TV5 Monde, retour sur l’incident

No Comments

L’attaque de TV5 Monde a fait couler beaucoup d’encre (et encore plus de salive) à propos du cyberterrorisme, dont on attend encore les premières manifestations (voir mon billet précédent). À l’image de l’entrée Colonies dans le dictionnaire des idées reçues de Flaubert, dès que le sujet TV5 était abordé, tout le monde devait s’affliger quand on en parle…

De plus, à part celle cataclysmique du président de la chaîne, peu de communications avaient porté sur cette attaque, ses caractéristiques, ses causes, ses conséquences. Récemment, l’ANSSI a rompu ce silence (en juin 2017 au SSTIC) pour présenter son action de réparation des dommages chez TV5. Si l’on peut rester circonspect quant aux justifications de la participation de l’ANSSI au sauvetage de la chaîne de télévision (« Un média est, dans une certaine mesure, un opérateur d’importance vitale dans une démocratie », justifie Guillaume Poupard), le retex est intéressant.

La vidéo de ce retex est disponible ici, et ce billet a pour objectif d’en rendre compte. Les chiffres entre parenthèses indiquent les passages de la vidéo à l’appui de mes commentaires, et les images sont des captures d’écran de la vidéo de l’ANSSI.

Alors que tout semblait aller bien pour TV5, que son directeur était à une soirée de lancement dit-on, l’ANSSI a été subitement appelée, car des membres de l’entreprise ont remarqué un écran noir et l’absence de fonctionnement de la messagerie entre eux. Face à l’impossibilité de remédier à ce problème et aux contraintes commerciales (TV5 étant contractuellement obligé d’émettre), les pompiers du Net ont été appelés à la rescousse.

Une première réunion a eu lieu le lendemain des faits et a permis de fournir les preuves d’une action malveillante.

À partir de ce moment, il était nécessaire de :

  1. répartir les rôles entre les intervenants ;
  2. rechercher les premiers indices ;
  3. rechercher une éventuelle bombe logique qui pourrait piéger le site alors que la réparation était en cours ;
  4. déterminer les compétences nécessaires à la résolution du problème, tout en sachant que la connaissance du réseau était indispensable (oui, on reboucle sur l’indispensable travail de cartographie à réaliser et actualiser).

La découverte d’un compte nouveau et inconnu des administrateurs a mis la puce à l’oreille des analystes qui ont alors cherché à tracer son activité. Cette phase de collecte de données préalable à la phase d’analyse a duré plusieurs jours.

Notons que les phases du travail de l’ANSSI sont assez similaires à celles d’une enquête judiciaire, dans la mesure où elles comportent :

  • les constatations ;
  • le relevé d’indices ;
  • leur analyse ;
  • la rédaction d’un PV d’enquête.

Point particulier, l’enquête cyber comporte en plus l’aide au retour à la normale, ce qui serait une bonne chose dans le monde réel, au moins dans certaines circonstances…

L’ANSSI s’est rendu rapidement compte que son intervention devait être la plus rapide possible (11’29) afin que TV5 reprenne son activité. Cependant, elle a également remarqué que les parties prenantes à l’affaire avaient des objectifs différents, dus à leurs cultures différentes. Ce constat est tout aussi valable dans le monde réel où, lorsqu’une enquête a lieu, les intérêts des parties prenantes diffèrent : le temps de l’exploitation commerciale n’est pas celui de l’enquête.

La chronologie de l’action menée par l’attaquant est exposée clairement (16’22) : découverte de la victime, compromission, collecte de données et enfin sabotage.

Une fois la victime choisie (selon des critères propres à l’attaquant), débute la phase de compromission. Elle a consisté à scanner les adresses IP du réseau de la victime désignée, ce qui a permis de trouver un serveur de collecte des éléments envoyés par les journalistes nomades (donc connecté à l’internet) qui se trouvait être configuré par défaut. Hélas pour l’attaquant, cela n’a rien donné, car il n’était pas connecté au réseau de TV5.

La récupération d’un compte de prestataire externe a permis de se connecter au VPN de TV5 puis de scanner le réseau, de trouver le robot gérant les caméras qui était (encore une fois) configuré par défaut.

À partir de ce moment, il a été facile de se créer un compte d’administrateur afin de conserver un accès permanent au réseau, y compris dans le cas où les administrateurs légitimes du réseau décideraient de changer les mots de passe.

La collecte a eu pour résultat de récupérer des schémas d’architecture ainsi que les comptes privilégiés servant à accéder aux informations métier. Par la suite, l’attaquant a vraisemblablement cherché (sur le net) comment fonctionnaient les machines qu’il a corrompues, car elles sont spécifiques à la profession. De retour dans le réseau de TV5, il a vérifié la pertinence de son compte, de ses mots de passe, et a préparé l’attaque. Cette vérification montre que l’attaque n’était pas le fruit du hasard, le résultat des « bruits de fond », mais bien une affaire préméditée.

L’attaque a débuté le 8 avril, la collecte ayant débuté en février. L’attaquant a d’abord vérifié la pertinence de ses comptes, déposé un leurre, activé son connect-back puis fait une pause. Il a ensuite mené l’attaque effective en défigurant les sites internet, supprimant des informations (ce qui a causé des écrans noirs), supprimé des machines virtuelles et les messageries. Face à cette attaque, ou plus exactement face à un comportement aussi aberrant de ses propres ordinateurs, TV5 s’est déconnectée du net à 24 h, ce qui fut une bonne réaction.

La remédiation a été effectuée par l’ANSSI, afin d’éviter une réitération de ce type d’attaque. Ses ingénieurs ont tout audité (réseau et applications) ce qui leur a permis de découvrir des éléments pour eux insolites. Ainsi, le fait de travailler sur Mac les a, semble-t-il, un peu désorientés. Cette phase de découverte montre bien qu’il est indispensable de cartographier son SI et d’en tenir la carte à jour. Et il leur a fallu effectuer cette remédiation malgré l’irruption de caméras de TV5 qui venaient les filmer sur le vif, montrant ainsi que les employés de la chaîne, bien que se plaignant de l’impossibilité de travailler normalement et déclarant être traumatisés par l’attaque (38’30), n’en avaient compris ni l’ampleur ni ses caractéristiques. L’omniprésence de l’informatique dans leur entreprise n’était d’ailleurs pas comprise par bon nombre d’employés (50’).

S’est posée à l’ANSSI la difficulté de faire cohabiter une reprise de l’activité normale avec des mesures de réparation des dégâts (37’14). Le synoptique des actions menées par l’ANSSI (39’30) montre fort bien que TV5 ne pouvait rester muette durant toute la durée des travaux à cause de leur longueur.

Comme beaucoup d’entreprises, TV5 avait cédé aux sirènes de l’externalisation. Il est rappelé que malgré le discours marketing, ce n’est pas la panacée, surtout en cas de problème (42’). En effet, infogérer entraîne une perte de connaissance des caractéristiques de ce qui est externalisé, et l’urgence des réactions à avoir en cas de coup dur rend cette situation problématique (48’18).

TV5 est caractéristique de beaucoup de grand groupes qui parlent abondamment de numérisation, sans avoir compris sur quoi elle reposait, ni l’importance des dégâts potentiels en cas d’attaque (50’). Ainsi, le SI de l’entreprise disposait bien de pare-feux, mais sans consignes de filtrage (46’30). Aucune PSSI rigoureuse n’était mise en œuvre. Symptômes qui, visiblement, se retrouvent dans nombre de grands groupes.

Le traitement de cet incident a montré que sa résolution jetait un œil nouveau sur le fonctionnement de l’entreprise.

L’ANSSI a donc préconisé (cela fut suivi, ce qui est logique après l’ampleur de l’attaque subie) un réseau d’administration dédié, des mots de passe à durée de vie limitée, des portables dédiés pour les prestataires extérieurs, et d’autres préconisations pour rester en sécurité.

En tout, un mois de travail aura été nécessaire avant que le schéma de bascule (1h05 à 1h08) puisse être mis en œuvre.

S’il y a des leçons à tirer, elles sont de plusieurs ordres.

  • Techniques bien sûr, car des pare-feux et des machines configurées par défaut (on peut penser que les logins / mots de passe étaient admin / admin) ne protègent pas d’une attaque. C’est comme acheter une serrure 3 points et laisser la clé dessus. Satisfaction intellectuelle, mais rien de plus.
  • Organisationnelles également, dans la mesure où cartographier un réseau est indispensable (on pourrait dire vraiment indispensable, mais ce serait vraiment redondant…).
  • Organisationnelles encore, car si les dirigeants d’une entreprise numérisée n’ont aucune culture informatique numérique, l’entreprise ne sera pas bien gérée puisqu’ils n’auront pas une compréhension claire des risques et menaces auxquels elle fait face.
  • Organisationnelles toujours, car définir une stratégie, c’est faire des choix, et donc allouer des moyens aux actions décidées. Ne pas allouer les moyens suffisants (hommes, matériels, etc.) aux actions décidées revient à ne pas avoir de stratégie (mais ce point ressemble fort à une récrimination du cercle des poètes revendicatifs disparus…).
  • Organisationnelles enfin, car il serait bon que les dirigeants étudient le processus d’élaboration des décisions absurdes, afin de les éviter, justement.

Une autre analyse est également disponible ici.

Categories: Sécurité Étiquettes : , , , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

twenty one − twenty =