L’événement avait fait grand bruit. Il y a environ deux ans, dans la nuit du 8 au 9 avril 2015, la chaîne d’information francophone TV5 Monde cesse d’émettre. Le site web et les comptes de réseaux sociaux sont défigurés et arborent les couleurs d’un mystérieux groupe de pirates baptisé « Cyber Caliphate ». Le lendemain, les ministres se pressent au siège parisien pour montrer leur soutien, pendant que les experts en sécurité informatique de l’ANSSI commencent méticuleusement leur travail d’investigation et de remédiation. Rapidement, le « Cyber Caliphate » se révèle être un faux nez d’APT28, un groupe de hackers russes. La chaîne audiovisuelle met des mois avant de retrouver un fonctionnement normal. L’impact financier se chiffre en millions d’euros. « C’est avéré, par le mode opératoire utilisé, que le but était de nous détruire », estimait Yves Bigot, directeur général de TV5 Monde, en décembre 2015.
Fait rare, l’Agence nationale de sécurité des systèmes d’information (ANSSI) vient maintenant de présenter une analyse technique assez complète de cet événement, à l’occasion de la conférence SSTIC 2017. Elle met en lumière de manière concrète le mode opératoire utilisé par les pirates et les failles dont ils ont profité. Le déroulement de l’attaque se présente comme un cas d’école d’une attaque ciblée, avec quatre grandes phases : exploration, compromission, collectes/vérifications et sabotage.
Les pirates ont commencé leur travail plusieurs mois avant, à partir de janvier 2015. En analysant l’environnement technique de TV5 Monde, ils découvrent d’abord un serveur qui permet aux journalistes de transmettre à la chaîne leurs contenus audiovisuels. Mal configuré, celui-ci dispose d’un compte RDP (Remote Desktop Connection) avec des identifiants par défaut. Les pirates s’y connectent et déposent un logiciel d’accès à distance (RAT, Remote Access Tool), mais repartent bredouille car la machine n’est connectée au reste du réseau que par des connexions coaxiales spécialisées, peu exploitables.
La porte d’entrée était le compte VPN d’un prestataire
Mais la seconde tentative sera la bonne. Quelques jours plus tard, le 6 février 2015, les pirates reviennent et s’introduisent avec succès dans le réseau en utilisant le compte VPN d’un prestataire. Ils scannent le réseau interne de la chaîne et découvrent rapidement deux machines Windows qui gèrent les robots de caméras du plateau du journal de TV5 Monde. Des comptes configurés par défaut par l’intégrateur leur permettent d’installer sans problème un RAT sur ces deux ordinateurs.
A partir de là, ils se mettent à la recherche du Graal de chaque attaque ciblée en entreprise : l’Active Directory, la base de données de tous les comptes utilisateurs du réseau. Les pirates arrivent à se connecter sur un serveur hébergeant l’Active Directory par l’intermédiaire d’un compte administrateur qui appartient – là encore – à un prestataire. Immédiatement, ils créent leur propre compte administrateur, baptisé simplement « LocalAdministrator ». On est le 11 février.
Les pirates s’offrent quelques jours de répit. A partir du 16 février, ils commencent la collecte d’informations. Ils espionnent la messagerie internet et siphonnent le Wiki interne de la chaîne où ils trouvent toute la documentation technique. Ils obtiennent des identifiants, des adresses IP, des schémas d’architecture et de réseaux, des descriptions de procédures métier, etc. C’est le jackpot. Grâce à ces informations – qu’ils vérifieront plusieurs fois – les pirates ont une maîtrise totale de l’infrastructure de TV5 Monde. Les pirates déposent alors sur la machine d’un administrateur réseau (« Ankou ») une porte dérobée baptisée « ConnectBack ». Elle leur permettra de se connecter directement au réseau de la chaîne sans passer par le VPN. Puis ils attendent tranquillement le jour J.
Le 8 avril, au soir, ils se connectent sur Ankou. Ils commencent par installer sur cette machine un RAT qui ne sera jamais utilisé. Il s’agit d’un leurre destiné à brouiller les pistes par la suite. Puis c’est le début du sabotage. Vers 20 heures, ils endommagent la configuration IP des encodeurs et des multiplexeurs. Au prochain redémarrage, ils seront totalement inopérants. Vers 21 heures, ils défigurent les sites web et les comptes de réseaux sociaux. Vers 22 heures, ils effacent les firmwares des switchs et des routeurs du réseau de TV5 Monde. Le résultat est immédiat : c’est l’écran noir. Au sein de la chaîne, la panique s’installe. Vers 22h40, les pirates lancent leur dernière action de sabotage en supprimant un certain nombre de machines virtuelles dont la messagerie interne. Vers minuit, les équipes techniques décident de couper la connexion Internet. L’attaque est enfin stoppée, mais l’infrastructure technique est en ruine.
Le stress de la reconstruction
Dès le jour suivant, les experts de l’ANSSI sont sur place pour analyser la situation et sauver la chaîne. Parmi leurs premières mesures figurent la mise en place d’une cellule de crise, de « bulles Internet filtrées » et d’un « système SAS pour clés USB ». Au départ, les journalistes doivent se contenter de cinq postes connectés à Internet. « On ne pouvait pas faire confiance à quoi que ce soit, car on ne savait pas tout ce que l’attaquant avait touché. On n’avait encore rien nettoyé à ce stade-là », explique l’un des experts de l’ANSSI.
Puis, lentement, ces spécialistes de la sécurité informatique vont reconstruire un réseau opérationnel, sain et intègre, en s’appuyant évidemment sur les compétences des équipes internes. Pendant des semaines, les salariés vivent l’enfer, avec des conditions de travail très détériorées (horaires importants, vacances annulées) et la peur au ventre de revoir surgir les pirates. Le niveau de stress est tel qu’une simple réinitialisation de mot de passe peut subitement faire craquer certaines personnes.
La bascule technique vers le nouveau réseau interviendra le 11 mai. TV5 Monde renaît enfin de ses cendres. Tout au long de ce long processus de remédiation, l’ANSSI découvre – sans grande surprise – les nombreux points faibles du réseau de TV5 Monde : cloisonnement et segmentation réseau peu efficace, perte de maîtrise technique en raison d’une trop grande externalisation, gestion laxiste des privilèges d’accès, mises à jour lacunaires des systèmes, etc. En particulier, le « firewall quasi neuf » dont s’était vanté le directeur informatique de TV5 Monde le lendemain de l’attaque n’était en réalité pas opérationnel, car il n’y avait « aucune règle de filtrage ou peu, peut-être deux au maximum », souligne l’expert.
Au niveau piratage, cette affaire est assez emblématique, et c’est sans doute pour cela que l’ANSSI – d’ordinaire assez peu bavarde sur les incidents de sécurité – a décidé de communiquer. « On est passé à deux doigts de catastrophes, que ce soit la destruction de matériel ou la publication de contenu illégitime. Tout cet événement est représentatif de l’extrême vulnérabilité des systèmes informatiques aujourd’hui. Il y a un réel problème de prise de conscience de l’importance de l’informatique dans nos sociétés modernes », conclut l’expert de l’ANSSI. Espérons que cette prise de conscience générale arrivera bientôt.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.