Tremblez ! Les djihadistes de l’organisation Etat Islamique auraient les moyens de paralyser les plus grandes chaînes de télévision françaises.
Mercredi soir un peu avant 22h00, la chaîne de télévision TV5 arrêtait d’émettre. L’ensemble des sites Internet et des réseaux sociaux (Twitter, Facebook et le compte YouTube) de la chaîne affichaient un inquiétant message et une présentation adoptant le décorum du groupe terroriste. L’action était signée « Cybercaliphate ».
Des menaces proférées contre les militaires français et leur famille, ainsi que des documents soi-disant confidentiels ont été mis en ligne, pour choquer les esprits et montrer que l’organisation a les moyens d’agir partout et que personne ne peut être à l’abri.
Dès jeudi matin, la presse était en émoi et le message propagandiste avait porté ses fruits, puisque les médias se sont évertués à monter en épingle ces informations.
Après ces messages alarmistes, faut-il céder à la panique ?
Alors que les spécialistes des services du gouvernement (Anssi) sont toujours en train de mener leur enquête et qu’ils n’en dévoilent rien pour le moment, certains médias réalisaient la leur avec force d’éléments de preuves.
Pourtant, j’ai immédiatement été pris de doute au sujet de la prétendue sophistication de ces cyberattaques. Quelque chose clochait….
D’ailleurs, dès le lendemain, j’ai reçu un communiqué de presse du ministère de la Défense qui expliquait qu’aucun des documents publiés ne mentionnait l’identité de militaires français, ni de leur famille.
Cette histoire m’a fortement rappelé ma discussion avec un hacker qui m’avait livré les différentes méthodes employées par les pirates pour pénétrer dans les systèmes informatiques. J’ai réalisé un dossier spécial pour J’Agis ! sur ces questions de cybersécurité qui peuvent tous nous toucher.
Une opération de propagande accentuée par les discours alarmistes des médias
Après avoir dialogué avec des experts en sécurité, comme Guillaume Lovet, expert en cybercriminalité chez Fortinet, ou encore Loïc Guézo, de Trend Micro et Administrateur du Club de la sécurité de l’information français (Clusif), il semble que cette attaque provient plus d’amateurs éclairés que de véritables terreurs du Web.
L’hypothèse la plus probable c’est que le ou les pirates sont parvenus à introduire sur l’un des ordinateurs de TV5 ce que l’on appelle un cheval de Troie.
L’image et le principe sont identiques à ceux employés dans la mythologie grecque. Concrètement, un salarié de TV5 a reçu un e-mail et, crédule, a simplement cliqué sur un lien qu’il contenait, ou ouvert une pièce jointe qu’il considérait comme importante et inoffensive. A partir de ce moment, la machine de l’utilisateur a été infectée et le réseau complet contaminé et accessible à distance par le pirate. La vraie prouesse de ces cyber-djihadistes reste d’être parvenus à faire cliquer cette personne en interne sur le virus pour le propager. Car, encore fallait-il cibler la bonne personne et faire en sorte qu’elle ne se méfie pas avant de cliquer. Pour le reste de l’opération, les experts sont unanimes.
Pour parvenir à ajouter les messages de propagande, la méthode semble similaire à celle décrite dans le dossier de J’Agis !, à savoir : la récupération d’un kit de piratage clé en main. Avec peu de connaissances, un internaute peut donc faire beaucoup de dégâts. Et le fait d’ajouter une revendication prétendument terroriste ajoute à l’opération de propagande et de terreur.
L’interruption de la diffusion de TV5 ? Un dommage collatéral
Reste le cas de l’interruption de la diffusion des programmes télévisés de TV5. Il s’agit bel et bien d’une première mondiale. Toutefois, selon les experts, le ou les pirates en question ne peuvent avoir de compétences suffisamment pointues pour parvenir à prendre le contrôle d’une plateforme dédiée à la TV. Ils suggèrent qu’il s’agit, plus simplement, de dommages collatéraux liés à la présence du virus sur le réseau informatique de TV5. Autrement dit, les cyber-attaquants n’ont sans doute même pas réalisé qu’ils avaient paralysé la diffusion des chaînes.
Ainsi, Guillaume Lovet, l’expert de Fortinet m’a indiqué que ce fut le cas en 2013 avec une attaque baptisée « DarkSeoul ». En touchant les institutions bancaires coréennes, elle avait engendré involontairement le dysfonctionnement de certains terminaux de retrait. De même, en 2009, un virus du nom de Conficker avait bloqué certains systèmes informatiques dans les hôpitaux. L’aviation de combat française était même restée clouée au sol, car elle ne pouvait plus télécharger ses plans de vols.
Une attaque somme toute classique et banale
Au final, pour le moment, il est difficile de savoir si cette attaque a réellement été commanditée par le groupe Etat Islamique.
Toutefois, l’hypothèse la plus probable et la seule preuve du génie des cyber-attaquants, c’est qu’ils soient parvenus à faire introduire un virus à l’intérieur du réseau informatique de TV5.
Pour le reste, il s’agit d’une attaque somme toute classique et banale.
Le plus grand mal provient des médias qui se sont rués pour mettre en avant cette opération de propagande en lui donnant une portée inespérée. Après cela, il n’y a vraiment aucune raison que de véritables responsables de l’organisation de l’Etat Islamique se privent de revendiquer la cyberattaque.
