Remove ads
cyberattaque en avril 2015 de la chaîne TV5 Monde De Wikipédia, l'encyclopédie libre
La cyberattaque contre TV5 Monde est une cyberattaque qui entraîne entre les 8 et l'arrêt de la diffusion des programmes de la chaîne de télévision francophone internationale TV5 Monde, et la publication de messages de soutien à l'État islamique sur ses réseaux sociaux[1].
Cette attaque de grande ampleur, sans précédent dans l'histoire de la télévision, est revendiquée par le groupe de pirates informatiques « Cybercaliphate », se réclamant de l'organisation État islamique sans que cette dernière ne l'ait confirmé. Cependant, l'enquête s'oriente vers un groupe de hackers russes nommé APT28 (ou Pawn Storm), qui serait soutenu par le gouvernement russe[2].
En , devant la recrudescence des cyberattaques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) lance un exercice dans le cadre du plan Piranet visant à « mettre l'État français à l'épreuve d'une crise informatique majeure ». Le scénario consiste en une attaque de grande ampleur de l'Internet français et des réseaux des administrations pour tester la capacité de l'État à réagir et à se coordonner. Des opérateurs d'importance vitale des secteurs de la santé, des transports et des communications électroniques sont présents[3],[4].
Dans la semaine qui suit les attentats de janvier 2015 en France, 19 000 sites internet français sont la cible de cyberattaques par des groupes revendiquant la « Défense des musulmans » et la cause pro-palestinienne. Cette vague d'attaques informatiques vise essentiellement des sites des petites collectivités territoriales, des PME et des TPE, toutes reliées à une série de serveurs informatiques[5],[6].
Le , les comptes Twitter et YouTube du commandement de l'armée américaine au Moyen-Orient et en Asie centrale (CentCom) sont piratés par un groupe de hackers prenant le nom de « Cybercaliphate »[7]. Quelques jours plus tard, le site internet et le compte Twitter du quotidien français Le Monde sont la cible de plusieurs attaques de l'Armée électronique syrienne. Mais les mécanismes de sécurité mis en place par le journal résistent et mettent en échec les pirates[8]. Le , le compte Twitter de l'hebdomadaire américain Newsweek est victime d'une attaque par le Cybercaliphate[9].
TV5 Monde est une chaîne de télévision généraliste francophone internationale créée le et détenue conjointement par des sociétés audiovisuelles publiques françaises, belges, suisses, canadiennes et québécoises. Elle est l'un des trois plus grands réseaux mondiaux de télévision, accessible auprès de 291 millions de foyers à travers 200 pays et territoires. Elle diffuse 10 signaux régionalisés distincts, 2 chaînes thématiques et 2 web TV.
À la fin du mois de , l'ANSSI prévient TV5 Monde d'une utilisation frauduleuse d'un de ses serveurs non protégé. L'agence récupère le serveur en question et la chaîne internationale se met à la recherche d'un prestataire pour un audit de sécurité[10].
Le , TV5 Monde inaugure sa nouvelle chaîne thématique sur l'« art de vivre à la française », TV5 Monde Style HD, en présence du ministre des Affaires étrangères Laurent Fabius. La chaîne doit diffuser au Moyen-Orient et en Asie des programmes sur la mode, le luxe, l'hôtellerie, la joaillerie, la gastronomie, l'œnologie, le design, l'art des jardins, l'architecture, le patrimoine culturel et historique[11].
Le à 20 h 50 HAEC, l'infrastructure de diffusion de TV5 Monde (le multiplexage) est la cible d'une cyberattaque. L'infrastructure principale et celle de secours sont neutralisées d'un seul coup. Le directeur informatique de la chaîne et son équipe croient tout d'abord à une panne technique, mais le serveur de messagerie électronique est détruit quelques minutes plus tard, confirmant une cyberattaque. Pour le directeur informatique, il s'agit d'une « agression fulgurante qui a probablement été très bien préparée ».
Pour limiter les dégâts, les équipes techniques coupent l'ensemble du réseau informatique de la chaîne vers 22 h, interrompant toutes les diffusions télévisées et causant des écrans noirs pour des millions de personnes regardant la chaîne à travers le monde[10],[12].
En parallèle, les réseaux sociaux Twitter et Facebook de la chaîne sont également piratés. Des messages de soutien à l'État islamique en anglais, arabe et français y sont publiés, ainsi que des documents présentés comme des pièces d'identité et des CV de proches de militaires français impliqués dans les opérations contre l'EI. Un message accuse le président de la République François Hollande d'avoir commis « une faute impardonnable » en menant « une guerre qui ne sert à rien », récompensée par les « cadeaux de janvier à Charlie Hebdo et à l'Hyper Cacher », faisant référence aux attentats de janvier 2015 en France[13],[14].
« Soldats de France, tenez-vous à l'écart de l'État islamique ! Vous avez la chance de sauver vos familles, profitez-en. [...] Au nom d'Allah le tout Clément, le très Miséricordieux, le CyberCaliphate continue à mener son cyberjihad contre les ennemis de l'État islamique »
— Extrait du message publié sur le compte Facebook de TV5 Monde le [13],[14].
Peu avant minuit, les équipes techniques, accompagnées par les ingénieurs de sécurité informatique de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), arrivent à reprendre le contrôle des réseaux sociaux et postent des messages d'explication à destination des internautes[15]. Le directeur général de TV5 Monde, Yves Bigot, poste une vidéo sur Facebook et parle d'une « cyberattaque extrêmement puissante »[16].
Le à partir de 5 h HAEC, le système informatique et les signaux télévisés sont progressivement relancés avec l'aide d'une quinzaine d'ingénieurs en sécurité informatique de l'ANSSI dépêchés sur place. Vers 10 h, toutes les chaînes du réseau sont rétablies mais elles ne peuvent diffuser que des programmes préenregistrés, et pas les journaux en production propre[10],[12]. À 18 h, la chaîne reprend une diffusion normale avec son programme d'information en direct 64' Le Monde en Français[17].
Le , le parquet de Paris saisit la direction générale de la Sécurité intérieure (DGSI), la sous-direction anti-terroriste (SDAT), et les cyber-policiers de la direction centrale de la Police judiciaire (DCPJ). Le procureur ouvre une enquête pour « accès, maintien frauduleux et entrave au fonctionnement d'un système de traitement automatique de données » ainsi qu'« association de malfaiteurs en relation avec une entreprise terroriste ». Les experts de l'agence nationale de la sécurité des systèmes d'information (ANSSI) sont chargés d'analyser le mode opératoire de la cyberattaque[6].
Le , le ministère de la défense annonce qu'aucun document confidentiel relatif à l'armée française et à l'identité de militaires et de leur famille n'a été diffusé lors de la cyberattaque de TV5 Monde[18]. 01net évoque a contrario « un gigantesque fatras où l’on trouve pêle-mêle des CV, des copies d’écrans, des convocations à des formations CHSCT, des factures de mairies, des photos étranges »[19]. Arrêt sur images révèle de son côté que le « Cybercaliphate » a ainsi partagé, au sein de ces documents censés menacer des militaires français, la photographie d'une femme d'un certain âge, nue dans une forêt, pointant une arbalète sur celui qui la photographiait, ce qui discréditerait la piste terroriste, a fortiori islamiste[20].
Le , les autorités confirment que l'attaque n'a pu être perpétrée par un seul individu mais par un groupe de plusieurs dizaines de pirates de haute volée, qui ont pu être engagés comme mercenaires. Pour les ingénieurs de l'ANSSI, l'attaque a été préparée de longue date et de façon minutieuse, indiquant que les pirates étaient infiltrés depuis des semaines dans les réseaux de TV5 Monde. L'enquête indique que les pirates ont utilisé la technique de l'hameçonnage (ou phishing) en envoyant un e-mail fin janvier à l'ensemble des journalistes de la chaîne. Trois d'entre eux ont répondu, permettant aux hackers de pénétrer le réseau de la chaîne via un cheval de Troie. Trois semaines avant l'attaque, un virus informatique s'est propagé dans plusieurs ordinateurs, profitant d'une architecture informatique mélangeant la partie « métier » constituant le cœur de la chaîne et la partie bureautique ouverte sur l'extérieur via Internet. Les pirates auraient créé des comptes avec des droits d'administrateurs leur permettant de circuler là où ils le souhaitaient[21],[22].
En juin, les médias révèlent que l'enquête s'éloigne de la piste djihadiste, vue comme un leurre, et s'oriente vers celle d'un groupe de hackers russes nommé APT28 (aussi connu sous le nom de Pawn Storm, Tsar Team, Fancy Bear ou Sednit). La cyberattaque présenterait des similitudes avec le mode opératoire de ce groupe, utiliserait des serveurs communs et le code source aurait été tapé sur un clavier cyrillique à des moments correspondant aux heures de bureau à Saint-Pétersbourg et à Moscou. Selon la société de sécurité informatique américaine FireEye, APT28 serait soutenu par le gouvernement de Russie, au vu de ses cibles comme des dissidents russes, des journalistes et des organisations militaires aux États-Unis et en Europe. La cyberattaque a lieu dans un contexte de dégradation des relations entre la France et la Russie à la suite de la suspension de la livraison de deux navires Mistral sur fond de crise ukrainienne[23],[24].
Le ministre de l'Intérieur Bernard Cazeneuve, la ministre de la Culture Fleur Pellerin et le ministre des Affaires étrangères Laurent Fabius se rendent le au matin au siège de TV5 Monde, avenue de Wagram à Paris, pour apporter leur soutien à la rédaction. Bernard Cazeneuve déclare qu'une enquête a été ouverte et que les moyens alloués à la cybersécurité seraient renforcés, avec notamment la création de 500 emplois supplémentaires. Fleur Pellerin annonce qu'elle va rapidement réunir « l'ensemble des dirigeants de grands médias audiovisuels et même peut-être de presse écrite » pour s'assurer « des points de vulnérabilité ou de risque qui peuvent exister et la manière de les traiter au mieux »[25],[26].
Le Premier ministre Manuel Valls condamne « une atteinte inacceptable à la liberté d'information et d'expression », et la ministre de la Culture Fleur Pellerin qualifie le piratage d'un « véritable acte terroriste »[25]. Harlem Désir exprime sa « solidarité aux équipes de la chaîne »[27] et Christiane Taubira son « soutien »[28].
En juillet, les journalistes de la chaîne ne peuvent toujours pas accéder à l'intégralité du réseau informatique de la chaîne : ils ne peuvent ni utiliser le wifi et Skype, ni scanner de documents car le réseau Internet n'est pas encore reconnecté. Le coût de l'attaque est estimé à près de 5 millions d'euros pour l'année 2015[29]. En octobre, la messagerie interne est encore régulièrement inaccessible[30].
Au total, cette opération de destruction a coûté à TV5 plus de 5 millions d'euros pour la première année suivie de 3 millions d'euros l'année suivante pour investir dans de nouveaux systèmes de protection[31].
À la suite de cette attaque, TV5 Monde prévoit d'investir au moins 10 millions d'euros dans sa cybersécurité dans les années qui suivent[32].
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.