Piratage de TV5 Monde, la piste russe ?

Elle avait été qualifiée de « sans précédent », un aréopage de ministres s’était déporté dans les locaux de la chaîne, dont le ministre de l’Intérieur, Bernard Cazeneuve, qui n’avait pas hésité à évoquer « un acte terroriste », la cyberattaque revendiquée par le « cybercaliphate » se réclamant du groupe Etat islamique n’a peut-être pas la paternité qu’on veut bien lui donner.

L’acte terrorisme ressemble désormais à un acte de manipulation. L’enquête préliminaire ouverte par le parquet antiterroriste, a été menée conjointement par la Direction générale de la sécurité intérieure (DGSI), la sous-direction anti-terroriste de la police judiciaire (SDAT) et l’Office central de lutte contre la criminalité liée aux techniques de l’information et de la communication (OCLCTIC). L’Anssi (Agence nationale de la sécurité des systèmes d’information) dépêchée dans les locaux de TV5 Monde pour mener des investigations techniques table pour un « leurre », comme l’explique le directeur de la chaîne, Yves Bigot.

Les traces laissées par les pirates ressemblent à d’autres attaques perpétrées par le passé. L’enquête dévoile ainsi une autre piste, d’origine russe révélée par l’Express et confirmée par une source judiciaire à l’AFP.

Un groupe de hackers russes également connu sous le nom d’APT28 mais également désigné sous les noms de Pawn Storm ou Sofacy Group selon la société qui a eu à enquêter dessus. Néanmoins, toutes pointent une origine russe et des liens avec le Kremlin.
Leur signature, « une tactique employée au jeu d’échecs et surnommée ‘avalanche de pions’ (pawn storm) » explique l’Express, est retrouvée sur diverses attaques menées depuis au moins 2010, voire 2007 pour la société américaine de cybersécurité FireEye.

Des attaques dirigées contre les systèmes informatiques de la Maison Blanche, des infrastructures militaires et des ambassades américaines, des dissidents russes ou des activistes ukrainiens, des membres de l’OTAN (Organisation du traité de l’Atlantique Nord) avance un rapport de Trend Micro, publié en 2014. Mais également contre le ministère des Affaires inférieures et le ministère de la Défense de Géorgie, précise FireEye.
Dans son rapport publié également en 2014, FireEye explique que le groupe APT 28 est « un groupe aguerri de développeurs et d’opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, engagés dans des opérations d’espionnage contre des cibles politiques et militaires, des données qui ne pourraient être mises à profit que par un gouvernement ».

La sophistication des attaques, les données techniques recueillies par les assaillants et la régularité des attaques menées depuis « au moins 2007 » font dire à FireEye que le groupe est « soutenue par un gouvernement, plus précisément un gouvernement basé à Moscou ».

La société Trend Micro, société japonaise éditrice de logiciels de sécurité informatique, précise quant à elle que le malware provient d’un serveur au Brésil dont le propriétaire est basé à Sao Paulo. Sur ce serveur, plusieurs malware dont un malware bancaire utilisé en Espagne et au Brésil.

Les enquêteurs ont remonté la piste des hackeurs grâce au « travail d’investigation sur les adresses IP des ordinateurs d’où sont parties les attaques », a expliqué une source judiciaire proche du dossier à l’AFP. Néanmoins, l’ensemble de ces éléments est à prendre avec précaution, tant les investigations menées sur une cyberattaque sont périlleuses. Des traces, des éléments, dont des lignes de codes tapées sur un clavier cyrillique, mais pas encore de preuves tangibles et irréfutables. Yves Bigot précise cependant que la piste russe « constitue la piste principale, privilégiée par l’enquête en cours ».

Pourquoi la Russie attaquerait ainsi la France ? Pour l’Express, “Seule certitude : les relations entre la France et la Russie se sont dégradées ces derniers mois. François Hollande a refusé de se rendre au défilé de commémoration de la victoire sur le nazisme, à Moscou, le 9 mai. Et Paris a suscité la colère du Kremlin en suspendant la livraison des navires Mistral à la Russie sur fond de crise ukrainienne. »

Ce que l’on sait de l’attaque : vers 22h, dans la soirée du 8 avril, des hackers se réclamant du groupe État islamique provoquent le blocage de l’antenne de TV5 Monde et ses 12 chaines pendant 24 heures et prennent le contrôle des sites internet et comptes réseaux sociaux de la chaîne.

Une attaque « sans précédent » pour le directeur général de l’antenne, Yves Bigot. Vite nuancée par le niveau de sécurité très faible des infrastructures de la chaîne. C’était la première fois qu’une attaque entrainait une interruption des programmes d’une chaîne de télévision présente dans plus de 200 pays.

Le cybercalifat qui revendiquait l’attaque en avait profité pour diffuser des messages de menaces et de propagande sur le site de TV5 Monde ainsi que ses comptes Facebook et Twitter. Messages faisant explicitement référence à l’engagement de la France dans le conflit armé au Proche-Orient.

Néanmoins, des doutes sur son origine n’avaient pas tardé à apparaitre. La sophistication de la cyberattaque suscitant nombre d’interrogations. En effet, selon des sources proches du dossier, celle-ci avait débuté en janvier, camouflée derrière un VPN (virtual private network) grand public, par la technique du phishing (ou hameçonnage) puis, au moins de mars, trois semaines avant l’attaque, un virus s’était chargé d’infecter les différents ordinateurs de la chaîne. Pour enfin aboutir au déclenchement de l’attaque sur les serveurs en avril.

L’attaque fut telle que du matériel Cisco a été endommagé, en l’occurrence « des composants logiciels indispensables à leur bonne marche, ont été détruits explique Le Monde, les rendant largement inutilisables ».
Aujourd’hui encore, leurs serveurs ne sont « toujours pas raccordés à Internet », assure Yves Bigot.

David Tomson, auteur du livre Les Français jihadistes, estimait que l’attaque n’émanait pas d’un organe officiel du groupe Etat islamique, relevant « beaucoup d’incohérences » dans les messages diffusés notamment.