Aux environs de 22 heures, le 8 avril, la chaîne de télévision francophone TV5 Monde, dans plus de 200 pays et territoires dans le monde, a été la cible d’une cyberattaque parfaitement synchronisée et d’une ampleur inédite.
Ainsi, le média a commencé par perdre l’accès de ses comptes Facebook et Twitter ainsi que celui de son site Internet. Plus grave encore, les pirates ont réussi à pénétrer dans son système informatique qui contrôle la diffusion de ses programmes. Pour cela, ils ont probablement utilisé un programme malveillant (malware) introduit via une pièce-jointe. Ce dernier leur aurait permis d’atteindre le serveur de transmission de la chaîne et d’en prendre le contrôle.
« Nos systèmes ont été extrêmement détériorés » par cette attaque « d’une puissance inouïe » et le retour à la normale « va prendre des heures, voire des jours », a expliqué Yves Bigot, le directeur général de TV5 Monde.
Dans la plupart des cas, les attaques informatiques visent à subtiliser des informations ou bien consistent à rendre inaccessible un serveur en le submergeant de requêtes (attaque dite de déni de service) ou à « défacer » un site Internet ou un compte sur un réseau social pour diffuser un message de propagande. Là, en se prenant aux moyens de diffusion d’une chaîne de télévision, les pirates ont franchi une étape supplémentaire.
L’attaque contre TV5 Monde a été menée par le « Cybercaliphate », qui se réclame de l’État islamique (EI ou Daesh). Il n’en est pas à son coup d’essai : par exemple, en janvier, il avait réussi à prendre le contrôle des pages gérées par l’US CENTCOM, le commandement militaire américain pour le Moyen Orient et l’Asie centrale, sur Twitter et Youtube.
À l’époque, ce « cybercaliphate » avait même diffusé une liste d’adresses présumées d’officiers américains, avant de lancer des menaces via Twitter. « Nous n’arrêterons pas! Nous savons tout sur vous, vos femmes et vos enfants », avait-il averti.
En prenant le contrôle des comptes gérés par TV5 Monde sur les réseaux sociaux, l’EI en a fait de même, via un message de propagande rédigé dans un français approximatif accompagnant des documents présentés comme étant des pièces d’identité et des CV de proches de militaires français engagés dans l’opération Chammal. Ce qui reste encore à vérifier.
« Hollande, tu as fait une faute impardonnable (en) ayant décidé d’envoyer tes troupes pour être pour être aux petits soins auprès de kafirs américains dans cette guerre qui ne mène à rien. C’est pour ça que les Français ont reçu les cadeaux de janvier à Charlie Hebdo et à l’hyper Casher », indique le message.
« En cet instant, à l’aide d’Allah, le Cybercaliphate est en train de rechercher les familles des militaires qui se sont vendus aux Américains et servent à la base navale Camp de la Paix [ndlr, aux Émirats arabes unis] et à bord du Charles de Gaulle », poursuit le texte [ndlr, les fautes de français ont été corrigées]. Et d’ajouter : « Les kafirs français, si vous voulez sauver vos familles, vous devez abandonner l’idée de la participation à l’opération contre l’État islamique. C’est seulement comme ça que vous pouvez éviter le châtiment et sauvegarder vos vies et celles de vos proches ».
Reste donc à établir l’authenticité des documents présentés par le Cybercaliphate, ce que s’attachent à faire les autorités françaises. Mais l’on peut toutefois douter de leur véracité. En effet, il aurait fallu aux « cyberjihadites » avoir des noms de militaires français engagés dans l’opération Chammal, puis chercher les cartes d’indentité et les CV de leurs proches. Or, ce sont des informations relativement difficiles à trouver (tout le monde ne met pas sa carte d’identité ou son passeport en ligne…).
En clair, montrer des documents – qui ne sont pas restés longtemps en ligne – est une chose. Qu’ils soient vrais en est une autre. En tout cas, il est certain que cette manipulation vise à surtout à semer le trouble et relève de l’intimidation.
Cela étant, il faut toujours être prudent sur les informations que l’on donne sur les réseaux sociaux, qui restent la source principale des jihadistes. C’est pour cette raison que le ministère de la Défense a publié un guide des bonnes pratiques afin de ne pas communiquer d’informations sensibles.
Comment pirate-t-on un média ?
Les médias sont une cible privilégiée des pirates lorsqu'ils ont un message à faire passer. Mais toutes les attaques informatiques ne se valent pas.
Pour ce qui est de la sécurité informatique, les médias ne sont pas tout à fait des entreprises comme les autres. Elles communiquent beaucoup, et souvent dans l'urgence, ce qui les rend perméables aux attaques informatiques. Le risque de recevoir des logiciels malveillants y est élevé. Par ailleurs, leur visibilité en fait des cibles de choix pour qui veut communiquer un message.
Du piratage du compte Twitter à l'arrêt complet de la diffusion, tous les piratages n'ont pas la même puissance ou le même niveau de technicité. «Il y a trois niveaux de piratage dans une entreprise de média», explique au Figaro Gérôme Billois, expert en cybersécurité au Cabinet Solucom.
● Premier niveau: les réseaux sociaux
Peu complexes et très visibles, les piratages des comptes officiels de médias sur les réseaux sociaux sont les plus fréquents. «Ce sont des services accessibles depuis n'importe où sur Internet, ce qui les rend plus vulnérables» expose Gérôme Billois. «À partir du moment où on a volé l'identifiant et le mot de passe du compte, on peut accéder facilement aux comptes Twitter ou Facebook.»
Pour obtenir ces sésames, on utilise une technique vieille comme le piratage, le phishing. Cette pratique consiste à envoyer un faux email au propriétaire des mots de passe, généralement le responsable des réseaux sociaux ou de la communication du média. «On les piège pour qu'ils tapent le mot de passe sur un site factice. Les identifiants sont alors capturés» explique l'expert en sécurité informatique.
Cette méthode est rendue plus facile par une caractéristique des emails assez peu connue: il n'est pas très difficile de falsifier l'adresse d'un expéditeur, sans même pirater sa boîte mail. Lorsqu'on doute d'un mail envoyé par un collègue, on peut toujours regarder, dans le texte complet du mail, de quels serveurs la missive a été envoyée.
● Deuxième niveau: le réseau d'entreprise
Pour rentrer dans le réseau interne d'une entreprise, c'est un peu plus complexe. Le butin est aussi plus conséquent: «on accède notamment aux fichiers de l'entreprise et parfois au système de publication de son site», poursuit Gérôme Billois. Dans le cas d'une entreprise médiatique, c'est très important: les pirates peuvent se servir du site Web du média pour diffuser leurs messages, et parfois, de fausses informations.
Pour Gérôme Billois, «c'est souvent la même méthode de phishing qui est employée au début.» Non seulement les mots de passe peuvent être dérobés, mais le mail va inciter l'utilisateur à cliquer sur une pièce jointe. Derrière cette pièce jointe, un logiciel malveillant est alors amené à s'exécuter dans l'ordinateur, désormais infecté. Ce sont souvent des RAT, un acronyme anglophone qui désigne des programmes d'accès à distance. Le pirate peut donc s'infiltrer, depuis son propre ordinateur, sur le réseau de l'entreprise visée.
Ce genre d'attaque peut être parée «en mettant en place la détection de flux anormaux sur le réseau interne de la société», explique Gérôme Billois. En matière de sécurité informatique, les pirates et leurs cibles jouent souvent au chat et à la souris.
● Troisième niveau: le système de diffusion
Dans de nombreuses entreprises, il y a des systèmes «cœur de métier». Dans une chaîne, il s'agit de tout ce qui concerne la diffusion et l'antenne. «Normalement, ce sont les systèmes qui sont isolés», indique Gérôme Billois. Pour parvenir à toucher ces systèmes, il est donc nécessaire de connaître leur fonctionnement au sein de l'entreprise.
Une fois que le pirate a pénétré le système grâce au phishing, il peut donc y rester pendant plusieurs semaines, voire plusieurs mois, dans une phase de préparation de son attaque. «Il peut consulter la documentation technique, observer les opérations de maintenance informatique. Petit à petit, il acquiert suffisamment de compétences pour mener son attaque. En moyenne, les attaques ciblées sont détectées au bout de 200 jours», constate Gérôme Billois.
Lorsqu'une telle attaque survient, il n'est pas facile de revenir à la normale. «Quand la sécurité d'un ordinateur a été compromise, il est difficile de lui refaire confiance. Il faut tout réinstaller, et forcément, cela prend du temps», conclut Gérôme Billois.
Jules Darmanin
La DGSI et la sous-direction antiterroriste saisies
L'Agence nationale de la sécurité des systèmes d'information a triplé le nombre d'experts envoyés au siège de la chaîne pour tenter de juguler ce hacking. Plusieurs jours seront nécessaires pour stopper cette attaque.
Sans attendre, la plus grave cyber-attaque jamais commise contre une chaîne de télévision a déclenché une riposte d'envergure. La Direction générale de la sécurité intérieure (DGSI), la Sous-direction antiterroriste et les cyber-policiers de la Direction centrale de la police judiciaire ont été saisis par le parquet de Paris après le piratage généralisé de TV5 Monde par des inconnus se réclamant du groupe djihadiste État islamique. Les services du procureur ont ouvert une enquête pour «accès, maintien frauduleux et entrave au fonctionnement d'un système de traitement automatique de données» ainsi qu'«association de malfaiteurs en relation avec une entreprise terroriste».
Constatant que «TV5 Monde a dû interrompre ses programmes et rendre son site Internet inaccessible» et que «les comptes de la chaîne sur les réseaux sociaux ont également été attaqués», l'Agence nationale de la sécurité des systèmes d'information (Anssi), rattachée au Secrétariat général de la défense et de la sécurité nationale (Premier ministre), a dépêché des ingénieurs en sécurité informatique au siège de la chaîne de télévision pour «apporter son soutien technique aux équipes de TV5 Monde». Leur nombre est monté en puissance. Alors qu'ils étaient 4 ce matin, les techniciens de l'agence sont désormais au nombre de 13 pour tenter de comprendre les contours de cette entreprise de hacking. Selon l'Anssi, plusieurs jours devront être nécessaires pour stopper cette attaque. L'objectif est de sécuriser le système d'information afin que les pirates ne puissent pas recommencer dans quelques jours.
1500 attaques recensées la semaine des attentats de janvier
Dans la semaine qui a suivi les attentats du 7 janvier dernier, les experts de l'Anssi ont enregistré près de 1500 attaques émanant de groupe revendiquant la «Défense des musulmans» et la cause pro-palestinienne. Cette vague, baptisée #Opfrance sur les réseaux sociaux, a essentiellement ciblé des sites de collectivités territoriales de faible envergure, des PME ainsi que de très petites entreprises toutes reliées à une série de serveurs. Quelques grandes banques mais aussi l'ONU figuraient aussi au nombre des entités ciblées en théorie par les terroristes.
Selon un bilan de l'Anssi, plusieurs cyber-attaques sont recensées chaque jour sachant, précise une source, que «les victimes ne se déclarent pas forcément de peur de voir leur image de marque flétrie».
Outre la défiguration des sites par des messages et des vidéos de propagande, les services spécialisés de Matignon observe la montée en puissance des dénis de service saturant les serveurs pour les bloquer et l'existence d'attaques espions. Pour l'heure, même si la France reste épargnée à la différence d'autres pays, les experts ne cachent pas leur inquiétude face à des menaces de cyber-sabotages qui visent à détruire des données des ordinateurs, voire paralyser des unités de production industrielles et stratégiques.
Pour faire face à ce type de menace extrême, l'État a lancé en février 2012 un exercice PIRANET visant à éprouver les services face à une attaque de grande ampleur sur l'Internet français et contre les réseaux des administrations.
Christophe Cornevin
Le choix d'attaquer une chaîne internationale est-il anodin
Mathieu Slama: Tout d'abord peut-être faut-il être prudent. le mouvement «Cybercaliphate», qui a mené l'attaque, se revendique de l'Etat islamique mais ce dernier ne l'a pas lui-même revendiqué. Cela étant dit, l'évidence est que des partisans de l'Etat islamique sont à l'origine de cette attaque et donc il est utile de l'analyser au regard de la stratégie de propagande plus globale de l'organisation.
Le choix de s'attaquer à TV5 Monde est intéressant à plusieurs titres. D'abord il y a la volonté de s'en prendre à la France par le biais d'une chaîne de télévision francophone. La cyberattaque poursuit les mêmes fins qu'un attentat commis par la violence mais par d'autres moyens, pour paraphraser Clausewitz: il s'agit d'envoyer un avertissement, une menace et de réaffirmer la détermination de l'organisation. En l'occurrence, les hackers s'en sont pris non seulement à la chaîne mais aussi à son compte Facebook et son fil Twitter, ce qui accroît évidemment la portée de l'attaque.
Les messages diffusés sont de deux ordres: une menace aux militaires français mobilisés contre l'Etat islamique, et une menace contre les journalistes puisque le communiqué apparaissant sur le compte Twitter de la chaîne indique que les terroristes vont «perturber le travail de TV5 Monde» et «exposer des documents confidentiels qui contiennent des données personnelles» des journalistes de la chaîne.
C'est donc la France qui est visée à travers cette attaque.
Il y a aussi, comme toujours dans la propagande de l'Etat islamique, une dimension symbolique très importante dans cet acte. C'est d'ailleurs sans doute cet aspect symbolique qui explique les réactions très fortes des membres du gouvernement français.
Le symbole est d'abord dans le choix d'attaquer une chaîne incarnant l'influence culturelle française dans le monde. TV5 Monde représente, il faut le souligner, environ 50 millions de téléspectateurs par semaine, ce qui est considérable et place la chaîne, au niveau mondial, juste derrière la célèbre chaîne américaine MTV!
La symbolique de l'attaque est aussi dans son envergure: le directeur de TV5 Monde parlait hier soir de «puissance inouïe». Un spécialiste de cybersécurité serait plus compétent que moi pour juger de la sophistication de l'attaque mais du point de vue du novice, il s'agit d'une démonstration de force qui est destinée à illustrer la puissance de l'organisation.
Le dernier aspect symbolique, plus anecdotique sans doute, tient à la formule utilisée sur la page Facebook de TV5 Monde «Je suis ISIS», qui parodie le «Je suis Charlie». La forme parodique, le détournement d'une formule célèbre est une méthode classique de la communication. Elle est ici utilisée pour accroître la force symbolique de l'attaque.
Cet attentat s'inscrit-il dans une stratégie d'action plus globale? Laquelle?
Il faut d'abord rappeler que ce groupe de hacker qui se revendique de l'Etat islamique n'en est pas à son premier coup d'essai. Il se manifeste depuis janvier à travers plusieurs attaques. Ils avaient par exemple attaqué le compte twitter du CentCom, le centre de commandement américain au Moyen-Orient et en Asie Centrale, ce qui avait suscité beaucoup de commentaires dans les médias. En février ils avaient pris le contrôle durant plusieurs minutes du compte twitter de l'hebdomadaire américain Newsweek. D'ailleurs, il faut signaler que sur le compte twitter de Newsweek, ils avaient déjà utilisé la formule «Je suis ISIS».
Donc ce n'est pas une première mais il semble que la sophistication et l'ampleur de l'attaque soit réellement inédite.
Mais plus globalement encore, et en précisant bien qu'il faut être prudent sur la nature des liens entre le «Cybercaliphate» et l'Etat islamique, cette attaque illustre aussi le caractère «intégré», très organisé, de la propagande de l'Etat islamique sur Internet. Cyberattaques, vidéos et images de propagande, communiqués, magasines diffusés sur Internet, utilisation des réseaux sociaux, et même un «guide de voyage» pour les candidats au jihad: absolument tous les moyens de la communication sont utilisés pour augmenter la puissance de frappe des messages.
L'attaque de TV5 Monde illustre aussi à mon sens la stratégie de segmentation et de différenciation propre à l'Etat islamique, qui a une approche spécifique et ciblée pour chaque pays qu'il vise, que ce soit à des fins de recrutement ou d'intimidation. On sait par exemple que l'organe de propagande de l'Etat islamique a créé l'été dernier une branche destinée spécifiquement au public occidental. Et il faut se rendre à l'évidence: la France est très haut dans la liste des pays cibles de l'Etat islamique, et fait donc l'objet d'un traitement tout particulier. D'autres pays européens, je pense notamment à l'Allemagne, sont aussi régulièrement visés.
Quel est le lien entre la destruction de sites historiques comme à Mossoul et ce genre d'attaque?
Ce sont à mon sens deux choses très différentes même si un lien peut être fait.
La destruction des sites culturels, comme récemment la cité antique d'Hatra en Iraq, répond à une logique très spécifique à une branche radicale de l'Islam, comme par exemple le wahhabisme qui inspire beaucoup les idéologues de l'Etat islamique. Il s'agit de détruire tout objet, tout symbole qui détourne le croyant de Dieu et qui serait un intermédiaire inauthentique entre la créature et son créateur. Cela s'inscrit dans la longue tradition de l'iconoclasme et du refus de l'idolâtrie, qui n'est d'ailleurs pas propre à l'Islam. De la même manière la destruction de CD et d'instruments de musique s'inscrit dans une logique là encore propre à un certain courant radical de l'Islam selon lequel les instruments de musique doivent être interdits.
Néanmoins on ne peut pas s'arrêter à cette lecture strictement historique et théologique de la question. Derrière toutes ces actions de l'Etat islamique il y a une dimension symbolique très puissante, notamment vis-à-vis de l'occident. Quand l'Etat islamique détruit ostensiblement des œuvres culturelles (tout en en conservant quelques-unes pour les revendre au marché noir, soulignons-le), c'est aussi une manière de dénoncer le visage décadent et «païen» de l'occident. Et c'est d'ailleurs ce discours qui séduit beaucoup de nos compatriotes musulmans radicalisés qui n'acceptent pas de vivre dans une société qui, et je reprends ici le mot du grand historien du monde arabe Henry Laurens, «a perdu le sens du sacré». Et quand un mouvement affilié à l'Etat islamique s'en prend à une chaîne de télévision française diffusée dans le monde entier, il y a aussi, dans l'inconscient collectif occidental, la perception d'une volonté de s'en prendre à la dimension culturelle d'un pays, à ce que représente sa culture dans le monde entier.
L'Etat islamique mène-t-il une véritable guerre culturelle et médiatique?
La guerre se joue en effet sur deux terrains: celui du champ de bataille et celui de la propagande. Je note d'ailleurs que dans une récente vidéo de propagande destinée aux partisans de l'Etat islamique sur Internet, et mettant en scène des communicants de l'organisation, il est expliqué que la bataille médiatique est «aussi importante» que la bataille sur le terrain.
Cette stratégie fonctionne-t-elle? En quoi?
Si l'on s'arrête à l'efficacité en termes de recrutement, elle l'est incontestablement puisque d'après les chiffres du ministère de l'Intérieur repris par le récent rapport sénatorial sur la question, près de 1500 Français auraient quitté la France à destination de la Syrie et de l'Irak, ce qui représente d'après ce rapport une augmentation de 84 % comparé aux chiffres de janvier 2014.
Sur la question, plus subjective, de l'efficacité de toutes les actions de propagande de l'Etat islamique et de ses partisans sur les mentalités et sur l'inconscient collectif occidental, il faut bien admettre que l'Etat islamique est aujourd'hui au centre de toutes les discussions sur le djihadisme et même sur le Moyen-Orient en général. Pas un jour ne se passe sans que les médias ne mentionnent l'organisation. L'EI est devenu non seulement une organisation terroriste leader qui inspire, voire «recrute» d'autres organisations comme Boko Haram en Afrique par exemple, mais il est aussi et surtout devenu un symbole, un mythe. Et cet aspect-là des choses fait que l'Etat islamique va rester pour très longtemps une référence pour les musulmans salafistes radicalisés, quand bien même il finirait par disparaître d'un point de vue territorial. La référence djihadiste absolue n'est plus Ben Laden mais bien l'Etat islamique, et c'est peut-être là sa plus grande victoire. L'un des slogans de l'organisation est d'ailleurs «Baqiya!», qui signifie «Nous resterons!».
Mathieu Slama