L'enquête n'est pas encore terminée, et l'Anssi ne s'est pas prononcée, mais tous les observateurs s'accordent à affirmer que les pseudo cyber-djihadistes qui se sont attaqués à TV5 ne sont probablement pas aussi doués que l'on avait pu le croire.
Voilà une semaine que les chaines de TV5 Monde sont tombées, et les sites et comptes sociaux ont été détournés, à la suite d'une attaque coordonnée faisant apologie de l’État Islamique (Daesh). Une semaine également pour que, sans avoir officiellement pu accéder aux sources du mal, les experts se sont exprimés pour expliquer et qualifier l'attaque.
Que sait-on réellement ?
Pas grand-chose en réalité, soit part méconnaissance, soit que l'enquête est en cours et que les protagonistes ne se sont pas exprimés. Deux choses semblent acquises, cependant :
1 - Jean-Pierre Verines, le directeur informatique de TV5, a confirmé aux Echos que quinze jours avant la chute du réseau, il avait reçu un avertissement de l'Anssi (Agence nationale de la sécurité des systèmes d’information) sur l’utilisation frauduleuse d’un de ses serveurs non protégé.
2 – La vulnérabilité humaine serait à l'origine du processus d'attaque. Par exemple, le mot de passe de la chaine Youtube était lisible sur un post-it placé sur la paroi derrière un journaliste interviewé !
Voilà tout pour le moment, le reste n'est que conjecture, c'est pourquoi avant d'aller plus loin nous appelons à la prudence, ce qui suit n'est que vision d'experts et demande à être confirmé.
Une piste en recherche de crédibilité
Le blog canadien breaking3zero.com a mené une enquête fort documentée, qui l'a mené à la conclusion que les pirates seraient deux, de nationalité algérienne, basés l'un en Algérie et l’autre en Irak. La technique d'attaque reposerait sur le script VBS chiffré pour pénétrer le système en y déposant un cheval de Troie.
Problème, beaucoup d'experts ont relevé des incohérences dans la démonstration, qui seraient la preuve que les auteurs de l'étude seraient des pseudo-experts, dont le talent serait de faire du copier-coller d'autres expertises, mais avec une faible maitrise du langage sécuritaire. De plus, les scripts VBS tourneraient sur Windows XP, mais pas sur des versions plus récentes de Windows. Donc le doute demeure.
Des scripts aux dommages collatéraux
Un point sur lequel s'entendent la plupart des experts qui se sont exprimés, c'est sur l'usage probable par les pirates de kits de piratage clé en main. Un simple mail ciblé, avec un lien à suivre ou un fichier vérolé à ouvrir, aurait suffi pour ouvrir une brèche et déposer un Trojan (cheval de Troie) sur un poste de travail. Le script pirate, du type des scripts kiddies (le kit acquis), aurait ensuite agi automatiquement.
De même, les pirates n'auraient cherché qu'à s'emparer de données, en particulier d'identifiants sur les réseaux sociaux. Comme le démontreraient les attaques coordonnées sur ces mêmes réseaux sociaux, fruit d'une prouesse plus tactique que technologique. Dans ces conditions, la paralysie des chaines de TV5 Monde ne serait qu'un dommage collatéral.
Des pirates bas de gamme
Pirater un site ou pirater un réseau de diffusion TV sont deux choses différentes, le second nécessite d'autres compétences que le premier. Or, et c'est également un consensus chez les experts, l'attaque sur TV5 serait d'un niveau technique faible, ne nécessitant que de savoir lancer le kit précédemment cité et paramètrer l'accès au serveur. Leur seul talent ne résiderait donc que dans leur capacité à coordonner les attaques sur différents médias, mais certainement pas dans la sophistication et la maitrise des technologies de hacking.
Ce qui tend à renforcer cette hypothèse, c'est que l'attaque contre TV5 se révèlerait proche de celles qui ont précédé sur d'autres médias, en particulier le site du journal Le Monde.
Tout le monde est d'accord sur faille humaine
Les suites de l'enquête nous en diront plus sur cette affaire, et viendront confirmer ou infirmer les hypothèses émises par les experts en sécurité. Sauf sur un point qui ne sera pas sujet à discussion : le maillon faible, c'est l'humain. Il faut continuer à sensibiliser les utilisateurs, leur rappeler qu'une pièce jointe douteuse sur un mail douteux est une menace, et les inciter à repérer les signaux faibles.