La cyber-attaque de la chaine TV5 Monde et de ses déclinaisons sur les réseaux sociaux est un pas de plus dans l'escalade du cyberterrorisme. Elle marquera certainement une date dans la guerre de l'ombre qui se livre actuellement sur Internet et dans la détérioration des libertés numériques.

Nous avons évoqué hier l'attaque cyber-terroriste dont a été victime TV5 Monde (lire « Blackout terroriste sur TV5 Monde »). Depuis, la presse française et mondiale s'est emparée de l'évènement, et les interventions des experts se sont multipliées pour confirmer notre vision.

Le retour des experts

Les experts en sécurité soulignent la capacité des cyber-terroristes à choisir leur cible, en particulier les médias, et à coordonner leurs actions. C'est ainsi que TV5 Monde a été frappé simultanément sur son infrastructure (serveurs), sur sa diffusion (TV) et sur les médias sociaux. L'attaque a eu lieu à une heure (locale) tardive, et a touché les serveurs, ce qui a ralenti sensiblement la réactivité de la chaine.

Luc Delpha, Directeur de l’offre Gestion des risques et sécurité de l’information de Provadys, souligne la présence, dans l'organisation de l'attaque dont a été victime TV5 Monde, d'éléments qui ont accentué l’effet de la crise : l'attaque du cœur de l’activité de l’entreprise (télévision), la mise hors service de serveurs (inaccessibilité à la messagerie) et l'impossibilité de travail, l'horaire tardif pour réunir rapidement la cellule de crise...

Il a également relevé des caractéristiques aggravantes des cyber-crises sur la gestion de la crise : « Les cyber-crises évoluent très rapidement : en quelques minutes les réseaux sociaux, les systèmes d’informations internes et les chaînes de télévisions ont été piratés. En matière de cyber-crise, la réactivité des dirigeants et des techniciens est un élément clé pour réduire l’impact sur l’entreprise en termes d’activité et d’image. »

Analyse de la réaction de TV5 Monde

Il est important de souligner la réactivité, même difficile, tant des équipes techniques que de la direction de la chaine TV. Ainsi que la transparence de la chaine dans sa communication. La montée en puissance, alerte et cellule de crise, est intervenue dans l’heure qui a suivi l'attaque, et les dirigeants ont pu se regrouper afin de mettre en place un plan d’action.

La communication de crise s'est mise en place dans les deux heures suivant l'attaque, le public a pu être informé par le biais d'un communiqué de presse de la part du DG Yves Bigot et de la Directrice du numérique Hélène Zemmour contactée par France TV Info. « Malgré l’absence d’information, les dirigeants ont compris l’importance de communiquer sur la situation en cours. »

La réponse technique a été moins facile à mettre en place, et des lacunes ont pu être constatées dans la gestion de la crise, moins sur la diffusion des programmes de la chaine, qui a cependant connu un black-out complet de 3 heures et dont la plupart des chaines sont longtemps restées indisponibles, que sur les réseaux sociaux. Le temps de récupération des comptes Facebook et Twitter a souffert de l’inaccessibilité à la messagerie, qui a compliqué la tâche pour entrer en contact avec les équipes de Twitter et Facebook afin de récupérer le contrôles des comptes. D'ailleurs le lendemain matin, le site internet était toujours indisponible !

Que ressort-il des visions d'experts ?

Les experts en sécurité soulignent l'évolution dans la maitrise des technologies par les hackers terroristes. C'est une chose que de s'attaquer à 19.000 sites non stratégiques et sans protection, s'en est une autre que de s'attaquer à une chaine de télévision disposant d'un SI moderne et protégé. Les sympathisants de l’État Islamiste sont nombreux et recèlent des compétences dangereuses !

« La menace islamique radicale, dont l’Etat Islamique semble le fer de lance fédérateur, se structure et bénéficie de soutiens et d’appuis importants lui permettant d’investir le monde technologique et scientifique, et de financer des programmes d’attaques cybernétiques multiformes (réseaux sociaux, réseaux internes aux entreprises, moyens de communication). Ils bénéficient probablement de relais au sein de nos sociétés pour opérer », souligne Daniel Ventre, titulaire de la chaire cyberdéfense et cybersécurité Saint-Cyr / Sogeti / Thales.

Il faut réagir

Daniel Ventre fait un constat alarmant : « Nos systèmes sont hérités de technologies dont nous ne sommes pas propriétaires (systèmes d’exploitation, composants et même applications), et dont l’objectif primordial était l’ouverture entre systèmes avant même de prendre en compte leur sécurité. Ils se doivent d’être repensés à l’aune de leur vulnérabilité pour rester résilients en cas de cyberattaques. »

Pour Luc Delpha, « la rapidité des cyber-crises nécessite une réactivité organisationnelle et technique immédiate, conditionnée par la mise en place en amont d’une planification structurée ». La gestion de toute crise ne peut s’improviser, elle nécessite une planification en amont. Ceci est d’autant plus vrai en matière de cyber-crise, dont la rapidité implique une organisation déjà en place et une prise de décision rapide, de l’ordre de quelques minutes à deux heures. Une organisation doit concerner tant les aspects organisationnels que les aspects techniques.

Et Daniel Ventre de conclure : « Il nous faut se donner les moyens humains et financiers nécessaires à la sécurisation de nos systèmes, en les protégeant et en organisant leur défense, en s’appuyant sur les organismes d’Etat (ANSSI entre autres) et sur les entreprises spécialisées dans la protection et la sécurité des systèmes. »

Le danger pour et par les politiques

« Face à ces attaques se pose la question de la réponse politique, laquelle doit s’inscrire dans une logique globale de fermeté et de souveraineté technologique ». Certains observateurs ne cachent pas leur crainte quant à la réponse que souhaitent apporter les politiques à la multiplication des attaques relevant du cyber-terrorisme. Or, chaque attaque d'envergure offre une occasion rêvée, car acceptée par les politiques comme par la masse des citoyens, de durcir leur arsenal sécuritaire et répressif.

On l'a vu très récemment avec le passage du judiciaire à l'administratif pour fermer des sites couvrant ou faisant l'apologie du terrorisme. Le texte rapidement voté par les députés, et encore plus rapidement publié au JO, comporte des zones d'ombres qui permettent son extension hors de la lutte anti-terroriste.

En réaction à l'attaque de TV5 Monde, Bernard Cazeneuve, le ministre de l'Intérieur, a annoncé la création de 500 nouveaux emplois à la DGSI, et un renforcement de la plateforme de signalement Pharos de la Police judiciaire et des équipes de l'OCLCTIC. L'objectif, fort louable, est de renforcer les moyens de prévention de ce type d'attaque. Le ministre cherche également accélérer le débat parlementaire sur la loi sur le renseignement.

Qualifié « acte terroriste » par le ministre de l'Intérieur, ce qui pour certains semble exagéré en comparaison avec les actions meurtrières qui se multiplient, la cyber-attaque sur TV5 Monde, plus que permettre de lutter efficacement contre les hackers qui s'affirment affiliés à Daesh, risque surtout de durcir l'attitude sécuritaire de nos gouvernants, et de leur donner les moyens de noyauter le Web…