Les spécialistes ont commencé à analyser l’attaque dont a été victime TV5 Monde. Les cyberpirates auraient lancé leurs attaques concertées depuis l’Irak et l’Algérie. Un scénario plausible commence à se dessiner avec une intrusion réalisée via un compte Skype.
Suite à l’attaque contre TV5 Monde, les déclarations de soutien se manifestent un peu partout dans le monde. De son coté l’ANSSI a publié une déclaration indiquant qu’elle allait aider la chaîne francophone a analysé l’attaque et restaurer ses services de manière sécurisée. Inutile de repartir sur une sauvegarde que les cyberdjihadistes pourront immédiatement rebloquer. Le site canadien Breaking 3.0, spécialisée dans les questions de cybersécurité, indique de son coté avoir réussi à retracer l’attaque qui rappellerait celle contre le Centcom américain (United States Central Command), dont les réseaux sociaux avaient été piratés une trentaine de minutes en janvier dernier, et les attaques massives contre des sites web (effacement) après les attentats contre Charlie Hebdo et l’HyperCacher de Vincennes, toujours en janvier.
Pour identifier les pirates de TV5 Monde, Breaking 3.0 a commencé par analyser les couleurs utilisées pour les écrans de substitution. Sans résultats probants, ils se sont tournés vers les traces virtuelles. Les comptes Skype des salariés de la chaîne auraient été pistés – sûrement un journaliste lors d’une conversation avec un djihadiste – afin de récupérer l’adresse IP d’un poste de travail et l’identifiant réseau de la chaîne. Une faille Java aurait ensuite été exploitée pour infecter des postes de travail très ciblés : ceux du community manager de la chaîne ou un autre en régie. Selon Breaking 3.0, cette faille aurait permis d’introduire un fichier VBScript, un ver en fait, qui avait pour principal objectif d’atteindre les serveurs assurant la diffusion des émissions TV. La suite est connue : tous les services de la chaîne sont tombés malgré la présence de soi-disant « firewalls extrêmement puissants et certifiés ». Breaking 3.0 affirme également avoir pouvoir préciser que l’un des cyberpirates est originaire d’Algérie et un autre d’Irak.
A cette heure, les programmes habituels de TV5 Monde n’ont toujours pas été rétablis, la chaîne francophone ne diffuse que des documentaires et d’anciennes émissions de FranceTV. Les sites web et les réseaux sociaux ont par contre été rétablis mais la vitrine principale est toujours compromise.
Source: lemondeinformatique.com
