Cyber-attaque TV5 Monde : ce qui a marqué les experts de la sécurité IT

RisquesSécurité
TV5-monde-reactions-editeurs-securite-it

Dell, Check Point, Fortinet, Provadys, Nomios…Des experts de la sécurité IT partagent leur point de vue à chaud sur le piratage visant TV5 Monde.

L’affaire du cyber-piratage de la chaîne TV5 Monde a marqué les esprit par son caractère inédit : assaut Web, dégâts dans le SI et diffusion audiovisuelle perturbée.

Les premiers éléments rassemblés permettent d’esquisser des pistes d’enquête.

ITespresso.fr a compilé une série de réactions en provenance d’éditeurs : Dell, Nomios, Provadys, Check Point, Fortinet

florian-malecki-dell-networking-security
Florian Malecki, DELL Networking Security

Florian Malecki, Directeur International, Marketing Produit, DELL Networking Security : « Les prémices d’une cyber-guerre »

« Diverses méthodes ont été utilisées pour attaquer TV5 Monde sur tous les fronts. La prise de contrôle des réseaux sociaux et du site web a pu être réalisée assez simplement. La compromission vraisemblable du serveur de transmission de la chaîne pose plus de questions. »

« S’il est encore trop tôt pour présumer des méthodes exactes utilisées pour menacer le serveur au point d’en arrêter le fonctionnement ou d’inciter les responsables à mettre fin à la diffusion, l’une des pistes probables est l’utilisation par les cybercriminels d’un logiciel malveillant, potentiellement installé sur l’un des ordinateurs connectés au réseau via du phishing, et l’utilisation des identifiants d’un ou plusieurs compte(s) à privilèges. Les rapports relatifs à la cybercriminalité démontrent qu’il s’agit d’une approche souvent observée dans ce type d’attaque. »

« Nous assistons aujourd’hui aux prémices d’une cyberguerre et aucune institution n’est à l’abri. Il est désormais prouvé qu’il est possible d’interrompre la diffusion de chaînes de télé, voire d’en prendre le contrôle, mais tandis que l’Internet des objets se développe, on peut imaginer que les risques liés à la sécurité informatique toucheront bientôt l’ensemble des aspects de la vie des institutions et des particuliers … »

arnaud-cassagne-nomios
Arnaud Cassagne, Nomios

Arnaud Cassagne, Directeur technique de Nomios (intégration de solutions de sécurité et d’optimisation des performances des systèmes d’information) : on fait quoi après ça ?

« TV5 Monde parle de la possibilité de nécessiter plusieurs jours pour rétablir complètement son service. Au-delà de la compréhension de ce qu’il s’est passé, la priorité est bien de rétablir au plus vite le service. »

« La problématique pour les équipes informatiques de TV5 Monde est qu’elles sont actuellement en train d’essayer de trouver des traces de l’attaque, pour avoir des éléments factuels, et qu’en parallèle, elles sont également en train de rétablir le service. »

« Mener les deux de front est impossible : si je rétablis le service je perds mes traces, et si je m’occupe de récupérer les traces, je ne peux pas rétablir le service… »

luc-delpha-provadys
Luc Delpha, Prosadys

Luc Delpha, Directeur de l’offre Gestion des risques et sécurité de l’information de Provadys : la nécessaire réactivité en cas de crise

« D’un point de vue organisationnel, la maîtrise tardive des réseaux sociaux par le groupe était en grand partie dû à l’impossibilité de contacter les responsables Twitter et Facebook suite à l’inaccessibilité de la messagerie. C’est ici un exemple de l’importance de la planification et de la mise en place de procédures d’urgence adaptés à son organisation. »

« D’un point de vue technique, la durée de résorptions des attaques dépend avant tout de la capacité à la détecter, du temps de réactions des équipes techniques et des outils mis à leur disposition pour intervenir. Il est important de noter que ces équipes peuvent être internes ou externes à l’entreprise. Cet aspect nous permet de rejoindre la partie organisationnelle dont l’objectif est d’anticiper et de prévoir les compétences pouvant intervenir dans de telles situations. »

« BILAN : La rapidité des cyber-crises nécessite une réactivité organisationnelle et technique immédiate, conditionnée par la mise en place en amont d’une planification structurée. »

Check-Point-Thierry-Karsenti
Thierry Karsenti, Check Point

Thierry Karsenti, Vice-President, en charge de l’Engineering et des Nouvelles Technologies pour l’Europe chez Check Point : un saccage informatique comme chez Sony Pictures

« Malheureusement c’est assez facile pour les pirates de pénétrer sur les sites informatiques, notamment dans le secteur des médias. Le ‘social engineering’ ou ‘ingénierie sociale’, grandement facilité par l’avènement des réseaux sociaux, permet aux pirates d’identifier quelles personnes deviendront leurs cibles. »

« Une fois les cibles définies, les pirates leur envoient un mail contenant une pièce-jointe ou lien malveillant, ce qui leur permet ensuite d’infiltrer aisément le système informatique du média et de récolter les données nécessaires au piratage des pages Facebook, Twitter, du site Web, etc. C’est ce qui s’est passé au Monde au mois de janvier. »

« Il y a aussi dans cette attaque une dimension de saccage informatique comme chez Sony Pictures. Une fois que les attaquants ont pris la main sur le SI de l’entreprise, et d’avoir diffusé leurs revendications via les contenus visibles : pages Facebook, Twitter, site Web, etc. Ils vont détruire toutes les capacités informatiques de la chaîne pour les empêcher de diffuser. »

Comment est-il possible d’empêcher l’émission d’une chaîne de télé ? « Une diffusion de chaîne de télévision, c’est en fait une succession de fichiers électroniques. Si on arrive à pirater ces fichiers, il est donc possible de contrôler le contenu de la diffusion. De là, un hacker diffusera des messages des propagandes sur la chaîne piratée mais aussi sur les comptes de réseaux sociaux de la chaîne. »

Guillaume Lovet, expert en cyber-criminalité chez Fortinet : Interruption des programmes, dommage collatéral ?

guillaume-lovet-fortinet
Guillaume Lovet, Fortinet

« Il est tout à fait possible que l’interruption des programmes pendant quelques heures ne soit qu’un dommage collatéral, causé par le vers introduit dans le réseau informatique de TV5 par les pirates, et nullement leur intention première. »

« Si on regarde ce que font les autres « cyber-djihadistes » à travers le Monde aujourd’hui, on pourrait même dire que l’intention première des pirates était sans doute simplement de récupérer les identifiants des comptes Twitter et Facebook de TV5. Qu’ensuite, ils en aient profité pour causer des dommages, une fois ces identifiants obtenus, c’est possible. Mais prendre le contrôle de l’antenne faisait-il partie de leur plan? Il n’est pas irraisonnable d’en douter. »

« Qu’un virus informatique ait des conséquences matérielles ‘collatérales’, ce ne serait absolument pas nouveau: En 2013, l’attaque « DarkSeoul » sur des institutions bancaires coréennes avait paralysé certains DAB. En 2009, un vers nomme Conficker avait paralysé un certain nombre de systèmes, et notoirement cloué au sol des avions de chasse français, qui ne pouvaient télécharger leur plan de vols. Des hôpitaux avaient dû rediriger des patients vers d’autres services. Les exemples sont légion… »

(Crédit photo : Shutterstock.com – JDS)

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur