Grosse cyberattaque : des cyberjihadistes font tomber TV5 Monde

Le par  |  7 commentaire(s)
CyberCaliphate

Une cyberattaque de grande ampleur a frappé TV5 Monde. Revendiquée par le groupe CyberCaliphate, elle a touché la présence Web et sur les réseaux sociaux et plus encore le cœur même de la chaîne de télévision francophone internationale.

Dans la nuit de mercredi à jeudi, TV5 Monde a été la victime d'une cyberattaque dont la chaîne de télévision francophone internationale peine encore  à se relever. Elle a été revendiquée par le groupe de cyberjihadistes se présentant sous l'identité de CyberCaliphate.

En début d'année, CyberCaliphate avait déjà fait parler de lui en prenant le contrôle des comptes Twitter et YouTube du centre de commandement militaire américain au Moyen-Orient et en publiant des documents dits confidentiels. Le CentCom US avait minimisé l'affaire en évoquant du cybervandalisme.

Le groupe, qui se réclame de l'organisation État islamique, dit poursuivre le CyberJihad. En frappant TV5 Monde, sa campagne de propagande se poursuit et passe à l'échelon supérieur. La prise de contrôle temporaire du compte Twitter, Facebook ou encore du site de TV5 Monde (actuellement toujours en maintenance) est en quelque sorte du classique.

On se souviendra notamment des explications du quotidien Le Monde suite à la tentative d'attaque de l'Armée électronique syrienne (un groupe d'hacktivistes de nature bien différente) et une infiltration de l'outil de publication du site. Mais pour le cas de TV5 Monde, le directeur de la chaîne Yves Bigot parle d'une " cyberattaque extrêmement puissante " qui a conduit " l'ensemble des onze chaînes à virer à l'écran noir. "


Le site Breaking 3.0 analyse la situation et explique comment cela a pu se produire via la compromission par un malware au format vbs (Microsoft Visual Basic Scripting Edition) suite à l'exploitation d'une faille Java d'un ordinateur d'un administrateur. Il s'est répandu jusqu'à atteindre le " serveur de transmission " et le cœur de TV5 Monde.

La principale hypothèse de Breaking 3.0 est qu'un pirate s'est emparé de l'identité IP d'un utilisateur via Skype et ainsi de l'identité du réseau de la chaîne. " La manœuvre est déconcertante de simplicité et de rapidité. Une de nos sources l'a effectuée devant nous, sur un de nos ordinateurs afin de l'illustrer. Les journalistes de TV5 comme beaucoup d'autres médias utilisent Skype. Y compris dans leurs communications avec certains jihadistes ", écrit Breaking 3.0.

TV5 Monde a annoncé son intention de porter plainte. Les ministres de l'Intérieur, de la Culture et des Affaires étrangères se sont rendus au chevet de la chaîne qui ne peut diffuser que des programmes préenregistrés. Le Premier ministre Manuel Valls a dénoncé " une atteinte inacceptable à la liberté d'information et d'expression. "

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1838992
Quelle bande de con d'avoir un réseau unifié / d'utiliser skype / d'avoir java d'installé et pas à jour / de discuter avec des tarés d'islamonazis par un poste de la chaîne..

Bref, l'origine du problème c'est avant tout leur naiveté coté sécurité....
Le #1839000
a chaque fois je me demande comment de tel gens peuvent exister au 21ème siècle...
Le #1839003
Focus est le chef du groupe Fellagas, des pirates tunisiens responsables de ce que le vice-amiral Arnaud Coustillère, en charge de la cyber-défense au Ministère de la Défense avait désigné comme « la plus grande attaque informatique qu’un pays ait jamais affrontée ».

Lorsque nous l’avions interrogé en février dernier, Focus nous avait clairement annoncé son intention et celle de son groupe de poursuivre ses attaques contre la France. Et plus particulièrement contre ses médias.

Si le defacing – modification de la page d’accueil d’un site – est une des spécialités du groupe, le contrôle d’un compte twitter et du système de diffusion des programmes d’un réseau de télévision en est une autre.

Non pas que les Fellagas n’en seraient pas capables mais parce que cela ne correspond pas à leur mode opératoire.

Ni la signature d’ailleurs. Des couleurs utilisées à l’identité affichée sur les sites piratés, tout indiquait qu’il s’agissait d’un autre groupe de pirates.

Pour les identifier, il nous a fallu partir sur leurs traces virtuelles jusqu’au coeur des sites piratés.



MODUS OPERANDI



Le piratage de TV5 a été effectué via une faille Java. Une faille sur un ordinateur particulier : celui de l’administrateur des réseaux sociaux de la chaîne ou bien un directement connecté à la régie.

Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC.



Screen Shot 2015-04-08 at 3.53.25 PM

Son nom ? isis…

Screen Shot 2015-04-08 at 3.51.28 PM

Isis est un ver qui, une fois introduit dans le réseau de TV5, a continué a croître jusqu’à atteindre sa cible : le serveur de transmission.

Mais avant d’en arriver là, il faut expliquer comment ce redoutable virus a été introduit sur l’ordinateur fautif.

Pas pour rendre public un secret de hacker mais parce que cela concerne un outil utilisé de plus en plus dans les rédactions.

Une des manières les plus anciennes est l’envoi d’un faux courrier électronique ressemblant à un officiel de la chaine. L’utilisateur clique et sans le savoir installe sur son PC un script.

Un programme qui permet au pirate de prendre le contrôle de son ordinateur, sa webcam et…ses mots de passe.

Le quotidien Le Monde a failli être victime de ce genre d’attaque en janvier dernier.

Une autre manière de procéder est l’envoi d’un communiqué de presse ou d’un document électronique. Là aussi, sur le document se cache un script html qui va ensuite prendre le contrôle du pc de l’utilisateur.

La troisième est celle qui nous semble la plus probable.

Elle consiste pour un pirate à s’emparer de l’identité I.P. d’un utilisateur via Skype.

La manoeuvre est déconcertante de simplicité et de rapidité. Une de nos sources l’a effectué devant nous, sur un de nos ordinateurs afin de l’illustrer.

Les journalistes de TV5 comme beaucoup d’autres médias utilisent Skype. Y compris dans leurs communications avec certains jihadistes.

C’est vraisemblablement lors d’une de ses sessions – récente- que l’adresse IP a été dérobée et avec elle, l’identité du réseau de la chaîne.

Retour au virus maintenant.

Nous sommes moins de 30 minutes après son lancement.

Tandis que d’autres virus sont installés sur le réseau – nos sources en ont identifié trois autres dont un sous la forme d’un script html installé directement sur la page web de TV5, et qui, avant sa destruction par les techniciens de la chaîne, menaçait tout visiteur du site – isis a fait son chemin jusqu’au serveur de transmission.

Là où le signal des programmes est converti d’analogique en numérique avant d’être envoyé au satellite de diffusion.

Cette centrale de dispatching est le coeur de TV5.

C’est de là que ses programmes partent vers le monde entier. C’est la cible de l’opération.

Mais avant d’en dévoiler le but, il faut revenir sur les auteurs de l’attaque.

Une attaque complexe, pensée et préparée pendant des mois.



LES PIRATES



Sans surprise, les pirates se sont cachés derrière un VPN mais malgré toutes leurs précautions, n’ont pas réussi a camoufler toutes leurs traces.

Pour les identifier, nos sources ont dû isoler le virus isis puis le craquer afin de trouver l’identité de son concepteur, sa provenance et l’identité de son ou ses diffuseurs.

Deux programmes ont été utilisés pour créer le virus : JRAT MAC et WINRAT.

Le virus est bien évidemment crypté mais une fois sa protection cassée, il révèle, comme nous le pensions, ses secrets.

Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflage afin d’échapper aux anti-virus de la chaîne, sa programmation…

Plus amusant, nous apprenons aussi aussi qu’il a été conçu et propagé par un PC sous Windows 7.

Enfin, isis cache en son sein l’identité de son concepteur et son pseudonyme de hacker.

Son nom NAJAF.

Son pseudo ? JoHn.Dz

et plus de details encore http://www.breaking3zero.com/cyber-attaque-contre-tv5-qui-comment-pourquoi/

Le #1839004
la prochaine fois c'est quoi ? un train ? un avion ? une centrale ? cela fait peur....
Le #1839057
Tout est vulnérable en ce bas monde ... la preuve, en image et en couleur
Le #1839078
Je sors un peu du sujet, mais TV5 est un peu comme France24, une chaine intertionale financée avec nos impôts (plusieurs millions d'euros chaque année) et qui ne sert a rien !!!
Donc je ne pleurerais pas sa disparition !!
Le #1839087
Visual basic, Skype, Windows, saloperie de guerre.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]