TV5 Monde : le révélateur des failles de sécurité de nos télés
L’attaque contre TV5 Monde est certes le fait d’un groupe organisé. Mais elle révèle aussi les faiblesses de sécurité intrinsèques des systèmes de broadcast, peu habitués à prendre en compte ce type de contraintes.
Selon Le Monde, citant une source proche de l’enquête, les assaillants qui se sont livrés à l’attaque contre TV5 Monde avait repéré le terrain, afin d’identifier les cibles les plus intéressantes sur le réseau de la chaîne. Un constat assez trivial étant donné que l’attaque s’est déployée dans plusieurs directions à la fois, ce qui suppose un bon niveau de préparation. Rappelons que, mercredi 8 au soir, TV5 Monde a perdu le contrôle de ses comptes Twitter et Facebook, vu son site Internet défacé et a été contraint de couper son antenne, après avoir vu l’infrastructure de diffusion et le système de secours lui échapper. La coupure de l’antenne a duré environ 3 heures et la diffusion n’a repris qu’avec des émissions pré-enregistrées.
Les 13 experts de l’Anssi dépêchés sur place estiment être certainement en présence des agissements d’un groupe organisé comportant quelques dizaines de personnes au regard des compétences techniques mises en œuvre. Le Parisien précise que l’attaque a démarré dès janvier, par l’envoi de mails piégés aux journalistes de la chaîne internationale en français.
Selon les explications des enquêteurs, les assaillants ont bénéficié de l’absence d’isolation des systèmes au sein du réseau de TV5 Monde, pour gagner la partie métier (notamment les serveurs impliqués sur le broadcast) depuis les systèmes bureautiques. Bref, le mécanisme de l’attaque apparaît des plus classiques : pénétration par phishing puis mouvement latéral, afin de prendre le contrôle d’un système critique.
Serveurs spécialisés : le casse-tête
Mais ce tableau d’une attaque menée par des adversaires déterminés et hautement qualifiés ne doit pas masquer les faiblesses intrinsèques de TV5 Monde, et plus largement des systèmes de broadcast des télévisions. Des faiblesses notamment mises en lumière par une analyse de Pierre-Olivier Blu-Mocaer, qui dirige un cabinet de conseil en infrastructures IT, FixSing. Ce dernier confirme le témoignage obtenu par Silicon.fr auprès d’un spécialiste du broadcast : ces infrastructures conçues pour la production dans l’urgence, 24 heures sur 24, et les équipes qui les gèrent s’embarrassent peu des bonnes pratiques en matière de sécurité.
Le consultant de FixSing relève par exemple une interview d’un salarié de TV5 Monde expliquant qu’au moment de l’attaque, il était en train d’attendre un mail renfermant un lien WeTransfer pour télécharger des images venant du Gabon. Une méthode évidemment dangereuse si elle est pratiquée directement sur les machines de production.
Autre indice inquiétant : via une recherche sur les plages d’adresses IP de TV5 Monde dans Shodan.io (moteur de recherche d’IP de terminaux connectés), l’expert a déniché plusieurs systèmes accessibles de l’extérieur : appliance Google Search, interface d’administration PowerShell, serveur de fichiers SMB… mais, surtout, un système de stockage Isilon. Or, un communiqué de presse d’EMC, le concepteur de ces machines, précise que TV5 Monde utilise cette infrastructure pour le « stockage en ligne de proximité avant broadcast ». Les assaillants se sont-ils servis de cette porte ouverte pour remonter jusqu’aux systèmes de broadcast ? Pierre-Olivier Blu-Mocaer, qui base son analyse sur les seules informations publiques, ne l’affirme pas, mais la question mérite d’être posée.
L’autre faiblesse intrinsèque des systèmes de diffusion réside dans les multiples serveurs spécialisés qu’ils exploitent. FixSing identifie plusieurs des machines employées par TV5 Monde : Nexio Volt, Pixel Power ChannelMaster ou encore Volicon Observer. Le problème, comme le confirment plusieurs sources travaillant dans ces métiers : ces serveurs spécialisés reposent souvent sur des OS standards (notamment Windows, dans des versions parfois anciennes) mais sont rarement mis à jour pour éviter toute interruption de la production. Presque un pousse au crime pour peu que ces machines ne soient pas isolées sur un réseau hautement sécurisé.
Coup de chance ou compétences pointues ?
A ce stade, la principale question qui se pose est donc de savoir si les assaillants ont mis à plat le système de diffusion intentionnellement – ce qui suppose une connaissance de ces infrastructures très particulières – ou par chance, en infectant par exemple un serveur Windows XP non patché et visible sur le réseau. « C’est la question qu’on est en train de se poser », reconnaît-on à l’Anssi. Guillaume Poupard, son directeur général, explique d’ailleurs régulièrement que les groupes d’assaillants sont en train de se spécialiser pour gagner en efficacité. La question est suffisamment sérieuse pour que l’Anssi ait décidé d’organiser, dans les 15 prochains jours, une tournée des médias français pour vérifier que ceux-ci n’ont pas été victimes d’attaques similaires.
A lire aussi :
3 questions sur l’attaque cyberjihadiste de TV5 Monde
L’Anssi met son nez dans la sécurité des grandes entreprises
