les comptes Skype des salariés de la chaîne auraient été pistés - sûrement un journaliste lors d’une conversation avec un djihadiste - afin de récupérer l’adresse IP d’un poste de travail et l’identifiant réseau de la chaîne. Une faille Java aurait ensuite été exploitée pour infecter des postes de travail très ciblés : ceux du community manager de la chaîne ou un autre en régie. Selon Breaking 3.0, cette faille aurait permis d’introduire un fichier VBScript, un ver en fait, qui avait pour principal objectif d’atteindre les serveurs assurant la diffusion des émissions TV. La suite est connue : tous les services de la chaîne sont tombés malgré la présence de soi-disant « firewalls extrêmement puissants et certifiés ». Breaking 3.0 affirme également pouvoir préciser que l’un des cyberpirates est originaire d’Algérie et un autre d’Irak.

A cette heure, les programmes habituels de TV5 Monde n’ont toujours pas été rétablis, la chaîne francophone ne diffuse que des documentaires et d’anciennes émissions de FranceTV. Les sites web et les réseaux sociaux ont par contre été rétablis mais la vitrine principale est toujours compromise.

Note INTRAPOLE : C’est prématuré d’annoncer que les pirates étaient en Irak ou en Algérie parce que l’attaquant peut volontairement induire les "enquêteurs" en erreur.