Your new post is loading...
Dans la soirée de mercredi à jeudi, la chaine TV5 Monde a été victime d’une cyber attaque sans précédent. Au delà de son site web et de ses relais sur les réseaux sociaux, c’est la diffusion des programmes qui a été visée. Ainsi, hier, pour la première fois, des hackers ont réussi à contraindre une chaîne a interrompre sa diffusion. En exclusivité, Breaking3zero vous révèle comment, qui et pourquoi.
ALERTE
Il est 21h50 à Paris lorsqu’une des abonnées du fil Twitter de Breaking3zero nous informe d’un problème avec le compte Twitter de TV5 Enseigner.
Le fil présente tous les signes d’un piratage. Sa page a été “défacée” et le logo de la chaine est remplacé par celui du “cybercaliphate”.
Ses derniers tweets sont désormais un robinet de propagande pro-islamiste.
Contre les États-Unis et son allié la France. Le Président de République François Hollande est nommé et l’on recommande aux familles de soldats français de les convaincre de quitter leurs rangs.
Certains tweets – que nous reproduirons pas ici – sont des copies de cartes d’identité et de passeports français. Ils sont présentés comme ceux de militaires français combattants contre l’État islamique. Des futures cibles.
Sur le net, Daech nous a habitué à ce genre de publication choc.
Normalement, c’est l’armée américaine qui est visée et, comme nous l’avons démontré ici avant que le Pentagone ne le confirme, les informations publiées sont souvent périmées et proviennent de sources publiques.
Il est maintenant un peu plus de 22 heures et un à un les relais sociaux de TV5 tombent sous le contrôle des pirates : Twitter, Facebook, Youtube puis le site web.
A première vue l’opération rappelle deux autres.
Celle contre le Centcom dont les sites sociaux avaient été piraté pendant une trentaine de minutes le 12 janvier 2015 et puis celle, plus massive, contre 19 000 sites français au lendemain de l’attaque contre Charlie Hebdo.
A cette occasion, Breaking3zero avait mené l’enquête dans les réseaux du cyber jihadisme et retrouvé le groupe en charge de l’attaque. Qui nous avait alors révélé son intention de s’attaquer prochainement aux médias français.
Tandis que la présence de TV5 sur le net était remplacée par de la propagande du cybercaliphate, tandis qu’un écran noir remplaçait les programmes des différentes chaînes du groupe, nous avions notre point de départ.
PREMIERS SUSPECTS
“Nous continuerons à attaquer la France. Ces attaques dureront tant que celle-ci continuera a discriminer les musulmans, et tant qu’elle poursuivra ses guerres à l’étranger.
Notre prochaine cible sera les médias français qui jusqu’à aujourd’hui nous ont sous-estimés. Vous verrez vite quels journaux seront touchés, et avec quelle ampleur. Ce sera une surprise.”
Focus est le chef du groupe Fellagas, des pirates tunisiens responsables de ce que le vice-amiral Arnaud Coustillère, en charge de la cyber-défense au Ministère de la Défense avait désigné comme « la plus grande attaque informatique qu’un pays ait jamais affrontée ».
Lorsque nous l’avions interrogé en février dernier, Focus nous avait clairement annoncé son intention et celle de son groupe de poursuivre ses attaques contre la France. Et plus particulièrement contre ses médias.
Si le defacing – modification de la page d’accueil d’un site – est une des spécialités du groupe, le contrôle d’un compte twitter et du système de diffusion des programmes d’un réseau de télévision en est une autre.
Non pas que les Fellagas n’en seraient pas capables mais parce que cela ne correspond pas à leur mode opératoire.
Ni la signature d’ailleurs. Des couleurs utilisées à l’identité affichée sur les sites piratés, tout indiquait qu’il s’agissait d’un autre groupe de pirates.
Pour les identifier, il nous a fallu partir sur leurs traces virtuelles jusqu’au coeur des sites piratés.
MODUS OPERANDI
Le piratage de TV5 a été effectué via une faille Java. Une faille sur un ordinateur particulier : celui de l’administrateur des réseaux sociaux de la chaîne ou bien un directement connecté à la régie.
Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC.
Son nom ? isis…
Isis est un ver qui, une fois introduit dans le réseau de TV5, a continué a croître jusqu’à atteindre sa cible : le serveur de transmission.
Mais avant d’en arriver là, il faut expliquer comment ce redoutable virus a été introduit sur l’ordinateur fautif.
Pas pour rendre public un secret de hacker mais parce que cela concerne un outil utilisé de plus en plus dans les rédactions.
Une des manières les plus anciennes est l’envoi d’un faux courrier électronique ressemblant à un officiel de la chaine. L’utilisateur clique et sans le savoir installe sur son PC un script.
Un programme qui permet au pirate de prendre le contrôle de son ordinateur, sa webcam et…ses mots de passe.
Le quotidien Le Monde a failli être victime de ce genre d’attaque en janvier dernier.
Une autre manière de procéder est l’envoi d’un communiqué de presse ou d’un document électronique. Là aussi, sur le document se cache un script html qui va ensuite prendre le contrôle du pc de l’utilisateur.
La troisième est celle qui nous semble la plus probable.
Elle consiste pour un pirate à s’emparer de l’identité I.P. d’un utilisateur via Skype.
La manoeuvre est déconcertante de simplicité et de rapidité. Une de nos sources l’a effectué devant nous, sur un de nos ordinateurs afin de l’illustrer.
Les journalistes de TV5 comme beaucoup d’autres médias utilisent Skype. Y compris dans leurs communications avec certains jihadistes.
C’est vraisemblablement lors d’une de ses sessions – récente- que l’adresse IP a été dérobée et avec elle, l’identité du réseau de la chaîne.
Retour au virus maintenant.
Nous sommes moins de 30 minutes après son lancement.
Tandis que d’autres virus sont installés sur le réseau – nos sources en ont identifié trois autres dont un sous la forme d’un script html installé directement sur la page web de TV5, et qui, avant sa destruction par les techniciens de la chaîne, menaçait tout visiteur du site – isis a fait son chemin jusqu’au serveur de transmission.
Là où le signal des programmes est converti d’analogique en numérique avant d’être envoyé au satellite de diffusion.
Cette centrale de dispatching est le coeur de TV5.
C’est de là que ses programmes partent vers le monde entier. C’est la cible de l’opération.
Mais avant d’en dévoiler le but, il faut revenir sur les auteurs de l’attaque.
Une attaque complexe, pensée et préparée pendant des mois.
LES PIRATES
Sans surprise, les pirates se sont cachés derrière un VPN mais malgré toutes leurs précautions, n’ont pas réussi a camoufler toutes leurs traces.
Pour les identifier, nos sources ont dû isoler le virus isis puis le craquer afin de trouver l’identité de son concepteur, sa provenance et l’identité de son ou ses diffuseurs.
Deux programmes ont été utilisés pour créer le virus : JRAT MAC et WINRAT.
Le virus est bien évidemment crypté mais une fois sa protection cassée, il révèle, comme nous le pensions, ses secrets.
Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflageafin d’échapper aux anti-virus de la chaîne, sa programmation…
Plus amusant, nous apprenons aussi aussi qu’il a été conçu et propagé par un PC sous Windows 7.
Enfin, isis cache en son sein l’identité de son concepteur et son pseudonyme de hacker.
Son nom NAJAF.
Son pseudo ? JoHn.Dz
Dz comme la signature de tous les hackers algériens.
L’Algérie dont les couleurs du drapeau se retrouvent sur chaque page de TV5 piratée par le cybercaliphate.
L’Algérie jusqu’où notre source a réussi a retracer l’activité du pirate.
Mais NAJAF n’est pas seul.
En suivant le parcours de la propagation du virus, nous avons découvert qu’un second pc a aidé l’Algérien dans son opération.
Cet ordinateur appartient à un dénommé Khattab.
Khattab est en Irak et combat avec daech.
Nous avons réussi également a remonter jusqu’à son compte Twitter.
Un compte qui sert uniquement à relayer les opérations de EI. Ainsi alors que l’opération contre TV5 débutait à peine, Khattab en tweetait déjà les détails….
POURQUOI ?
Pourquoi deux hackers directement liés à ISIS se sont-ils attaqués à TV5 ?
Au delà de l’opération de communication et du côté spectaculaire de la chose, il y a une raison politique.
Depuis l’affaire Charlie Hebdo, TV5 est devenue une cible des islamistes, mécontents de sa couverture des événements de Paris.
Une couverture d’autant plus décriée que TV5 est présente au Moyen-Orient et en Afrique.
Tout comme France 24 d’ailleurs, qui, selon nous sources, fait elle aussi partie des cibles de certains cyberjihadistes.
Mais ce n’est pas tout.
Le virus isis avait une mission très précise : s’emparer du serveur de transmission et en offrir l’accès aux pirates.
En clair, le but de l’opération était de prendre le contrôle de l’antenne de TV5.
Et d’utiliser cette immense vitrine pour diffuser un film de propagande de l’État islamique.
Pas qu’à Paris mais dans les 257 millions de foyers répartis dans plus de 200 pays et territoires.
Hier soir, les hackers de daech ont tenté de pirater le deuxième plus grand réseau mondial de télévision pour une opération de propagande à l’envergure inédite.
La rapidité et l’efficacité des services techniques de TV5 a empêché le pire.
Mais l’attaque a aussi démontré la vulnérabilité de nos infrastructures.
