Retour sur le piratage historique de TV5 Monde. Du mot de passe sur post-it à la faille fournisseur : analyse des erreurs humaines à ne plus commettre.
Vous vous souvenez certainement de la méga-panne qui a touché la chaîne de télévision TV5 en avril 2015. A cette époque, des pirates avaient réussi à prendre possession de ses serveurs et comptes sociaux pour y diffuser de la propagande djihadiste.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Ne pas mettre la faute sur la technologie
Plusieurs jours durant, TV5 s’était alors vue affublée d’un écran noir pendant que les spécialistes désinfectaient la place. Comme souvent aujourd’hui, il est inutile de blâmer uniquement la technologie. La localisation de principale faille se situe principalement entre la chaise et le clavier.
Un exemple? rien de plus facile. Prenez donc un journaliste de TV5 qui se désolait des conséquences quelques jours après la cyber-attaque:
Si l’image semble anodine, elle n’en demeure pas moins un « mur de la honte » en termes de sensibilisation de sécurité. En effet, plusieurs papiers collés sur la vitre arrière contenaient des mots de passe valides vers des comptes de TV5 …. on ne change pas des mauvaises habitudes en quelques jours malheureusement. Cette séquence avait alors fait le tour du monde et avait nécessité des excuses publiques de la direction pour éteindre ce nouveau feu.
Ne pas oublier les risques provenant des fournisseurs
Lors de cette cyber-attaque, l’ANSSI, l’agence nationale française de la sécurité des systèmes d’information, était intervenue pour investiguer et apporter son expertise à la remise en état des lieux. Lors d’une récente conférence, cet organisme a présenté les grandes lignes de cette attaque.
On apprend donc que les pirates ont commencé leur recherche de vulnérabilités en janvier 2015. C’est ensuite déjà en février qu’ils ont trouvé un trou dans la coque de TV5 en exploitant une connexion VPN d’un fournisseur. Passé cette première étape, la suite s’enchaîne logiquement: scan de l’environnement interne, création de comptes, escalade des privilèges …. et les clés du royaume sont ensuite aux pirates.
On est passé à deux doigts de catastrophes, que ce soit la destruction de matériel ou la publication de contenu illégitime. Tout cet événement est représentatif de l’extrême vulnérabilité des systèmes informatiques aujourd’hui. Il y a un réel problème de prise de conscience de l’importance de l’informatique dans nos sociétés modernes
Des Spécialistes de l’ANSSI
Ce retour d’expérience montre que la prise en compte du risque interne ne suffit pas. Les connexions des fournisseurs nécessitent d’être encadrées. Les contrats doivent préciser les modalités d’accès mais pas seulement. A cet endroit, les conditions de confidentialité et de formation en matière de sécurité du fournisseur doivent y être décrites. Il reste ensuite à disposer les bons contrôles opérationnels et en particulier un contrôle d’accès efficace. Pour ce faire, les principes du besoin de savoir (need to know) et du privilège minimum (least privilege) sont les standards minimums à respecter avec, par exemple:
- connexion ouverte au besoin (incident, ticket de changement),
- limitée à la machine concernée, au protocole de communication nécessaire, …
- limitée dans le temps,
- traçée (journal des opérations) en obligeant de passer par une zone de rebond,
- mot de passe valable uniquement pour une intervention,
- …
Pour en revenir à TV5, voici plus de détails sur le déroulement de la cyber-attaque:
Pirater une chaîne de TV internationale, mode d’emploi
Au printemps 2015, des hackers probablement d’origine russe avaient réussi à saboter en profondeur la chaîne d’information francophone TV5 Monde. Voici le récit de cette opération, sur la base d’éléments techniques qui viennent d’être révélés.
et si vous ne vous souvenez pas du piratage voici en rappel une série d’articles pour raviver votre mémoire:
Un résumé complet sur Wikipedia
Cyberattaque contre TV5 Monde — Wikipédia
La cyberattaque contre TV5 Monde est une cyberattaque qui entraîne entre les 8 et 9 avril 2015 l’arrêt de la diffusion des programmes de la chaîne de télévision francophone internationale TV5 Monde, et la publication de messages de soutien à l’État islamique sur ses réseaux sociaux[1].
ou des articles de synthèse
Piratage de TV5 Monde : retour sur une attaque sans précédent
Vingt heures après la cyberattaque dont a été victime TV5 Monde, la télévision francophone a pu reprendre normalement ses programmes jeudi en fin de journée.
Le piratage de TV5 Monde vu de l’intérieur
Pour la première fois, les agents envoyés à la rescousse de la chaîne de télévision en 2015 racontent comment ils ont paré cette cyberattaque inédite.
ou en vidéo:
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
