05/05/2015

La chronique hacking de Grégoire Pouget

TV5 Monde et l'instrumentalisation de la menace cyber-djihadiste

Par Grégoire Pouget ,
Par Thibaut Loïez

Des terroristes derrière le piratage de TV5 Monde ? A froid, notre chroniqueur maison sur les questions de web-sécurité estime que l’attaque de début avril a été instrumentalisée, en plein débat sur la loi renseignement.

Le 8 avril, TV5 monde a été victime d’un piratage. La chaine a cessé d’émettre, ses réseaux sociaux ont été piratés et son site web rendu indisponible. Un groupe du nom de « cyber caliphate », apparemment pro-Daesh, a revendiqué l’attaque.

Le lendemain, pas moins de trois ministres, Bernard Cazeneuve, Laurent Fabius, et Fleur Pellerin, se sont déplacés dans les locaux de la chaîne pour apporter leur soutien aux équipes. Il est en effet de notoriété publique que Fabius, Cazeneuve et Pellerin sont des informaticiens hors pair :


Fabius : « Vas-y Jean-Michel, montre-moi les logs serveurs ! »

Jean-Michel le tekos : « Tiens, ils sont dans /etc/apache2/attaque-terro.logs . »

Fabius : « Olala, c’est chaud en vrai. Tu me dump tout ça et je regarde ça en rentrant au bureau. Pendant ce temps-là, Fleur fais tourner un p’tit snort pour voir si on peut trouver quelque chose sur vot’ réseau. »

On ne compte pas non plus le nombre d’articles sur ce non-événement et les analyses qui nous prévoient une cyber-apocalypse pour les mois à venir. Que s’est-il vraiment passé le 8 avril 2015 exactement pour que tout le monde s’emballe ainsi ?

Les faits

Le site web de TV5 monde est tombé, la chaîne a cessé d’émettre pendant plusieurs heures et les réseaux sociaux du groupe (Twitter, Facebook et YouTube) ont été piratés. Le groupe « cyber caliphate », qui revendique l’attaque sur son site (sache qu’en cliquant sur ce lien, tu t’exposes à être signalé par les “boîtes noires” du gouvernement censées traquer les terroristes ) a aussi diffusé « des documents présentés comme des pièces d’identité et des CV de proches de soldats français impliqués dans les opérations contre l’Etat islamique. »

Jetons un œil à ces soi-disant documents confidentiels. Ils sont accessibles ici :

• http://wikisend.com/download/345136/leaked_doc.zip
• http://wikisend.com/download/219270/leaked_pdf1.zip
• http://wikisend.com/download/550190/leaked_pdf2.zip
• http://wikisend.com/download/508970/leaked_pics.zip

Attention ne clique pas dessus, c’est bourré de virus ! Ou alors fais-le en montant une machine virtuelle, ou avec un vieux PC ou avec celui de quelqu’un que tu n’aimes pas.

Contrairement aux assertions des cybers califes, on n’y trouve aucun document classé secret défense. Pêle-mêle : il y a le règlement intérieur d’une mairie, des annonces d’emploi pour des services municipaux, des extraits de budgets ou des fiches d’inscription à des activités de loisir. Ces documents ont été probablement récupérés en piratant des systèmes mal protégés (Google est magique pour faire ce genre de choses) et présentés comme top secret pour impressionner. De quoi donner une sacrée aura à nos cyber-djihadistes.

Détail amusant, parmi ces documents, on trouve une photo d’une dame d’un certain âge, nue, dans les bois, brandissant une arbalète. Plutôt étonnant pour des gens se revendiquant d’un mouvement religieux extrémiste qui interdit aux femmes de montrer plus que leurs yeux.

TV5 monde, sans déconner

Admettons, les membres du « cyber califat » ont assez de compétences pour dérober des règlements intérieurs de mairie. Waouh, balèze ! Mais ne rigolons pas trop. Ils ont quand même piraté une chaine de télé. Avec des gars comme ça en face, on est foutus !

Si l’on en croit les déclarations assez confuses de l’équipe de TV5 Monde, ce serait la chaîne elle-même qui aurait décidé de couper la diffusion et de mettre son site web en carafe afin d’éviter une infection plus importante de son réseau. Il est donc très probable que les pirates aient vraiment réussi à s’introduire dans le réseau de TV5 Monde. Décelant des anomalies réseaux, l’équipe technique a pris la décision de couper celui-ci.

Et là j’en viens à TV5 Monde. Couper son réseau pour interrompre une attaque, c’est un peu comme se couper une jambe pour soigner un ongle incarné. C’est une solution radicale. Peut-être que les équipes techniques ont sur-réagi, et ce serait le moins pire des scénarios. Dans le cas contraire, cela signifierait que le réseau de TV5 Monde n’est pas compartimenté et ça, c’est très mal. N’importe quel ingénieur réseau vous expliquera qu’il est inutile, voire dangereux, de connecter des machines et des fonctions qui n’ont aucun rapport entre elles. En gros, si j’arrive à prendre le contrôle de la machine à café, celle-ci étant sur le même réseau que le serveur de mail, je peux non seulement changer le nombre de sucrettes dans les cafés mais je peux aussi lire les mails de tout le monde.

Il semblerait que les bonnes pratiques en matière de sécurité ne soient pas vraiment la spécialité de TV5 Monde. Le 9 avril, le lendemain de la « cyber attaque », un reportage du JT de 13h de France 2 dans les locaux de la chaîne montre certains des mots de passe des comptes de TV5, affichés sur une simple feuille A4 derrière le journaliste interviewé. Celui de YouTube était d’ailleurs « lemotdepassedeyoutube », un mot de passe assez peu résistant à une attaque par dictionnaire

Ce genre de pratique jette un nouvel éclairage sur « l’exploit » technique des cybers califes.

Des terroristes, vraiment ?

Ça commence à faire beaucoup d’éléments :

> des documents secrets défense bidon

> une chaîne qui a pour habitude de noter ses mots de passe sur des post-it et de les diffuser à la télé (je caricature à peine)

Est-ce qu’on a vraiment affaire à des terroristes ? Le gouvernement en est convaincu. En plein passage d’un projet de loi sur le renseignement, c’est bien commode. Quand on sait que, dans une attaque informatique, le plus long et le plus difficile est toujours d’identifier la source et l’identité des attaquants, je suis extrêmement étonné de la vitesse à laquelle notre gouvernement a réussi à identifier un acte terroriste derrière cette attaque ainsi que l’a fait Fleur Pellerin dans un tweet dès le lendemain :

Peut-être que Mme Pellerin a trouvé quelque chose lors de son analyse du réseau de TV5 Monde dont elle ne nous a pas encore parlé…

Il est quand même fort probable qu’on ait ici affaire à quelques ados malins et un peu dérangés plutôt qu’à de vrais experts acquis à la cause de Daesh. Le texte du communiqué des cybers califes vient mettre encore un peu plus de plomb dans l’aile de la thèse de super hackers planqués au fin fond du désert à la solde de Daesh. Ainsi que l’a expliqué le journaliste de France 24 Wassim Nasr à Arrêt sur images : « celui qui a écrit le communiqué n’a pas pour langue maternelle l’arabe. Il y a trop de fautes. » En plus des problèmes de syntaxe, explique-t-il, l’auteur du texte ne « connait pas les bases de la religion musulmane. »

PS : cette note a été rédigée avec des morceaux de Tor dedans. Eh oui, vu que je suis allé consulter des sites terroristes, ou supposément terroristes, j’ai dû sortir couvert, histoire de ne pas voir les RG débarquer chez moi quelques jours après être allé sur le site du soi-disant cyber caliphate. Mince, je viens de l’écrire !

A lire : l’enquête de Jean-Marc Manach sur ce sujet (pour les abonnés d’Arrêt sur images)