Après l'attaque dont a été victime TV5Monde et qui a entrainé écrans noirs et défaçage, la situation commence à revenir à la normale pour la chaine de télévision. De nombreuses déclarations ont été faites sur le sujet et nous avons décidé de faire le point sur ce que Guillaume Poupard, directeur de l'ANSSI, présente comme « une guerre de l'information ».
Comme nous l'avons évoqué hier matin, TV5Monde a été la cible d'une cyberattaque présentée par certains comme « historique[et d'une] ampleur inédite ». Une chose est sûre, les conséquences ont été très importantes : les 11 chaines du groupe ont cessé d'émettre durant plusieurs heures, tandis que les comptes Facebook et Twitter, ainsi que le site Internet, ont été piratés et affichaient pour certains des messages de propagande.
Si les comptes sur les réseaux sociaux sont retournés entre les mains de leur propriétaire dès hier matin, le site a par contre mis plus de temps à revenir en ligne dans la journée, à cause de dégâts relativement importants. Mais tout ne semble pas encore terminé puisque, aujourd'hui encore, il était inaccessible pendant une partie de la matinée.
Un écran noir pendant plusieurs heures, le direct de retour au bout de 20 heures
Concernant les chaines de télévision, la situation est plus complexe. Si l'arrêt total de la diffusion (écran noir) a duré plusieurs heures, le retour à la normale s'est fait progressivement dans la journée d'hier. Jean-Pierre Verines, directeur de l'information à TV5Monde, explique : « depuis [hier]10h00, nous diffusons l'ensemble de nos signaux sur l'ensemble des territoires. Nous avons à midi mis en place les 13 langues de sous-titrage ». Il ne s'agissait par contre que de programmes enregistrés et le direct n'a pu être récupéré que pour le journal de 18h00, soit près de 20 heures après la coupure tout de même.
Dans une vidéo qui vient d'être publiée sur le compte YouTube de la chaine, Hélène Zemmour précise que « aujourd'hui, la diffusion antenne est complètement bunkerisée, sécurisée, elle est étanche : il n'y a plus de lien avec l'extérieur ». Et c'est probablement ce lien qui est en effet la cause de l'infiltration des pirates dans les machines chargées de la diffusion et de la coupure des 11 chaines.
Pour le reste, le retour à la normale n'est pas encore de mise et TV5Monde travaille en collaboration avec l'ANSSI afin de nettoyer son réseau et ses machines. L'Agence nationale de la Sécurité des Systèmes d'Information a d'ailleurs publié hier soir un communiqué afin de préciser qu'elle « apporte un soutien technique aux équipes pour analyser l’attaque et rétablir le service dans de bonnes conditions de sécurité ». Il prend la forme de treize personnes dépêchées sur place, neuf tôt hier matin et quatre de plus dans la journée.
Les origines de l'attaque restent encore à déterminer, « on a peu de certitudes »
Malgré de nombreuses rumeurs, les origines de l'attaque ne sont toujours pas connues avec certitude. On sait simplement que le groupe de pirates se revendique comme appartenant à l'État islamique, sans que cela ne soit confirmé pour le moment. Guillaume Poupard, directeur général de l'ANSSI, revient d'ailleurs sur ce point chez nos confrères d'Europe 1 : « il faut être très prudent sur l'origine de l'attaque. On a peu de certitudes. [...] On a clairement une revendication qui est associée à cette attaque et on ne peut pas l'exclure aujourd'hui ». De même, l'identité des pirates et leur localisation restent inconnues à l'heure actuelle.
Il ajoute que, bien souvent, « on a un peu un paradoxe : en général on arrive à deviner et à comprendre qui c'est, même s'il est difficile d'avoir des preuves. Mais par un faisceau de présomption, on arrive à deviner la zone géographique ». Dans son communiqué, l'Agence reste plus terre-à-terre et indique simplement qu'une « enquête judiciaire a été ouverte [et qu']elle se déroulera dans les semaines à venir ».
Concernant le vecteur d'attaque des pirates sur l'infrastructure de TV5Monde, Guillaume Poupard précise que des pistes sont étudiées, mais sans donner plus de précisions. Il ajoute néanmoins que, généralement, « c'est la messagerie qui est vulnérable ». Comme souvent, ce pourrait donc être un mail piégé qui serait à l'origine de l'attaque. Il pourrait prendre la forme d'une pièce jointe au contenu hasardeux ou bien d'un lien vers un site piégé. Ce scénario n'est d'ailleurs pas sans rappeler celui envisagé par les enquêteurs américains concernant la cyberattaque dont a été victime la Maison Blanche.
Les failles de sécurité sur les différents systèmes d'exploitation et navigateurs faisant le reste. Une fois que les pirates ont pris possession d'une machine, ils partent à l'exploration des autres ordinateurs du réseau, perçant les défenses les unes à la suite des autres. Un scénario plausible, mais pas encore confirmé.
Le Ministère de la Défense dément par contre la publication de documents confidentiels lorsque les pirates avaient pris possessions des réseaux sociaux de TV5Monde : « Après un examen minutieux de l’ensemble de ces documents par la chaîne de cyberdéfense des armées, les services du ministère de la Défense et ceux du ministère de l’Intérieur, il s’avère qu’aucun de ces documents ne mentionne l’identité de militaires français ni de leur famille. Le ministère de la Défense dément ainsi catégoriquement que les individus s’en étant pris aux moyens de diffusion de TV5Monde aient publié des documents confidentiels le concernant ».
Des « firewalls récents » et l'étrange affaire des mots de passe sur des feuilles blanches
Pour Jean-Pierre Verines, « le niveau et l'investissement que fait TV5Monde pour sa sécurité est important, très important. On peut toujours faire mieux, toujours faire plus, mais je ne suis pas certain que cela aurait arrêté nos malveillants ». Visiblement, les « firewalls récents » et le passage, il y a peu, d'un ingénieur système n’ont pas été suffisants pour assurer la sécurité d'une structure comme celle-ci.
À nos confrères des Échos, le directeur de l'information de TV5Monde précise que l'ANSSI avait alerté la chaine quinze jours plus tôt sur l'utilisation frauduleuse de l'un de leurs serveurs. « L’agence a récupéré le serveur. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point », sans donner plus de détails. Difficile donc pour le moment d'établir un lien entre ces deux événements, même s'il est plus que probable que l'attaque ait été préparée depuis plusieurs semaines par les pirates.
Puis nouvelle mésaventure pour la chaine de télévision. Hier, lors d'une interview vidéo dans les locaux de TV5Monde, on pouvait apercevoir des feuilles avec les identifiants et mots de passe de certains de ses comptes. Repéré par @Vinzniv et décortiqué par nos confrères d'Arrêt sur Images, on apprend que celui de YouTube était « lemotdepasseyoutube ».
comment faire une attaque "élaborée" chez #tv5monde ? lisez les mots de passe affichés sur le mur #facepalm pic.twitter.com/Af6hPCHWy8
— vinzniv (@vinzniv) 9 Avril 2015
Concernant cette histoire, Denis Verloes, responsable des projets web et mobiles chez TV5Monde, précise que des « mesures ont déjà été prises en amont » et que tout avait été changé après l'attaque. Il n'en reste pas moins que c'est un coup dur pour la chaine qui ne respectait pas franchement les recommandations de l'ANSSI sur la gestion des mots de passe. Espérons que cette politique ait changé depuis.
Mais ce n'est pas la fin de cette histoire puisque, plus récemment, Yves Bigot est revenu sur cette affaire auprès de nos confrères de l'AFP, mais avec un son de cloche différent : « On ne fait pas fi du fait que c'est une bourde », ajoutant que « les codes n'étaient pas affichés avant ». Hélène Zemmour ajoute que « comme nous n'avions plus d'antenne, plus aucune messagerie en interne, plus aucun email (...) nous avons dû afficher de façon temporaire et transitoire des codes d'accès sur les murs afin que les journalistes qui auraient eu besoin de diffuser via le web puissent le faire de façon rapide ».
On comprend donc mieux pourquoi TV5Monde a effacé l'un de ses tweets dans lequel la chaine indiquait que c'est « amusant, mais ce sont de vieux mots de passe »... ce qui n'est finalement pas le cas puisqu'il s'agissait bien des nouveaux mots de passe, évidemment changé depuis.
Ah, TV5Monde a supprimé son tweet... #lemotdepassedeyoutube pic.twitter.com/qGSSUfVUnr
— Vincent Coquaz (@VCquz) 10 Avril 2015
Quel est le but des pirates dans ce genre d'attaque ?
A priori, le but de cette attaque n'était pas le vol d'informations dans la plus grande discrétion afin de rester le plus longtemps possible, mais de faire un maximum de bruit. « L’attaque contre TV5 Monde s’inscrit dans le contexte d’une guerre d’information où les médias sont particulièrement visés, ainsi que plusieurs incidents récents l’ont confirmé : il s’agit, pour les attaquants, d’une méthode de propagande » résume l'ANSSI dans son communiqué.
Guillaume Poupard ne cache d'ailleurs pas que c'est un sujet de préoccupation pour l'Agence. « On sait que techniquement rentrer dans ces réseaux, non pas pour rester très discret, mais au contraire pour détruire des choses, voire provoquer des accidents, c'est la crainte majeure, prioritaire, que l'on prend en France et également chez nos alliés [...] On est dans une guerre de l'information » résume-t-il. Sont sous entendu ici les opérateurs de téléphonies, de transports, les centrales, les banques, etc.
Si les pirates n'ont pas diffusé de message de propagande à l'antenne cette fois-ci, rien n'exclut que cela puisse arriver par la suite. Il faut finalement toujours se remettre en question et faire preuve d'une « saine paranoïa » pour le directeur de l'ANSSI. Un important coup de semonce pour les médias, qui n'est pas sans rappeler, dans une moindre mesure, l'attaque dont avait été victime Le Monde, avec une tentative avortée de publication de faux articles, mais une vraie prise de contrôle du compte Twitter.
Et maintenant ?
Cette attaque de TV5Monde aura également eu des répercutions politiques, notamment avec la conférence de presse de Fleur Pellerin, ministre de la Culture et de la Communication, et de Bernard Cazeneuve, ministre de l'Intérieur. La première explique qu'il « faut protéger au maximum la liberté d'expression », en ajoutant qu'il « existe des menaces élevées et des risques divers ». Elle en profite pour placer que le projet de loi sur le renseignement (voir notre analyse) permettrait d'être « plus efficace dans la prévention de la cybercriminalité ».
De son côté, le ministre de l'Intérieur indique que « beaucoup d'éléments convergent pour que la présomption d'une attaque terroriste soit bien la cause de cette attaque », en ajoutant qu'il « convient de rester prudent tant que l'enquête n'a pas abouti ». Quoi qu'il en soit, le mot « terroriste » est lâché, de quoi pousser également le projet de loi sur le renseignement. Bernard Cazeneuve évoque au passage la création de 500 emplois supplémentaires, « dont 100 dédiés à la plateforme de signalement Pharos », ainsi que le déblocage de « 233 millions d'euros supplémentaires sur trois ans, dédiés à la lutte contre le terrorisme ».
Pour conclure, Fleur Pellerin ajoute qu'on « ne peut pas exclure que des attaques similaires puissent à nouveau se produire, qu'elles soient d'ores et déjà planifiées. Et je crois qu'il nous faut vraiment faire en sorte de protéger au maximum l'exercice de la liberté d'expression ».
Commentaires (37)
C’est extrêmement compliqué de gérer la sécurité d’un grand groupe.
En tout cas c’est une excellente nouvelle pour le gouvernement qui va pouvoir y trouver un appui à son programme de surveillance.
lemotdepassedeyoutube
lemotdepassedetwitter
lemotdepassedefacebook
…
lemotdepassedetv5?
Au passage il y a un C dans l’air sur ce thème ce soir.
Tout ces éléments de langages guerriers sont détestables au plus haut point et ne servent que d’excuses pour les tours de vis sécuritaires.
" />
Bref, c’est pas la “guerre”.
Vu l’histoire des mdp affichés sur le mur et le “on s’oriente vers une attaque par mail”, ça pue à des kilomètres le phishing peu élaboré.
" />
Apparemment, la sécurité informatique avait bien l’air d’être quasiment inexistante dans cette entreprise. Quand ils parlent de mise en place de “firewalls récents”, ils avouent à demi-mot qu’ils n’en avaient pas avant et qu’ils ne l’ont fait que récemment. (le jour de l’attaque?)
Vu que là, on n’a que les témoignages de l’ANSSI et du “responsable projet web” (tout sauf la sécurité de l’entreprise donc), ce serait bien d’avoir un retour sur des équipes internes de sécurité de l’entreprise, enfin… s’il y en a hein.
Être responsable de la sécurité “informatique” c’est apprendre à faire ch**r tout le monde avec diplomatie.
Appelons ça “les événements” si l’expression te gène…
" />
Mais l’attaque de TV5 était bien un acte de guerre revendiqué comme tel.
Mais où est le smilie facepalm ?
On ne le dira jamais assez, les post-its de mots de passe se mettent sous le clavier.
acte de guerre, acte de terrorisme, acte de piraterie, acte de vandalisme, … A l’évidence c’est aussi et surtout un coup porté à un symbole de la francophonie donc à une culture, une langue, une influence de l’Etat français dans le Monde, …
On n’éteint pas la diffusion d’une dizaine de chaînes TV dans le Monde sans une arrière pensée malveillante.
“Firewalls récents”… Vu le niveau des mots de passe, ça doit être la dernière version d’OpenOffice 
" />
Mais est-ce que l’Etat peut prévoir ces attaques (parmi d’autres types d’attaques) ? A mon avis, pas vraiment. On peut fermer une porte à clé, elle s’ouvrira toujours à un moment ou à un autre. On ne peut que retarder une intrusion si l’intrus est vraiment motivé et organisé.
Merci pour cet article, juste assez long pour faire le point sur l’affaire.
Sinon j’attends avec impatience l’épilogue de cette histoire. Entre justification supplémentaire du PJL et mauvais diagnostic politique je crois que les victimes seront toujours les mêmes…
Puis nouvelle mésaventure pour la chaine de télévision. Hier, lors d’une interview vidéo dans les locaux de TV5Monde, on pouvait apercevoir des feuilles avec les identifiants et mots de passe de certains de ses comptes. Repéré par @Vinzniv et décortiqué par nos confrères d’Arrêt sur Images, on apprend que celui de YouTube était « lemotdepasseyoutube ».
c’est juste une vaste operation d’intox en fait?
nan parce que:
1- prevenu qu’au moins un de leurs serveurs est compromis et a sservis de support a une attaque 15 jours avant
2- choisir des mots de passe pourris
3- afficher les mots de passe a la vue de tout le monde
4- les laisser filmer ET passer a la TV en national a une heure de grande ecoute
c’est TV5 le terroriste dans l’histoire, parce que a ce niveau, ce n’est plus de l’incompetence, c’est de la volonté de nuire
Finalement Yves Bigot reconnait une “bourde” concernant les mots de passe en précisant que les mots de passe n’étaient pas affichés avant. Le passage concerné de l’actualité a été mis à jour avec cette nouvelle information 
" />
Si je me souviens bien, le coup du mot de passe en fond d’interview ça c’était déjà passé y’a 1 ou 2 ans, dans une école ou un lycée :) L’histoire se répète dans ce pays
Ça, je n’y crois pas une seule seconde.
un mot de passe pour les contrôler tous..
aie.. keepass & co ça fait mal
J’espère qu’ils ont changé lemotdepasseroot.
" />
Voici le nouveau : lemotdepasseadmin
" />
Un acte de guerre ? L’invasion de l’Irak, ça c’est un acte de guerre. Le piratage d’un SI troué (hypothèse la plus probable) est certes déplorable, mais ce n’est pas un acte de guerre.
Pour paraphraser Bluetouff, on attends toujours le décompte des victimes (hormis l’amour propre du DSI de la chaine)
Merci au monsieur de reconnaître la boude, merci quoi… Quelle bonté d’âme…
" />
Le sabotage d’un pont, sans victime mais pour empêcher le passage d’un convoi, est un acte de guerre. Empêcher la chaîne internationale du pays de diffuser 24h tout en diffusant de la propagande guerrière, dont les infos perso de proche de soldats sur ses réseaux sociaux également piratés, et tout en revendiquant l’attaque au nom d’un groupe armé ennemi, est un acte de guerre, et ce quelque soit la solidité du pont ou la sécurité interne de la chaîne.
Après évidemment mettre le bon mot sur la chose n’aide pas pour l’opposition au projet de loi. Les amateurs de pensée magique ont là leur excuse toute prête pour mettre la tête dans le sable. Être opposé au projet de loi n’empêche pourtant pas d’accepter la réalité de l’attaque.
Ho mais tu déclares la guerre à qui tu veux et pour n’importe quel prétexte de nos jours; il n’y a pas besoin de tenter une justification bancale.
Bon, par contre, laisser la porte grande ouverte, ….
Faut apprendre à la fermer.
“Et je crois qu’il nous faut vraiment faire en sorte de protéger au maximum l’exercice de la liberté d’expression” Quelle jolie phrase Fleur… presque de la poésie néoSTASI
Y’a pas un bouton like?Récupération?
TV5monde c’est une chaine de propagande française à l’échelle planétaire?
" />
Payée par les pigeontribuables?!
« on a un peu un paradoxe : en général on arrive à deviner et à comprendre qui c’est, même s’il est difficile d’avoir des preuves. Mais par un faisceau de présomption, on arrive à deviner la zone géographique ».
On arrive à rien , les rébonds , les prises de controle, les bots nets : c’est fait pour çà, remballez svp.
« le niveau et l’investissement que fait TV5Monde pour sa sécurité est important, très important. On peut toujours faire mieux, toujours faire plus, mais je ne suis pas certain que cela aurait arrêté nos malveillants »
J’ai bien une réponse pour vous cher monsieur mais elle risque de ne pas vous plaire et pourtant il n’y a pas des milliers de solutions …http://www.ledufakademy.fr/?p=392
Il faut que chacun sache que Internet n’a PAS ETE CONÇU pour être sécurisé. Les têtus sont parfois fatigants.
“Quel est le but des pirates dans ce genre d’attaque ?”
Non, mauvaise question : a qui profite le crime et qui finance : le reste compte peu, à part pour noyer le poisson ou le pigeon.
“… il s’agit, pour les attaquants, d’une méthode de propagande »
Ah bon , et ces chaines ne font pas de là propagande d’état en continue ?
L’arroseur arrosé sur ce coup. Stop aux mensonges. Y’en a juste marre. (je ne regardes plus la TV, heureusement pour moi)
Rappels pour les amnésiques :http://www.gouvernement.fr/kit-repas-famille
« On sait que techniquement rentrer dans ces réseaux, non pas pour rester très discret, mais au contraire pour détruire des choses, voire provoquer des accidents, c’est la crainte majeure, prioritaire, que l’on prend en France et également chez nos alliés […] On est dans une guerre de l’information »
Cela fait plus de trois ans que la troisième guerre mondiale a commencé sur les réseaux : ce monsieur se réveille maintenant ou quoi ? Il a pas l’impression que leur-notre gentil allié USA/OTAN est en train de nous précipiter dedans à grande brasse … coulée ?
Cela s’appelle une “liquidation” et ce n’est pas nouveau il y a même eu des films la dessus … (films US bien sure)
“Si les pirates n’ont pas diffusé de message de propagande à l’antenne cette fois-ci, rien n’exclut que cela puisse arriver par la suite.” … ça changera donc ?
Revoyez 1984 , c’est juste amusant.
Et dire qu’on ma toujours traité d’idéaliste … je comprends mieux pourquoi maintenant. Système de mensonges, de fourberies, d’usures permanent. L’inversion des valeurs ? C’EST MAINTENANT (… ça continue …)
“Le mot « terroriste » est lâché” , ah , ah et ah.
Parce que tu crois que maintenant ce sera autre chose ?
Mon petit Seb n’a tu pas compris que le terrorisme est une guerre avec un ennemi invisible, insaisissable , changeant (avant-hier Al-Qaïda, hier AQMI, aujourd’hui Daesh , demain … un autre ? : mais toujours avec une forte attache - le financement entre autre - avec la CIA, le Qatar, l’Arabie Saoudite etc …) et qu’en plus c’est une guerre sans fin, une guerre pour les vendeurs d’armes , d’assurances, de sécurité ?
Le terrorisme mondiale ce sont nos oligarques qui l’ont inventé ! (les exemples pullulent)
Il s’agit d’une chaine francophone. 3ème plus grand réseau mondial après MTV et CNN
Si c’est l’Elysée qui est piraté de la même façon, serait ce alors un acte de guerre ?
" />
La force impressionnante et diffuse du catholicisme dans la société française. Quoi qu’il arrive, on va toujours chercher très très fort la raison pour laquelle c’est de notre faute, pourquoi il faut se repentir etc.. Ce n’est pas être idéaliste.
Tu parles de 1984 mais réalistes-tu que le contrôle social est infiniment plus puissant et violent dans les dictatures théocratiques ? Que la liberté de penser n’y existe même pas en théorie ? Que le but même de la religion organisée est le contrôle social sans contestation idéologique ?
À qui profite le crime ? Ton poste en est la parfaite illustration : justification de propagande guerrière ennemie, explication que c’est de la faute de la victime et que de toute manière on ne peut rien y faire, et qu’il faut surtout ne rien y faire. Note que c’est même désormais le discourt dominant.
la croyance républicaine est aussi prégnante que la croyance religieuse dans une société aux institutions laïques (si ce n’est plus).
L’OTAN est l’expression guerrière d’une diplomatie occidentale qui se cherche et qui s’abandonne à une illusion d’ordre républicain pérennisé et défendu par la force militaire unifiée face aux ennemis supposés de la Démocratie.
Il n’y a pas de croyance républicaine, éventuellement un idéal politique républicain. Chacun se construit et fait évoluer un idéal politique par la raison à partir d’observations, contrairement à la croyance religieuse qui “tombe du ciel” à travers des textes sacrés immuables.
L’OTAN n’a rien a voir avec “une illusion d’ordre républicain pérennisé”, c’est une alliance qui défend les intérêts occidentaux et surtout américains. Note qu’ici nos “ennemis” ne sont pas “supposés” : c’est eux même qui se désignent et se revendiquent comme tel, et agissent en conséquence.
En relisant la conversation, ma réponse me semble tout à fait pertinente.
C’est assez incroyable mais il justifie bel et bien la propagande guerrière de Daesh par le fait que le gouvernement défend ses projets de loi et que la presse française soutient plutôt les forces occidentales face à une barbarie revendiquée.
J’ai volontairement évité de répondre aux insinuations grotesques de complot occidental. Il suffit de constater que Daesh oblige les occidentaux à se rapprocher de l’Iran et même d’Assad, qu’ils voulaient bombarder il y a quelques mois, renforçant grandement la position de la Russie. Sans le point de tension en Syrie il n’est même pas clair que la Russie aurait été aussi loin en Ukraine.
Un acte de guerre la terrible tragédie de TV5 qui ne diffuse pas 12 h et ne tweete pas non plus, c’est n’importe quoi.
Une pensée pour les civils des pays vraiment en guerre : Irak, Syrie où les attentats et les centaines de morts civiles sont quotidiens et tout les autres pays qui ne me viennent pas à l’esprit !