La chaîne a dû interrompre sa diffusion des programmes pendant plusieurs heures. Crédits photo : Christophe Ena/AP
L’intrusion a débuté dès le mois de janvier, à cause d’un mail vérolé envoyé à tous les employés de la chaîne de télévision.
La cyberattaque djihadiste dont a été victime TV5Monde
a été enclenchée dès fin janvier, par l’envoi de mails aux journalistes
de la chaîne internationale francophone. Dans la nuit du 8 au 9 avril,
des pirates se revendiquant de l’organisation de l’Etat islamique ont
pris le contrôle des comptes Facebook et Twitter et du site de TV5Monde,
en y affichant des messages de propagande djihadiste, puis bloqué tout
son système informatique. La chaîne a dû interrompre sa diffusion
plusieurs heures.
Une faille humaine
L’attaque avait néanmoins commencé bien plus tôt, avec un mail envoyé fin janvier à l’ensemble des journalistes de la chaîne, selon la technique classique du «phishing»
(«hameçonnage» en français). Cette dernière consiste en l’envoi d’un
mail vérolé à un employé de l’entreprise visée. Le destinataire est
invité à télécharger une pièce jointe ou à cliquer sur un lien,
provoquant l’installation d’un logiciel malveillant. Trois employés de
TV5Monde ont répondu au mail vérolé, permettant aux hackers de pénétrer
dans le système de la chaîne par des logiciels de type «Cheval de
Troie». Trois semaines avant l’attaque, en mars, la deuxième phase de
l’offensive était lancée, avec la contamination de plusieurs ordinateurs
de TV5Monde par un virus. Puis le 9 avril, l’offensive proprement dite a
débuté, avec l’attaque des serveurs. Pendant plusieurs heures, les
serveurs sont attaqués, puis les réseaux sociaux.
«Cette attaque est à la fois simple dans son déclenchement», avec la
technique du phishing qui a permis «de faire pénétrer le ver dans le
fruit», et «très sophistiquée dans son déroulé avec un logiciel
compliqué», a expliqué une source proche du dossier. Ce qui a permis son
déclenchement, c’est «comme toujours, une faille humaine au début». Il
n’est en l’état des investigations pas permis de déterminer l’origine
géographique de l’attaque, ni le nombre de hackers ayant permis de
l’organiser, selon une autre source proche du dossier. Selon le
Secrétariat général de la défense et de la sécurité nationale (SGDSN) et
l’Agence nationale des systèmes de sécurité des systèmes
d’informations, cette attaque «sans précédent» a été préparée de longue date et de façon minutieuse.
Quelques jours après l’attaque informatique qui a interrompu les
programmes de la chaîne française TV5 Monde, les enquêteurs commencent à
avoir une idée plus précise du degré de sophistication de l’attaque.
Les assaillants avaient pris soin de repérer le terrain : cela
faisait plusieurs semaines qu’ils étaient présents dans le réseau de la
chaîne, selon une source proche de l’enquête. Un laps de temps mis à
profit pour repérer, parmi les milliers d’ordinateurs du réseau de la
chaîne, les équipements indispensables à la diffusion, qu’ils sont
parvenus, dans la nuit du mercredi 8 au jeudi 9 avril, à mettre
hors-ligne.
Les enquêteurs sont aujourd’hui convaincus d’être face à un groupe de
pirates de bon niveau, peut-être d’une dizaine de personnes. Une
information confirmée après la découverte des dégâts causés par les
pirates : certains serveurs étaient toujours impossible à démarrer
plusieurs jours après l’attaque.
Par ailleurs, la connaissance du fonctionnement de matériels
informatiques très spécifiques à la télévision laisse peu de doute quant
à la détermination et au niveau technique des pirates. Rien à voir,
donc, avec la vague d’attaques de faible niveau technique qui avait
touché de nombreuses petites communes peu après les attentats de la
rédaction de Charlie Hebdo et de la porte de Vincennes.
« Un réseau bien géré mais fragile »
La question du niveau de protection offert par le réseau informatique
de la chaîne a été posée dès le lendemain de l’attaque. Selon les
enquêteurs, ce dernier, loin d’être impénétrable, offrait une protection
qui ne dépareillait pas pour une entreprise. « Le réseau de TV5
Monde était bien géré, par des gens sérieux, mais était fragile : une
fois qu’on est rentré, il n’y avait pas de portes étanches », confie cette même source.
Enfin, le lien entre les assaillants et l’Etat islamique est
considéré, à ce stade, avec beaucoup de circonspection par les
enquêteurs. Le « cyber caliphat », dont se sont réclamés les pirates à
l’origine de l’attaque contre TV5 Monde, semble davantage être une
mouvance qu’un groupe fixe.
Treize agents de l’Agence nationale de la sécurité des systèmes
d’information (Anssi) ont été dépêchés dans les locaux de la chaîne dès
jeudi. Après avoir préservé les traces laissées par les pirates, le
temps est désormais à l’analyse car ils craignent que d’autres médias
soient menacés par des attaques similaires.
L’agence va donc communiquer
aux équipes techniques des médias le résultat de leur enquête afin de
prévenir de futures attaques.
Pour l’ancien responsable de la lutte contre la
cybercriminalité, Christian Aghroum, « la question n’est pas de savoir
si cela va se reproduire mais quand… ».
Essayer de décortiquer l’attaque. Exploiter les messages diffusés… »
Loin des spéculations qui pullulent sur le Net, les geeks de la police
judiciaire, l’OCLCTIC (Office central de lutte contre la criminalité
liée aux technologies de l’information et de la communication,
sous-direction antiterroriste) et les spécialistes de la Direction
générale du renseignement intérieur (DGSI) ont démarré leur enquête sur
le cyberpiratage qui a plongé dans le noir l’antenne de TV5Monde dans la
nuit de mercredi à jeudi.
Un groupe se réclamant de Daech a piraté la chaîne vers 22 heures. Un
bandeau noir barré de la mention « Je suis ISIS » – accronyme anglais
de Daech – est apparu sur les réseaux sociaux. L’attaque informatique a
obligé les dirigeants de la chaîne à couper leurs serveurs.
Une enquête a été ouverte jeudi par le parquet de Paris pour « accès,
maintien frauduleux et entrave au fonctionnement d’un système de
traitement automatique de données », ainsi que pour « association de
malfaiteurs en relation avec une entreprise terroriste ». Sur ce dernier
point, plusieurs sources judiciaires se montraient prudentes – « On ne
sait pas trop à qui on a affaire… » –, relativisant ainsi les premières
déclarations du ministre de l’Intérieur ciblant des « terroristes
déterminés ».
« Il existera toujours une microfaille »
«Il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer»
« L’enquête déterminera qui se cache derrière cette attaque mais pour
moi, c’est clairement du cyberterrorisme. » Consultant en cybersécurité
basé aujourd’hui en Suisse et ancien patron de l’OCLCTIC, Christian
Aghroum voit dans l’attaque de TV5 « la preuve qu’une organisation de
hackers agissant dans le cadre ou se réclamant d’une nébuleuse
terroriste est capable d’empêcher une chaîne de télévision de diffuser
ses programmes en s’assurant un retentissement médiatique immédiat. »
Une attaque qui ne l’a pas surpris, au contraire. « Je suis même surpris
qu’on soit surpris. Cela peut arriver à tout le monde. Même si l’on est
extrêmement bien protégé, il existera toujours une microfaille dans
laquelle des hackers vont tenter de s’infiltrer. Cette attaque marque
une évolution en France : c’est la première attaque frontale sur une
cible aussi exposée avec une médiatisation quasi automatique. Mais la
réaction des pouvoirs publics a été satisfaisante. C’est la preuve que
l’on a su s’armer et répondre présent. »
On sait désormais que la chaîne TV5 avait été prévenue quinze jours
avant l’attaque par l’Anssi (Agence nationale de sécurité des systèmes
d’information) qu’un de ses serveurs informatiques n’était pas
suffisamment sécurisé et qu’il risquait d’être utilisé de manière
frauduleuse. « Une attaque peut commencer par l’ouverture d’un simple
mail infecté par un employé, confirme Christian Aghroum. Ça ne suffit
pas mais cela peut être utile pour préparer la véritable attaque. Parce
qu’une attaque de cette ampleur se prépare un minimum. Avant l’acte
finale, mercredi soir, le clic de souris, il faut choisir la cible et
trouver la faille. On peut penser qu’ils ont visé plusieurs médias avant
de porter leur choix sur TV5 parce qu’ils ont su identifier une ou
plusieurs failles. »
« Je prends la main mais en plus je parle à leur place »
«A TV5, les hackers ont voulu s’assurer le résultat le plus optimal»
Selon les premiers éléments de l’enquête, il semble que l’attaque décisive de mercredi soir
se soit jouée en deux temps. Le premier visant la direction de la
production de la chaîne. Le second atteignant la direction des réseaux
sociaux. Un scénario cohérent, selon le consultant : « Je prendrai
l’exemple d’un coup d’État. Les putschistes vont s’emparer des studios
de radio et de télévision mais aussi des émetteurs de transmission. A
TV5, les hackers ont voulu s’assurer le résultat le plus optimal. Un, en
bloquant les canaux de production et de diffusion. Deux, en bloquant
les réseaux sociaux pour empêcher la chaîne de communiquer, de
s’expliquer. En résumé : non seulement je prends la main mais en plus je
parle à leur place! »
Quel enseignement faut-il tirer de cet épisode de cybercriminalité à
la mode djihadiste? « C’est l’occasion pour les entreprises de
communication mais aussi pour tout un chacun de monter d’un cran l’outil
de protection. Parce que la question n’est pas de savoir si cela va se
reproduire mais quand… »
Dans la soirée de mercredi à jeudi, la chaine TV5 Monde a été victime d’une cyber attaque sans précédent. Au delà de son site web et de ses relais sur les réseaux sociaux, c’est la diffusion des programmes qui a été visée.
Ainsi, hier, pour la première fois, des hackers ont réussi à
contraindre une chaîne a interrompre sa diffusion. En exclusivité, Breaking3zero vous révèle comment, qui et pourquoi.
ALERTE
Il est 21h50 à Paris lorsqu’une des abonnées du fil Twitter de Breaking3zero nous informe d’un problème avec le compte Twitter de TV5 Enseigner.
Le fil présente tous les signes d’un piratage. Sa page a été
“défacée” et le logo de la chaine est remplacé par celui du
“cybercaliphate”.
Ses derniers tweets sont désormais un robinet de propagande pro-islamiste.
Contre les États-Unis et son allié la France. Le Président de
République François Hollande est nommé et l’on recommande aux familles
de soldats français de les convaincre de quitter leurs rangs.
Certains tweets – que nous reproduirons pas ici – sont des copies de
cartes d’identité et de passeports français. Ils sont présentés comme
ceux de militaires français combattants contre l’État islamique. Des
futures cibles.
Sur le net, Daech nous a habitué à ce genre de publication choc.
Normalement, c’est l’armée américaine qui est visée et, comme nous l’avons démontré ici avant que le Pentagone ne le confirme, les informations publiées sont souvent périmées et proviennent de sources publiques.
Il est maintenant un peu plus de 22 heures et un à un les relais sociaux de TV5 tombent sous le contrôle des pirates : Twitter, Facebook, Youtube puis le site web.
A première vue l’opération rappelle deux autres.
Celle contre le Centcom dont les sites sociaux avaient été piratés
pendant une trentaine de minutes le 12 janvier 2015 et puis celle, plus
massive, contre 19 000 sites français au lendemain de l’attaque contre
Charlie Hebdo.
A cette occasion, Breaking3zero avait mené l’enquête
dans les réseaux du cyber jihadisme et retrouvé le groupe en charge de
l’attaque. Qui nous avait alors révélé son intention de s’attaquer
prochainement aux médias français.
Tandis que la présence de TV5 sur le net était remplacée par de la
propagande du cybercaliphate, tandis qu’un écran noir remplaçait les
programmes des différentes chaînes du groupe, nous avions notre point de
départ.
PREMIERS SUSPECTS
“Nous continuerons à attaquer la France. Ces attaques dureront tant
que celle-ci continuera a discriminer les musulmans, et tant qu’elle
poursuivra ses guerres à l’étranger.
Notre prochaine cible sera les médias français qui jusqu’à
aujourd’hui nous ont sous-estimés. Vous verrez vite quels journaux
seront touchés, et avec quelle ampleur. Ce sera une surprise.”
Focus est le chef du groupe Fellagas, des pirates tunisiens
responsables de ce que le vice-amiral Arnaud Coustillère, en charge de
la cyber-défense au Ministère de la Défense avait désigné comme « la
plus grande attaque informatique qu’un pays ait jamais affrontée ».
Lorsque nous l’avions interrogé en février dernier, Focus nous avait
clairement annoncé son intention et celle de son groupe de poursuivre
ses attaques contre la France. Et plus particulièrement contre ses
médias.
Si le defacing – modification de la page d’accueil d’un site – est
une des spécialités du groupe, le contrôle d’un compte twitter et du
système de diffusion des programmes d’un réseau de télévision en est une
autre.
Non pas que les Fellagas n’en seraient pas capables mais parce que cela ne correspond pas à leur mode opératoire.
Ni la signature d’ailleurs. Des couleurs utilisées à l’identité
affichée sur les sites piratés, tout indiquait qu’il s’agissait d’un autre groupe de pirates.
Pour les identifier, il nous a fallu partir sur leurs traces virtuelles jusqu’au coeur des sites piratés.
MODUS OPERANDI
Le piratage de TV5 a été effectué via une faille Java.
Une faille sur un ordinateur particulier : celui de l’administrateur
des réseaux sociaux de la chaîne ou bien un directement connecté à la
régie.
Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous
une fausse identité google, le virus crypté était programmé pour se
lancer au bout de cinq minutes d’usage du PC.
Son nom ? isis…
Isis est un ver qui, une fois introduit dans le réseau de TV5, a continué a croître jusqu’à atteindre sa cible : le serveur de transmission.
Mais avant d’en arriver là, il faut expliquer comment ce redoutable virus a été introduit sur l’ordinateur fautif.
Pas pour rendre public un secret de hacker mais parce que cela concerne un outil utilisé de plus en plus dans les rédactions.
Une des manières les plus anciennes est l’envoi d’un faux courrier
électronique ressemblant à un officiel de la chaine. L’utilisateur
clique et sans le savoir installe sur son PC un script.
Un programme qui permet au pirate de prendre le contrôle de son ordinateur, sa webcam et…ses mots de passe.
Le quotidien Le Monde a failli être victime de ce genre d’attaque en janvier dernier.
Une autre manière de procéder est l’envoi d’un communiqué de presse
ou d’un document électronique. Là aussi, sur le document se cache un
script html qui va ensuite prendre le contrôle du pc de l’utilisateur.
La troisième est celle qui nous semble la plus probable.
Elle consiste pour un pirate à s’emparer de l’identité I.P. d’un utilisateur via Skype.
La manoeuvre est déconcertante de simplicité et de rapidité. Une de
nos sources l’a effectué devant nous, sur un de nos ordinateurs afin de
l’illustrer.
Les journalistes de TV5 comme beaucoup d’autres médias utilisent
Skype. Y compris dans leurs communications avec certains jihadistes.
C’est vraisemblablement lors d’une de ses sessions – récente- que
l’adresse IP a été dérobée et avec elle, l’identité du réseau de la
chaîne.
Retour au virus maintenant.
Nous sommes moins de 30 minutes après son lancement.
Tandis que d’autres virus sont installés sur le réseau – nos sources
en ont identifié trois autres dont un sous la forme d’un script html
installé directement sur la page web de TV5, et qui, avant sa
destruction par les techniciens de la chaîne, menaçait tout visiteur du
site – isis a fait son chemin jusqu’au serveur de transmission.
Là où le signal des programmes est converti d’analogique en numérique avant d’être envoyé au satellite de diffusion.
Cette centrale de dispatching est le coeur de TV5.
C’est de là que ses programmes partent vers le monde entier. C’est la cible de l’opération.
Mais avant d’en dévoiler le but, il faut revenir sur les auteurs de l’attaque.
Une attaque complexe, pensée et préparée pendant des mois.
LES PIRATES
Sans surprise, les pirates se sont cachés derrière un VPN mais malgré toutes leurs précautions, n’ont pas réussi a camoufler toutes leurs traces.
Pour les identifier, nos sources ont dû isoler le virus isis puis le
craquer afin de trouver l’identité de son concepteur, sa provenance et
l’identité de son ou ses diffuseurs.
Deux programmes ont été utilisés pour créer le virus : JRAT MAC et WINRAT.
Le virus est bien évidemment crypté mais une fois sa protection cassée, il révèle, comme nous le pensions, ses secrets.
Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflage afin d’échapper aux anti-virus de la chaîne, sa programmation…
Plus amusant, nous apprenons aussi aussi qu’il a été conçu et propagé par un PC sous Windows 7.
Enfin, isis cache en son sein l’identité de son concepteur et son pseudonyme de hacker.
Son nom NAJAF.
Son pseudo ? JoHn.Dz
Dz comme la signature de tous les hackers algériens.
L’Algérie dont les couleurs du drapeau se retrouvent sur chaque page de TV5 piratée par le cybercaliphate.
L’Algérie jusqu’où notre source a réussi a retracer l’activité du pirate.
Mais NAJAF n’est pas seul.
En suivant le parcours de la propagation du virus, nous avons découvert qu’un second pc a aidé l’Algérien dans son opération.
Cet ordinateur appartient à un dénommé Khattab.
Khattab est en Irak et combat avec Daech.
Nous avons réussi également a remonter jusqu’à son compte Twitter.
Un compte qui sert uniquement à relayer les opérations de EI. Ainsi
alors que l’opération contre TV5 débutait à peine, Khattab en tweetait
déjà les détails….
POURQUOI ?
Pourquoi deux hackers directement liés à ISIS se sont-ils attaqués à TV5 ?
Au delà de l’opération de communication et du côté spectaculaire de la chose, il y a une raison politique.
Depuis l’affaire Charlie Hebdo, TV5 est devenue une cible des islamistes, mécontents de sa couverture des événements de Paris.
Une couverture d’autant plus décriée que TV5 est présente au Moyen-Orient et en Afrique.
Tout comme France 24 d’ailleurs, qui, selon nous sources, fait elle aussi partie des cibles de certains cyberjihadistes.
Mais ce n’est pas tout.
Le virus isis avait une mission très précise : s’emparer du serveur de transmission et en offrir l’accès aux pirates.
En clair, le but de l’opération était de prendre le contrôle de l’antenne de TV5.
Et d’utiliser cette immense vitrine pour diffuser un film de propagande de l’État islamique.
Pas qu’à Paris mais dans les 257 millions de foyers répartis dans plus de 200 pays et territoires.
Hier soir, les hackers de Daech ont tenté de pirater le deuxième plus grand réseau mondial de télévision pour une opération de propagande à l’envergure inédite.
La rapidité et l’efficacité des services techniques de TV5 a empêché le pire.
Mais l’attaque a aussi démontré la vulnérabilité de certaines infrastructures françaises.
Dans la nuit de mercredi à jeudi, TV5 Monde, le deuxième plus grand réseau de télévision de la planète était hacké par un groupe de pirates affichant les signatures du cybercaliphate.
Un groupe islamiste qui, s’il n’est pas officiellement rattaché à Daech, se réclame de sa mouvance à chacune de ses attaques.
Depuis janvier, il a visé avec succès les comptes des médias sociaux
du centre de commandement de l’État major Américain (Centcom), le feed
Twitter de Newsweek, des bases de données fédérales aux États-unis, une
chaîne de télévision au Maryland ou encore le site d’un quotidien du
Nouveau-Mexique.
AVANT TV5, DES MAIRIES
L’attaque a débuté vers 21h45. Quelques minutes plus tard, informé par une abonnée à notre compte Twitter, Breaking3zero constatait l’ampleur de l’opération.
Un à un, les feeds Twitter de chaque chaîne de TV5 tombaient sous le contrôle des pirates.
La bannière du groupe y était installée et le fil proposait des
messages de propagande pro État islamique.Des photos de passeports
présentés comme ceux de militaires français étaient postés.
Des documents qui semblent ne pas avoir de rapport avec le Ministère
de la Défense, mais plutôt avec des vols de données effectués sur des
serveurs de différentes municipalités françaises.
Ainsi, l’attaque d’hier s’est accompagné d’un “dump” de plus de 300 documents volés par
le cybercaliphate il y a quelques jours dans les systèmes informatiques
de mairies françaises (un des documents porte un tampon du 20 mars
2015).
Parmi elles Dax, Fresnes sur Escaut, Fontainebleau, Sèvres, Bayonne, Oullins, Valenciennes…
La collection de documents est éclectique. Des cv, des devis, des
lettres d’avocats, des demandes de subventions, des photos personnelles
et même des relevés d’identités bancaires.
RAPIDITÉ
Après Twitter, les pirates ont obtenu le contrôle des comptes
Facebook puis Youtube de TV5 afin de s’emparer du site web du diffuseur.
Mais le plus spectaculaire et – le plus inquiétant- restait à venir.
Quelques minutes plus tard, la chaîne n’était plus en mesure d’émettre
vers les 260 millions de foyers qui la reçoivent.
Une attaque sans précédent.
Hier matin, tout juste quelques après l’attaque, tandis que les programmes de TV5 n’étaient toujours pas rétablis, Breaking3zero vous a livré des premiers éléments de réponse.
Notre rapidité a étonné certains experts.
Au delà d’avoir été prévenu avant 22 heures de l’attaque en cours, nous sortions d’une longue enquête sur… les cyberpirates qui avaient attaqué la France au lendemain des attentats de Charlie Hebdo et Hyper Cacher. 19 000 sites atteints, des bases de données pillées…
Nous étions donc en terrain connu.
Nos conclusions se basent sur deux éléments : notre investigation et
le travail de notre source dont nous avons suivi pas à pas, clic à clic,
la progression dans sa chasse aux pirates de TV5.
CONFIRMATIONS
Aujourd’hui non seulement nous les maintenons mais constatons
qu’elles sont confirmées par le ministre de l’Intérieur et deux cadres
essentiels à la présence informatique de TV5.
Ainsi, dès hier matin, nous avions annoncé qu’il s’agissait d’une
cyber attaque accomplie par des pirates se réclamant du groupe islamiste
Daech. Et non les exploits de pirates amateurs ni d’adolescents
farceurs habitués à s’attaquer aux plateformes de jeux vidéo en ligne.
Hier soir, Bernard Cazeneuve déclarait que « beaucoup d’éléments
convergent pour que la présomption d’un acte terroriste soit bien la
cause de cette attaque »
Second point crucial, dans notre article d’hier, nous affirmions que
la cible de l’attaque était le serveur de transmission de TV5 Monde (la
centrale de dispatching dans le jargon du diffuseur).
Si certains experts en doutaient, mettant en avant un prétendu niveau
de sophistication trop élevé, hier après-midi, sur iTélé, Hélène
Zemmour, directrice que numérique sur TV5 confirmait que c’était bien le
“serveur de transmission qui avait été attaqué”.
Enfin – et c’est un élément essentiel – hier, Breaking3zero révélait
que TV5 avait été victime d’une attaque complexe dans sa préparation,
pensée et préparée pendant des semaines voire des mois. Nous affirmions
que le virus introduit dans le serveur du diffuseur avait permis aux
pirates d’interrompre la diffusion des programmes.
Une conclusion qui, si elle n’était pas partagée par le quotidien Le Monde (“La
chaîne a du interrompre ses programmes et rendre son site
internet inaccessible pour barrer la route aux pirates”) a été confirmé
hier par Jean-Pierre Vérines, directeur des systèmes d’informations de
TV5.
Ainsi, dans un article publié par le site Arrêt sur images, il
déclarait : “Les pirates ont coupé les deux services qui gèrent la
diffusion. Deux machines parmi 1500. Ils savaient exactement ce qu’ils
faisaient.” Pour Vérines, l’homme au coeur du système informatique de
TV5Monde, “les pirates ont observé pendant plusieurs jours voire
semaines le fonctionnement du réseau «
Trois points essentiels mis en avant par notre enquête.
Qui partait, rappelons le, du serveur de TV5, pour suivre la trace des pirates responsables de l’attaque.
A ce sujet, nous le révélions hier, nous avons localisé l’un d’eux en Irak, où il combat avec Daech.
Dans la nuit de mercredi à jeudi, à mesure que l’attaque contre TV5 progressait, “Khattab”,
– c’est son pseudo – postait sur son compte Twitter -suivi par d’autres
membres de Daech- les documents de revendications du cybercaliphate.
A présent, ce compte n’existe plus. Fermé par l’utilisateur ou supprimé par Twitter.
PILLAGE D’EMAILS
Aujourd’hui, alors qu’il est établi que TV5 a subi une attaque de
cyber terrorisme visant la prise de contrôle du serveur de diffusion de
la chaîne, seul le diffuseur peut éclaircir quelques questions
essentielles.
Comme celle, par exemple, de la connaissance de l’architecture de
leur réseau par les hackers du cybercaliphate. Un réseau récent et
“ultra protégé” selon Hélène Zemmour.
Au delà de “l’observation” évoquée par Vérinès, il faudra élucider comment
les pirates ont obtenu les informations leur ayant permis d’atteindre
en moins de 30 minutes le coeur névralgique de la chaîne.
Il y a un autre point qui nécessite une réponse. Plus rapide celle là.
Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.
Non, les pirates ont aussi systématiquement pillé la base de données du site.
En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).
Dans le cas de TV5 Monde, cela voudrait dire que les pirates auraient pu récupérer les adresses électroniques de l’ensemble des journalistes et autres employés de la chaîne.
Mais aussi probablement celles d’abonnés aux services offerts par TV5 sur le web.
Bien entendu, tout cela n’est qu’une supposition, basée sur le mode opératoire des pirates.
Mais si elle est avérée, cela signifie que les pirates du
cybercaliphate auraient la possibilité d’accéder aux comptes emails de
milliers de personnes. Et de les utiliser ensuite pour prendre le
contrôle de leurs ordinateurs. Ou de pénétrer à nouveau un réseau.
De notre côté, nous avons sollicité TV5Monde afin de savoir si les
pirates de l’attaque de mercredi soir se sont aussi emparés de leur base
de données. Nous n’avons pas eu de réponse.
Hier, Breaking3zero revenait sur le mode opératoire habituel des cyber jihadistes qui ont attaqués TV5 Monde dans la nuit de mercredi à jeudi :
Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.
Non, les pirates ont aussi systématiquement pillé la base de données du site.
En clair, ils ont récupéré l’ensemble des adresses électroniques et
des mots de passe qui y figuraient (certes ces mots de passe sont
cryptés mais casser cette protection est très aisé).
SECOND VIRUS
Ce qui était une supposition hier, prend un nouveau sens aujourd’hui.
Selon une de nos sources, au delà de l’attaque contre le serveur de transmission de programme, les pirates avaient bien installé un second virus sur les serveurs de TV5 Monde.
Un virus permettant de récupérer les éléments contenus dans la base de données.
De style web shell au format php, il permet aux pirates d’effectuer des commandes à distance.
Comme celle de la recherche des fichiers de mots de passe et plus généralement tout ce qui touche à l’activité du serveur.
Une information qui, si elle se confirme, donne un sens nouveau à une autre.
DESTRUCTION
Ainsi, depuis l’attaque, TV5 Monde ne dispose plus de messagerie gérant ses courriers électroniques. Elle a été détruite par les pirates, sans possibilité d’être rétablie.
Ce qui pourrait donc bien signifier que les cyber jihadistes ont eu
la possibilité de récupérer les adresses électroniques et les mots de
passe de l’ensemble des journalistes et des autres employés de la
chaîne.
Mais aussi probablement ceux des abonnés aux services offerts sur le web par TV5.
Si ce pillage a eu lieu, il est impossible d’en évaluer l’étendue.
De savoir par exemple s’il a touché le contenu des boites à lettres électroniques des journalistes.
Des emails qui, parfois, contiennent des informations confidentielles liées à la gestion des centaines de personnalités invitées sur les plateaux de la chaine.
Comme des adresses de domiciles et des numéros de téléphones. Qui
appartiennent aussi bien à un sénateur, un acteur, un écrivain ou un
ministre.
Vendredi matin, Breaking3zero a contacté TV5 afin de
savoir si les cyberpirates se sont aussi emparés de leur base de
données. Nous n’avons pas eu de réponse.
Dans la nuit de mercredi à jeudi, le groupe TV5 Monde était victime d’une cyber attaque unique en son genre.
En quelques minutes, la présence de la chaîne sur le net, de Facebook
à Twitter en passant par son site web, était éradiquée. Plus
spectaculaire et plus effrayant encore, les onze stations du diffuseur
étaient remplacées par un écran noir. Une interruption unique dans notre
histoire qui allait durer plus de 20 heures.
Quelques heures après l’attaque, Breaking3zero vous a proposé les premières révélations du mode opératoire des pirates, leurs origines et leurs motivations.
Si certaines de nos conclusions ont été alors mises en doute, elles ont été depuis confirmées.
Hier, nous vous révélions comment les cyber jihadistes se sont très certainement emparés des données confidentielles du serveur de messagerie électronique du groupe.
Aujourd’hui, documents à l’appui, Breaking3zero a souhaité
revenir sur l’histoire du virus qui a terrassé le deuxième diffuseur
mondial. Car en son sein reposent les indices nécéssaires à l’expression
de la vérité.
SOURCE
En janvier dernier, suite à l’attaque contre Charlie Hebdo et Hyper
Cacher, la France était victime d’un spectaculaire épisode de la cyber
guerre.
Plus de 19 000 sites étaient piratés, des bases de données pillées. Breaking3zero avait immédiatement débuté une longue et difficile enquête dans le milieu très secret du cyber jihadisme.
Au cours de ce travail, au delà de nos échanges avec les pirates
eux-mêmes, nous avons réussi à approcher différentes sources. Qui, dans
l’anonymat le plus complet, sont à la pointe du combat contre les
pirates pro-islamistes. Certains affichent une appartenance au mouvement
Anonymous, d’autres travaillent de manière indépendante.
Alors que l’attaque contre TV5 Monde était encore en cours, une de nos sources est partie à la traque des pirates.
Grâce à cette immersion, Breaking3zero a pu
expliquer très vite que, après prise de contrôle d’une machine via une
procédure de phishing, le serveur de transmission était la véritable
cible de l’opération.
Et qu’un virus avait été utilisé par les cyber jihadistes pour arriver à leur but.
Un virus qui était encore présent sur les serveurs de la chaîne lors
du passage de notre source, à la recherche d’éventuelles traces laissées
par les pirates.
ISIS
Sens de l’humour ou sens de la provocation, le virus utilisé par les pirates de TV5 se nomme isis. Comme le nom utilisé par les Américains pour désigner daech.
“isis” est un ver, un malware au format Visual Basic Script (.vbs)
qui, introduit dans un PC du réseau de TV5, a continué de croître
jusqu’à placer les pirates dans la position de contrôler le processus de
diffusion de la chaîne.
“isis” est une version modifiée de njRAT, un virus conçu en novembre 2012 et largement diffusé depuis juin 2013.
Selon Symantec, depuis sa création, sous une forme ou une autre, njRAT a infecté au moins 20 000 machines à travers le monde.
NjRAT – et donc isis – a des capacités étendues.
Il permet de prendre à distance le contrôle de la machine infectée et
là, par exemple, de récupérer des mots de passe (c’est ainsi que les
hackers ont réussi sans aucune difficulté à pirater les comptes Twitter,
Facebook et YouTube de TV5).
Les capacités de njRAT sont telles que, toujours selon Symantec, il est devenu le virus de prédilection des cybercriminels lorsqu’ils s’attaquent à des serveurs gouvernementaux.
PATERNITÉ
NjRAT est donc le virus de base qui a servi à la création de isis, celui qui a attaqué TV5.
À l’origine de njRAT, deux programmeurs : NjQ8 et security.najaf.
Deux pseudos que l’on retrouve dans le script du virus qui a infecté
TV5 et que nous publions dans son intégralité pour la première fois
aujourd’hui à la fin de cet article.
Derrière NjQ8 se cache un programmeur du Koweït. Security.najaf est, lui, Irakien.
Le virus qui a servi de base à celui qui a attaqué TV5 est donc né au Moyen-Orient.
Où il est très vite devenu l’arme de choix des cyber jihadistes.
Selon Symantec, au moins 80 % des utilisateurs de njRAT se trouvent en
Irak, Algérie, Arabie Saoudite, Libye, Palestine, Tunisie et Maroc.
Et sans surprise, sous des formes modifiées, njRAT est utilisé par
les pirates de l’État islamique. Ainsi un relevé des IP utilisées dans
de récentes attaques pointe vers l’Irak et le domaine
islamstate.no-ip.biz (comme démontré ici )
LOCALISATION
Pour résumer, l’attaque de TV5, orchestrée par des membres du cybercaliphate a été effectuée avec un virus nommé “isis”, conçu au Moyen-Orient, utilisé très majoritairement par des cyber jihadistes dont certains directement rattachés à daech.
Si cela crée un solide faisceau de suspicion, cela n’est pas suffisant pour établir une preuve.
Sur internet, et plus particulièrement dans l’univers de la cyber
criminalité, il est très aisé de camoufler son identité et de se faire
passer pour un autre.
Mais, comme nous l’avons publié dès le lendemain de l’attaque, nous
estimons qu’un PC installé en Algérie (d’où, selon nos informations,
semble aujourd’hui “émettre” security.najaf, l’un des pères du virus) et
un autre en Irak (son propriétaire Khettab, un soldat de daech a ainsi
“live-twitté” l’attaque contre TV5 avant de voir son compte supprimé)
ont participé à l’opération.
Participé, car ils ne sont pas à l’origine de l’attaque.
Afin de rester le moins de temps possible sur les serveurs de TV5 au
risque de se faire détecter, les pirates ont travaillé en équipe.
L’opération a vraisemblablement duré une quinzaine de minutes.
Les complices du hacker principal se sont retrouvés en charge de
pirater les comptes des réseaux sociaux et les sites web du diffuseur.
Pendant ce temps, le cyber jihadiste en chef partait à l’attaque du
centre névralgique de TV5 Monde : son serveur de transmission.
Aujourd’hui, Breakig3zero est en mesure de révéler d’où l’attaque contre TV5 a débuté et donc de dévoiler la localisation du hacker principal.
Dans le script du virus “isis”, figure une adresse DNS.
Pour simplifier, il s’agit de la passerelle empruntée par le pirate
pour attaquer sa victime. Une liaison qui peut mener à l’adresse IP de
l’ordinateur utilisé et donc de sa localisation.
Dans le script de “isis”, l’adresse DNS est la suivante : “isis2012.ddns.net”
Une de nos sources a pu remonter sa piste.
Derrière l’adresse DNS se trouve une adresse proxy localisée en
Roumanie. Pour faire simple, un proxy est un moyen utilisé pour
dissimuler la réelle localisation d’un utilisateur. Une garantie
d’anonymat. Ou presque
Derrière ce premier niveau de protection, un second étage d’anonymat via un nouveau proxy renvoyant en Asie.
Mais il n’y en a pas de troisième.
Derrière cette dernière barricade, la véritable adresse IP de l’ordinateur à l’origine de l’attaque contre TV5 Monde.
Sa localisation ? Établie avec précision à 55 kilomètres près, elle pointe vers une zone tribale d’Arabie Saoudite, a proximité de la frontière avec l’Irak.
“isis”, un ver basé sur un virus crée au Moyen Orient, utilisé par
des cyber jihadistes, a bel et bien été envoyé en mission destructrice
contre TV5 depuis une zone sensible de la guerre qui oppose la France à
l’État islamique.
Confirmant que le cadre de la cyber guerre est bien plus complexe et
vaste que l’on croit. Et où les rapports de force sont loin d’être
clairs.
COMPLEMENT EXCLUSIF : LE SCRIPT VBS DE ISIS, LE VIRUS QUI A ATTAQUÉ TV5
Aucun commentaire:
Enregistrer un commentaire