Un groupe qui se revendique de l’Etat islamique a mené une cyberattaque contre la chaîne dans la nuit de mercredi à jeudi, perturbant gravement sa diffusion pendant près de vingt-quatre heures.
Ecran noir pendant huit heures. Dans la nuit de mercredi à jeudi, le groupe français TV5 Monde, qui émet dans deux cents pays, a été victime d’une attaque informatique de grande ampleur. Le piratage a été revendiqué par un groupe, le «CyberCaliphate», se réclamant de l’Etat islamique. Le ministre de l’Intérieur, Bernard Cazeneuve, qui s’est rendu au siège de la chaîne dans la matinée, a annoncé l’ouverture d’une enquête par le parquet de Paris. Elle sera menée par la Direction générale de la sécurité intérieure (DGSI), ainsi que par la sous-direction antiterroriste (SDAT) et les cyberflics de la police judiciaire. L’Agence nationale de la sécurité des systèmes d’information (Anssi), rattachée au Premier ministre, s’est également rendue sur place, pour aider les équipes techniques du groupe à comprendre ce qui s’est produit.
Que s’est-il passé ?
«Nous avons constaté dans le cœur de réseau des mouvements atypiques entre 20 h 30 et 21 heures, explique Thomas Derobe, le secrétaire général du groupe. Peu à peu, l’attaque a progressé.» A 21 heures, les pirates ont «neutralisé» le multiplexeur, le dispositif de diffusion des programmes : TV5 Monde n’émettait plus. «Au départ, on a pensé à une panne, poursuit Jean-Pierre Vérines, le directeur informatique. Mais la destruction de notre serveur de messagerie n’a plus laissé de doute.»
Pour éviter la propagation, les équipes techniques coupent l’ensemble du réseau vers 22 heures. Parallèlement, les comptes Twitter et Facebook du groupe ont été piratés, affichant des messages de propagande et des documents présentés comme des pièces d’identité et des CV de proches de militaires français, ce que le ministère de la Défense n’a pas confirmé. «Le pare-feu, les modalités de sécurité étaient à jour, juge Jean-Pierre Vérines. C’est une attaque méthodique, structurée.»
A 5 heures du matin, TV5 réussit à rétablir le signal, puis à reconstituer l’ensemble des chaînes vers 10 heures, «sauf pour ce qui concerne nos journaux d’information : nous n’avons pas encore rétabli la production propre», a précisé Thomas Derobe jeudi, en début d’après-midi.Le réseau a été remis en place morceau par morceau, avec le concours de l’Anssi, qui a dépêché une quinzaine de personnes sur place, et confirme qu’il s’agit d’une «attaque sérieuse». En fin d’après-midi, la chaîne a finalement pu reprendre une diffusion normale.
Quant à savoir comment les pirates se sont introduits dans le réseau du groupe, c’est la grande inconnue. «On a des hypothèses, mais on ne se prononce pas encore», indique Jean-Pierre Vérines. Motus aussi du côté de l’Anssi, où «les études sont en cours». Il y a quinze jours, TV5 avait été avertie par l’Anssi d’une utilisation frauduleuse d’un de ses serveurs, non protégé, serveur que l’agence avait récupéré pour mener des investigations.
Qui est le «CyberCaliphate» ?
Surprise : le 12 janvier, le compte Twitter, du CentCom, le commandement du Pentagone pour le Moyen-Orient, affiche une ribambelle de messages pro-Etat islamique (EI). La photo de profil est remplacée par un poster représentant un jihadiste, visage masqué par un keffieh, surplombé d’une inscription : «CyberCaliphate». Idem sur le compte YouTube du CentCom. Un mois plus tard, le même visuel réapparaît, cette fois sur le compte Twitter de Newsweek. Les deux piratages sont revendiqués par ce groupe dont personne n’avait entendu parler jusque-là. Premiers hauts faits du bras cyberarmé de l’EI ? Rien ne permet de l’affirmer. Romain Caillet, spécialiste des mouvements jihadistes, remarque que «la revendication [de l’attaque contre TV5 Monde] n’émane pas de l’un des comptes de l’Etat islamique. Aucun de leurs canaux habituels n’a été utilisé pour la revendiquer». Autre indice, des fautes en arabe parsèment le texte de revendication. «Il a, semble-t-il, été traduit via Google Translate», note le chercheur, qui n’a aucun doute : «L’EI n’est pas responsable de l’attaque.» Qui se cache, dès lors, derrière cette étrange bannière de CyberCaliphate ? Romain Caillet n’exclut pas qu’ils soient des «sympathisants de l’EI», mais rien n’empêcherait non plus des pirates informatiques un peu dégourdis d’utiliser ce nom comme couverture. Toutes les hypothèses sont alors possibles. C’est la principale difficulté à laquelle sont confrontés les enquêteurs en matière de cyberattaque : l’attribution. Certains pirates excellent dans l’art de faire disparaître leurs traces, voire celui de laisser des traces pour guider vers de faux auteurs…
Les médias sont-ils suffisamment protégés ?
C’est la question qu’a posée jeudi matin la ministre de la Culture, Fleur Pellerin, en annonçant qu’elle allait réunir rapidement les patrons des grands médias pour s’«assurer des points de vulnérabilité ou de risque qui peuvent exister et de la manière de les traiter au mieux». Ces dernières années, les cas de piratages contre des grands médias se sont multipliés, dont ceux de comptes Twitter (Financial Times, Associated Press, Newsweek ou le Monde) par divers groupes, notamment la Syrian Electronic Army (pro-Bachar al-Assad) et, dernièrement, le CyberCaliphate. En janvier 2013, le New York Times avait lui aussi été victime d’une attaque attribuée à des pirates basés en Chine, de grande ampleur cette fois, puisque les ordinateurs de 53 employés du journal avaient été «visités». L’attaque dont a été victime la chaîne TV5 Monde est, elle aussi, profonde et inquiète tout le secteur.
Dans les faits, tous les médias ne sont pas égaux devant la menace. Certaines chaînes de télévision et stations de radio font partie des «opérateurs d’importance vitale» - autrement dit, les infrastructures critiques -, dont la liste est classifiée. Celles-ci sont en lien régulier avec l’Anssi, qui leur fait des recommandations, par exemple en matière «d’hygiène informatique». Ces médias stratégiques seront bientôt tenus, en application de la loi de programmation militaire votée en décembre 2013, de se doter de systèmes de détection d’incidents et de procéder à des audits réguliers. Les autres médias se débrouillent comme ils peuvent. Et même s’ils sont bien protégés, ils ne sont jamais à l’abri d’une erreur humaine : dans le cas du Monde, des salariés avaient été victimes de mails frauduleux très élaborés destinés à leur soutirer des informations.
Junaid Hussein est-il derrière CyberCaliphate ?
Junaid Hussain
Hormis ces faits d'armes, on sait peu de choses sur ce groupe qui se présente comme le bras armé de l'Etat islamique. Selon les services américains qui ont enquêté sur l'attaque contre le CentCom, l'homme à la tête de ce réseau serait Junaid Hussain, un britannique d'une vingtaine années. Ce petit crack de l'informatique, qui a rejoint la Syrie en 2012, était jusqu'à présent connu pour avoir dérobé de données personnels concernant Tony Blair et sa famille en infiltrant la boîte mail de l'une de ses assistantes.
Avant de rejoindre la Syrie, il était l'un des membres de TeaMpOison, un collectif de hackers qui pirataient tout et n'importe, uniquement pour le plaisir. A l'époque, Junaid Hussain disait n'être guidé par aucune idéologie politique ou religieuse. Le jeune homme a visiblement évolué... Néanmoins, affirmer qu'il est bel et bien derrière l'attaque contre TV5 Monde est trop tôt. Le saura-t-on d'ailleurs un jour ?
De son côté, le journaliste de France 24, spécialiste des mouvements jihadistes, Wassim Nasr n'est pas persuadé par les auteurs de l'attaque sont en lien avec l'Etat islamique. "Il y a beaucoup d'incohérences sur la façon de communiquer, les textes publiés sur Facebook sont bourrés de fautes, notamment celui en arabe, ce qui me laisse penser que le ou les auteurs ne sont pas arabophones. Par ailleurs, l'iconographie utilisée est ancienne et reprend le terme 'ISIS', l'abréviation en anglais de l'État islamique, alors qu'aujourd'hui, 'IS' est privilégié", explique-t-il à Metronews
Parallèlement, l'Etat islamique lui-même, n'a jamais mentionné, ni même revendiqué une cyberattaque via CyberCaliphate. La piste d'un groupe autonome, potentiellement n'importe où dans le monde, n'est pas à écarter, loin de là. Selon les services américains (NSA), l'attaque contre TV5 Monde serait partie de France.
Pierre ALONSO
Luc MATHIEU
Amaelle GUITON