Piratage de TV5 Monde : ce que l'on sait et ce que l'on ne sait pas
Francetv info fait le point sur les zones d'ombre qui entourent l'attaque dont a été victime la chaîne TV5 Monde.
Au surlendemain de l'attaque informatique contre TV5 Monde, les zones d'ombre sont encore nombreuses, vendredi 10 avril. L'identité des pirates, l'endroit d'où ils ont agi, leur mode opératoire... Autant d'informations qui font l'objet de spéculations et de théories plus ou moins crédibles, notamment sur les réseaux sociaux. Francetv info vous aide à faire le point sur ce que l'on sait et sur ce que l'on ne sait pas.
Ce que l'on sait
La chaîne avait été prévenue des risques. Deux semaines avant l'attaque, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avait prévenu TV5 Monde d’une brèche concernant l'un de ses serveurs, non protégé. "L’agence a récupéré le serveur, raconte aux Echos le directeur informatique de la chaîne, Jean-Pierre Vérines. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point." Mais rien ne dit que l'attaque de mercredi soit liée à ce serveur.
Le déroulement de l'attaque. "Le piratage a commencé peu après 22 heures par les réseaux sociaux, puis un message écrit en français, en arabe et en anglais a remplacé la page d'accueil de notre site internet, explique Hélène Zemmour, directrice du numérique de TV5 Monde, contactée par francetv info. Peu après le début de l'attaque, notre système informatique interne est tombé, et nos programmes ont suivi. Nous n'avions plus accès à notre messagerie, ce qui nous a compliqué la tâche pour entrer en contact avec les équipes de Twitter et de Facebook afin d'y récupérer le contrôle de nos comptes."
Elle a eu pour impact immédiat l'arrêt de la diffusion. Pendant plusieurs heures, les 11 antennes de TV5 Monde ont cessé d'émettre. Le lendemain matin, la chaîne a pu progressivement diffuser des programmes pré-enregistrés, d'abord en Europe puis dans le reste du monde. Ce n'est qu'en fin d'après-midi que la chaîne a pu reprendre partiellement l'antenne, avec la diffusion d'un JT vers 18 heures.
Les ennuis ne sont pas terminés. Si l'attaque est "maîtrisée", selon l'ANSSI, il faudra attendre "quelques jours" avant que tout soit de nouveau opérationnel et "plusieurs mois" avant un retour total à une normale plus sécurisée, pour éviter de telles attaques à l'avenir.
Une enquête a été confiée au parquet antiterroriste. Cela fait suite aux propos du ministre de l'Intérieur, Bernard Cazeneuve, qui a affirmé, en visite dans les locaux de TV5 Monde jeudi, que la piste terroriste était privilégiée.
Ce que l'on ne sait pas
D'où vient l'attaque. Son origine géographique n'est pas connue. C'est l'un des points sur lesquels l'enquête devra se pencher. Pourtant, plusieurs sites et médias affirment avoir des informations concernant la provenance de l'attaque. Le site breaking3zero.com affirmait très tôt, jeudi, que deux des pirates responsables de l'attaque seraient basés l'un en Algérie et l'autre en Irak, où il combattrait au sein du groupe Etat islamique. Pour RTL, "cette attaque est partie de France, transitant par un réseau qui emploierait, d'après les services américains, une quinzaine de hackers chevronnés dans le monde". Pour l'instant, aucune information n'a été confirmée par le parquet antiterroriste ou par l'ANSSI.
L'identité exacte des assaillants. Les hackers ont revendiqué l'attaque au nom de Cyber Caliphate, un groupe qui affirme être affilié aux jihadistes de l'Etat islamique, sans que le lien formel entre les deux soit prouvé. De plus, cette signature n'est qu'"une piste", selon Guillaume Poupard, le directeur de l'ANSSI, qui s'exprimait vendredi 10 avril sur Europe 1. Il est "probable qu'il s'agisse d'un groupe de personnes qui partagent effectivement l'idéologie de l'EI, selon l'expert en sécurité informatique Gerome Billois, contacté par francetv info. Il peut toutefois s'agir d'individus qui revendiquent cette affiliation sans avoir été adoubés par le groupe terroriste."
Le moyen utilisé par les pirates pour accéder au réseau de TV5 Monde. Là encore, les spéculations vont bon train. Pour entrer dans le système et remonter jusqu'au serveur de distribution des images, il a vraisemblablement fallu prendre le contrôle d'un ordinateur de l'entreprise. Pour cela, l'hypothèse la plus probable est l'intrusion dans le système grâce à un e-mail frauduleux envoyé à un employé. Les pirates auraient ainsi pu récupérer de nombreuses informations et observer le fonctionnement du système informatique de l'entreprise. Une autre piste évoque la possibilité d'une intrusion via le logiciel Skype. Quant aux comptes Facebook et Twitter, les mots de passe auraient pu être découverts dans une boîte mail piratée, ou craqués par les pirates. Rien de certain, là encore, en attendant les conclusions des experts de l'ANSSI.
Une faute humaine concernant les mots de passe ? Beaucoup d'informations, non vérifiées, circulent à ce sujet sur les réseaux sociaux. Une rumeur a d'abord circulé, reprenant une soi-disant information russe selon laquelle le mot de passe du serveur principal était "azerty12345". Faux, il s'agissait d'une information publiée par un site satirique et reprise sur les réseaux sociaux. Plus tard, un reportage de France 2 dans les locaux de TV5 Monde a ensuite laissé voir des images de la rédaction sur lesquelles on aperçoit une feuille placardée comportant les codes d'accès à différents services, comme le compte YouTube de la chaîne notamment. L'information, repérée par @rrêt sur image (article payant), est vraie. Mais le reportage étant consécutif à l'attaque, les images n'ont pas pu servir aux pirates. Sauf à imaginer qu'ils aient pu avoir un accès physique à la rédaction lors de la préparation de l'attaque.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.