Attaque contre TV5 Monde : comment les pirates ont procédé

On en sait aujourd’hui un peu plus sur l’attaque de la semaine dernière contre TV5 Monde.

Les informations émanent de différentes sources.

 

http://www.lefigaro.fr/secteur/high-tech/2015/04/14/01007-20150414ARTFIG00121-l-attaque-de-tv5-monde-a-debute-par-du-phishing.php

L’attaque de TV5Monde a débuté par du « phishing »

    • Par lefigaro.fr
    • Mis à jour le 14/04/2015 à 14:37
    • Publié le 14/04/2015 à 11:30
La chaîne a dû interrompre sa diffusion des programmes pendant plusieurs heures.
La chaîne a dû interrompre sa diffusion des programmes pendant plusieurs heures. Crédits photo : Christophe Ena/AP

 
L’intrusion a débuté dès le mois de janvier, à cause d’un mail vérolé envoyé à tous les employés de la chaîne de télévision.

La cyberattaque djihadiste dont a été victime TV5Monde a été enclenchée dès fin janvier, par l’envoi de mails aux journalistes de la chaîne internationale francophone. Dans la nuit du 8 au 9 avril, des pirates se revendiquant de l’organisation de l’Etat islamique ont pris le contrôle des comptes Facebook et Twitter et du site de TV5Monde, en y affichant des messages de propagande djihadiste, puis bloqué tout son système informatique. La chaîne a dû interrompre sa diffusion plusieurs heures.

Une faille humaine

L’attaque avait néanmoins commencé bien plus tôt, avec un mail envoyé fin janvier à l’ensemble des journalistes de la chaîne, selon la technique classique du «phishing» («hameçonnage» en français). Cette dernière consiste en l’envoi d’un mail vérolé à un employé de l’entreprise visée. Le destinataire est invité à télécharger une pièce jointe ou à cliquer sur un lien, provoquant l’installation d’un logiciel malveillant. Trois employés de TV5Monde ont répondu au mail vérolé, permettant aux hackers de pénétrer dans le système de la chaîne par des logiciels de type «Cheval de Troie». Trois semaines avant l’attaque, en mars, la deuxième phase de l’offensive était lancée, avec la contamination de plusieurs ordinateurs de TV5Monde par un virus. Puis le 9 avril, l’offensive proprement dite a débuté, avec l’attaque des serveurs. Pendant plusieurs heures, les serveurs sont attaqués, puis les réseaux sociaux.

«Cette attaque est à la fois simple dans son déclenchement», avec la technique du phishing qui a permis «de faire pénétrer le ver dans le fruit», et «très sophistiquée dans son déroulé avec un logiciel compliqué», a expliqué une source proche du dossier. Ce qui a permis son déclenchement, c’est «comme toujours, une faille humaine au début». Il n’est en l’état des investigations pas permis de déterminer l’origine géographique de l’attaque, ni le nombre de hackers ayant permis de l’organiser, selon une autre source proche du dossier. Selon le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et l’Agence nationale des systèmes de sécurité des systèmes d’informations, cette attaque «sans précédent» a été préparée de longue date et de façon minutieuse.

(avec AFP)

 

http://www.lemonde.fr/pixels/article/2015/04/13/tv5-monde-les-pirates-ont-infiltre-la-chaine-plusieurs-semaines-avant-l-attaque_4614813_4408996.html

TV5 Monde : les pirates ont infiltré la chaîne plusieurs semaines avant l’attaque

 

Le Monde.fr | 13.04.2015 à 12h38 | Par Martin Untersinger

Le logo de TV5 Monde.

Quelques jours après l’attaque informatique qui a interrompu les programmes de la chaîne française  TV5 Monde, les enquêteurs commencent à avoir une idée plus précise du degré de sophistication de l’attaque.

Les assaillants avaient pris soin de repérer le terrain : cela faisait plusieurs semaines qu’ils étaient présents dans le réseau de la chaîne, selon une source proche de l’enquête. Un laps de temps mis à profit pour repérer, parmi les milliers d’ordinateurs du réseau de la chaîne, les équipements indispensables à la diffusion, qu’ils sont parvenus, dans la nuit du mercredi 8 au jeudi 9 avril, à mettre hors-ligne.

Lire : TV5 Monde, un piratage d’ampleur et de nombreuses zones d’ombre

Les enquêteurs sont aujourd’hui convaincus d’être face à un groupe de pirates de bon niveau, peut-être d’une dizaine de personnes. Une information confirmée après la découverte des dégâts causés par les pirates : certains serveurs étaient toujours impossible à démarrer plusieurs jours après l’attaque.

Par ailleurs, la connaissance du fonctionnement de matériels informatiques très spécifiques à la télévision laisse peu de doute quant à la détermination et au niveau technique des pirates. Rien à voir, donc, avec la vague d’attaques de faible niveau technique qui avait touché de nombreuses petites communes peu après les attentats de la rédaction de Charlie Hebdo et de la porte de Vincennes.

« Un réseau bien géré mais fragile »

La question du niveau de protection offert par le réseau informatique de la chaîne a été posée dès le lendemain de l’attaque. Selon les enquêteurs, ce dernier, loin d’être impénétrable, offrait une protection qui ne dépareillait pas pour une entreprise. « Le réseau de TV5 Monde était bien géré, par des gens sérieux, mais était fragile : une fois qu’on est rentré, il n’y avait pas de portes étanches », confie cette même source.

Enfin, le lien entre les assaillants et l’Etat islamique est considéré, à ce stade, avec beaucoup de circonspection par les enquêteurs. Le « cyber caliphat », dont se sont réclamés les pirates à l’origine de l’attaque contre TV5 Monde, semble davantage être une mouvance qu’un groupe fixe.

Lire : TV5 Monde : les pirates n’ont pas diffusé de documents confidentiels de l’armée

Treize agents de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été dépêchés dans les locaux de la chaîne dès jeudi. Après avoir préservé les traces laissées par les pirates, le temps est désormais à l’analyse car ils craignent que d’autres médias soient menacés par des attaques similaires. L’agence va donc communiquer aux équipes techniques des médias le résultat de leur enquête afin de prévenir de futures attaques.

Martin Untersinger
Journaliste au Monde

 

http://www.lejdd.fr/Medias/L-attaque-contre-TV5-Monde-une-alerte-727536

12 avril 2015

L’attaque contre TV5 Monde, une alerte

 

Pour l’ancien responsable de la lutte contre la cybercriminalité, Christian Aghroum, « la question n’est pas de savoir si cela va se reproduire mais quand… ».

Essayer de décortiquer l’attaque. Exploiter les messages diffusés… » Loin des spéculations qui pullulent sur le Net, les geeks de la police judiciaire, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, sous-direction antiterroriste) et les spécialistes de la Direction générale du renseignement intérieur (DGSI) ont démarré leur enquête sur le cyberpiratage qui a plongé dans le noir l’antenne de TV5Monde dans la nuit de mercredi à jeudi.

Un groupe se réclamant de Daech a piraté la chaîne vers 22 heures. Un bandeau noir barré de la mention « Je suis ISIS » –  accronyme anglais de Daech – est apparu sur les réseaux sociaux. L’attaque informatique a obligé les dirigeants de la chaîne à couper leurs serveurs.

Lire aussi : TV5 Monde : des cyberattaques similaires ne sont pas exclues

Une enquête a été ouverte jeudi par le parquet de Paris pour « accès, maintien frauduleux et entrave au fonctionnement d’un système de traitement automatique de données », ainsi que pour « association de malfaiteurs en relation avec une entreprise terroriste ». Sur ce dernier point, plusieurs sources judiciaires se montraient prudentes – « On ne sait pas trop à qui on a affaire… » –, relativisant ainsi les premières déclarations du ministre de l’Intérieur ciblant des « terroristes déterminés ».

« Il existera toujours une microfaille »

«Il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer»

« L’enquête déterminera qui se cache derrière cette attaque mais pour moi, c’est clairement du cyberterrorisme. » Consultant en cybersécurité basé aujourd’hui en Suisse et ancien patron de l’OCLCTIC, Christian Aghroum voit dans l’attaque de TV5 « la preuve qu’une organisation de hackers agissant dans le cadre ou se réclamant d’une nébuleuse terroriste est capable d’empêcher une chaîne de télévision de diffuser ses programmes en s’assurant un retentissement médiatique immédiat. » Une attaque qui ne l’a pas surpris, au contraire. « Je suis même surpris qu’on soit surpris. Cela peut arriver à tout le monde. Même si l’on est extrêmement bien protégé, il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer. Cette attaque marque une évolution en France : c’est la première attaque frontale sur une cible aussi exposée avec une médiatisation quasi automatique. Mais la réaction des pouvoirs publics a été satisfaisante. C’est la preuve que l’on a su s’armer et répondre présent. »

Lire aussi : Cyberattaque contre TV5 : « Un cap franchi par les terroristes »

On sait désormais que la chaîne TV5 avait été prévenue quinze jours avant l’attaque par l’Anssi (Agence nationale de sécurité des systèmes d’information) qu’un de ses serveurs informatiques n’était pas suffisamment sécurisé et qu’il risquait d’être utilisé de manière frauduleuse. « Une attaque peut commencer par l’ouverture d’un simple mail infecté par un employé, confirme Christian Aghroum. Ça ne suffit pas mais cela peut être utile pour préparer la véritable attaque. Parce qu’une attaque de cette ampleur se prépare un minimum. Avant l’acte finale, mercredi soir, le clic de souris, il faut choisir la cible et trouver la faille. On peut penser qu’ils ont visé plusieurs médias avant de porter leur choix sur TV5 parce qu’ils ont su identifier une ou plusieurs failles. »

« Je prends la main mais en plus je parle à leur place »

«A TV5, les hackers ont voulu s’assurer le résultat le plus optimal»

Selon les premiers éléments de l’enquête, il semble que l’attaque décisive de mercredi soir se soit jouée en deux temps. Le premier visant la direction de la production de la chaîne. Le second atteignant la direction des réseaux sociaux. Un scénario cohérent, selon le consultant : « Je prendrai l’exemple d’un coup d’État. Les putschistes vont s’emparer des studios de radio et de télévision mais aussi des émetteurs de transmission. A TV5, les hackers ont voulu s’assurer le résultat le plus optimal. Un, en bloquant les canaux de production et de diffusion. Deux, en bloquant les réseaux sociaux pour empêcher la chaîne de communiquer, de s’expliquer. En résumé : non seulement je prends la main mais en plus je parle à leur place! »

Quel enseignement faut-il tirer de cet épisode de cybercriminalité à la mode djihadiste? « C’est l’occasion pour les entreprises de communication mais aussi pour tout un chacun de monter d’un cran l’outil de protection. Parce que la question n’est pas de savoir si cela va se reproduire mais quand… »

Stéphane Joahny – Le Journal du Dimanche

dimanche 12 avril 2015

 

http://www.breaking3zero.com/cyber-attaque-contre-tv5-qui-comment-pourquoi/

Cyber attaque contre TV5 : qui, comment, pourquoi…

9 avr 2015
Screen Shot 2015-04-08 at 12.49.40 PM

 

Dans la soirée de mercredi à jeudi, la chaine TV5 Monde a été victime d’une cyber attaque sans précédent. Au delà de son site web et de ses relais sur les réseaux sociaux, c’est la diffusion des programmes qui a été visée. Ainsi, hier, pour la première fois, des hackers ont réussi à contraindre une chaîne a interrompre sa diffusion. En exclusivité, Breaking3zero vous révèle comment, qui et pourquoi.

ALERTE

Il est 21h50 à Paris lorsqu’une des abonnées du fil Twitter de Breaking3zero nous informe d’un problème avec le compte Twitter de TV5 Enseigner.

 

Screen Shot 2015-04-08 at 12.48.53 PM

 

Le fil présente tous les signes d’un piratage. Sa page a été “défacée” et le logo de la chaine est remplacé par celui du “cybercaliphate”.

Ses derniers tweets sont désormais un robinet de propagande pro-islamiste.

Contre les États-Unis et son allié la France. Le Président de République François Hollande est nommé et l’on recommande aux familles de soldats français de les convaincre de quitter leurs rangs.

Certains tweets – que nous reproduirons pas ici – sont des copies de cartes d’identité et de passeports français. Ils sont présentés comme ceux de militaires français combattants contre l’État islamique. Des futures cibles.

Sur le net, Daech nous a habitué à ce genre de publication choc.

Normalement, c’est l’armée américaine qui est visée et, comme nous l’avons démontré ici avant que le Pentagone ne le confirme, les informations publiées sont souvent périmées et proviennent de sources publiques.

Il est maintenant un peu plus de 22 heures et un à un les relais sociaux de TV5 tombent sous le contrôle des pirates :  Twitter, Facebook, Youtube puis le site web.

A première vue l’opération rappelle deux autres.

Celle contre le Centcom dont les sites sociaux avaient été piratés pendant une trentaine de minutes le 12 janvier 2015 et puis celle, plus massive, contre 19 000 sites français au lendemain de l’attaque contre Charlie Hebdo.

A cette occasion, Breaking3zero avait mené l’enquête dans les réseaux du cyber jihadisme et retrouvé le groupe en charge de l’attaque. Qui nous avait alors révélé son intention de s’attaquer prochainement aux médias français.

Tandis que  la présence de TV5 sur le net était remplacée par de  la propagande du cybercaliphate, tandis qu’un écran noir remplaçait les programmes des différentes chaînes du groupe, nous avions notre point de départ.

 

Screen Shot 2015-04-08 at 4.05.56 PM

 

PREMIERS SUSPECTS

 

“Nous continuerons à attaquer la France. Ces attaques dureront tant que celle-ci continuera a discriminer les musulmans, et tant qu’elle poursuivra ses guerres à l’étranger.

Notre prochaine cible sera les médias français qui jusqu’à aujourd’hui nous ont sous-estimés. Vous verrez vite quels journaux seront touchés, et avec quelle ampleur. Ce sera une surprise.”

Focus est le chef du groupe Fellagas, des pirates tunisiens responsables de ce que le vice-amiral Arnaud Coustillère, en charge de la cyber-défense au Ministère de la Défense avait désigné comme « la plus grande attaque informatique qu’un pays ait jamais affrontée ».

Lorsque nous l’avions interrogé en février dernier, Focus nous avait clairement annoncé son intention et celle de son groupe de poursuivre ses attaques contre la France. Et plus particulièrement contre ses médias.

Si le defacing – modification de la page d’accueil d’un site – est une des spécialités du groupe, le contrôle d’un compte twitter et du système de diffusion des programmes d’un réseau de télévision en est une autre.

Non pas que les Fellagas n’en seraient pas capables mais parce que cela ne correspond pas à leur mode opératoire.

Ni la signature d’ailleurs. Des couleurs utilisées à l’identité affichée sur les sites piratés, tout indiquait qu’il s’agissait d’un autre groupe de pirates.

Pour les identifier, il nous a fallu partir sur leurs traces virtuelles jusqu’au coeur des sites piratés.

 

MODUS OPERANDI

 

Le piratage de TV5 a été effectué via une faille Java. Une faille sur un ordinateur particulier : celui de l’administrateur des réseaux sociaux de la chaîne ou bien un directement connecté à la régie.

Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC.

 

Screen Shot 2015-04-08 at 3.53.25 PM

Son nom ? isis…

Screen Shot 2015-04-08 at 3.51.28 PM

Isis est un ver qui, une fois introduit dans le réseau de TV5, a continué a croître jusqu’à atteindre sa cible : le serveur de transmission.

Mais avant d’en arriver là, il faut expliquer comment ce redoutable virus a été introduit sur l’ordinateur fautif.

Pas pour rendre public un secret de hacker mais parce que cela concerne un outil utilisé de plus en plus dans les rédactions.

Une des manières les plus anciennes est l’envoi d’un faux courrier électronique ressemblant à un officiel de la chaine. L’utilisateur clique et sans le savoir installe sur son PC un script.

Un programme qui permet au pirate de prendre le contrôle de son ordinateur, sa webcam et…ses mots de passe.

Le quotidien Le Monde a failli être victime de ce genre d’attaque en janvier dernier.

Une autre manière de procéder est l’envoi d’un communiqué de presse ou d’un document électronique. Là aussi, sur le document se cache un script html qui va ensuite prendre le contrôle du pc de l’utilisateur.

La troisième est celle qui nous semble la plus probable.

Elle consiste pour un pirate à s’emparer de l’identité I.P. d’un utilisateur via Skype.

La manoeuvre est déconcertante de simplicité et de rapidité. Une de nos sources l’a effectué devant nous, sur un de nos ordinateurs afin de l’illustrer.

Les journalistes de TV5 comme beaucoup d’autres médias utilisent Skype. Y compris dans leurs communications avec certains jihadistes.

C’est vraisemblablement lors d’une de ses sessions – récente- que l’adresse IP a été dérobée et avec elle, l’identité du réseau de la chaîne.

Retour au virus maintenant.

Nous sommes moins de 30 minutes après son lancement.

Tandis que d’autres virus sont installés sur le réseau – nos sources en ont identifié trois autres dont un sous la forme d’un script html installé directement sur la page web de TV5, et qui, avant sa destruction par les techniciens de la chaîne, menaçait tout visiteur du site – isis a fait son chemin jusqu’au serveur de transmission.

Là où le signal des programmes est converti d’analogique en numérique avant d’être envoyé au satellite de diffusion.

Cette centrale de dispatching est le coeur de TV5.

C’est de là que ses programmes partent vers le monde entier. C’est la cible de l’opération.

Mais avant d’en dévoiler le but, il faut revenir sur les auteurs de l’attaque.

Une attaque complexe, pensée et préparée pendant des mois.

 

LES PIRATES

 

Sans surprise, les pirates se sont cachés derrière un VPN mais malgré toutes leurs précautions, n’ont pas réussi a camoufler toutes leurs traces.

Pour les identifier, nos sources ont dû isoler le virus isis puis le craquer afin de trouver l’identité de son concepteur, sa provenance et l’identité de son ou ses diffuseurs.

Deux programmes ont été utilisés pour créer le virus : JRAT MAC et WINRAT.

Le virus est bien évidemment crypté mais une fois sa protection cassée, il révèle, comme nous le pensions, ses secrets.

Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflage afin d’échapper aux anti-virus de la chaîne, sa programmation…

Plus amusant, nous apprenons aussi aussi qu’il a été conçu et propagé par un PC sous Windows 7.

Enfin, isis cache en son sein l’identité de son concepteur et son pseudonyme de hacker.

Son nom NAJAF.

Son pseudo ? JoHn.Dz

 

 

isWatermarked

 

Dz comme la signature de tous les hackers algériens.

L’Algérie dont les couleurs du drapeau se retrouvent sur chaque page de TV5 piratée par le cybercaliphate.

L’Algérie jusqu’où notre source a réussi a retracer l’activité du pirate.

Mais NAJAF n’est pas seul.

En suivant le parcours de la propagation du virus, nous avons découvert qu’un second pc a aidé l’Algérien dans son opération.

Cet ordinateur appartient à un dénommé Khattab.

Khattab est en Irak et combat avec Daech.

Nous avons réussi également a remonter jusqu’à son compte Twitter.

Un compte qui sert uniquement à relayer les opérations de EI. Ainsi alors que l’opération contre TV5 débutait à peine, Khattab en tweetait déjà les détails….

 

POURQUOI ? 

 

Pourquoi deux hackers directement liés à ISIS se sont-ils attaqués à TV5 ?

Au delà de l’opération de communication et du côté spectaculaire de la chose, il y a une raison politique.

Depuis l’affaire Charlie Hebdo, TV5 est devenue une cible des islamistes, mécontents de sa couverture des événements de Paris.

Une couverture d’autant plus décriée que TV5 est présente au Moyen-Orient et en Afrique.

Tout comme France 24 d’ailleurs, qui, selon nous sources, fait elle aussi partie des cibles de certains cyberjihadistes.

Mais ce n’est pas tout.

Le virus isis avait une mission très précise : s’emparer du serveur de transmission et en offrir l’accès aux pirates.

En clair, le but de l’opération était de prendre le contrôle de l’antenne de TV5.

Et d’utiliser cette immense vitrine pour diffuser un film de propagande de l’État islamique.

Pas qu’à Paris mais dans les 257 millions de foyers répartis dans plus de 200 pays et territoires.

Hier soir, les hackers de Daech ont tenté de pirater le deuxième plus grand réseau mondial de télévision pour une opération de propagande à l’envergure inédite.

La rapidité et l’efficacité des services techniques de TV5 a empêché le pire.

Mais l’attaque a aussi démontré la vulnérabilité de certaines infrastructures françaises.

 

http://www.breaking3zero.com/tv5-retour-sur-la-cyberattaque/

TV5 : RETOUR SUR LA CYBERATTAQUE

10 avr 2015

Screen Shot 2015-04-10 at 12.48.02 AM

 

Dans la nuit de mercredi à jeudi, TV5 Monde, le deuxième plus grand réseau de télévision de la planète était hacké par un groupe de pirates affichant les signatures du cybercaliphate.

Un groupe islamiste qui, s’il n’est pas officiellement rattaché à Daech, se réclame de sa mouvance à chacune de ses attaques.

Depuis janvier, il a visé avec succès les comptes des médias sociaux du centre de commandement de l’État major Américain (Centcom), le feed Twitter de Newsweek, des bases de données fédérales aux États-unis, une chaîne de télévision au Maryland ou encore le site d’un quotidien du Nouveau-Mexique.

 

Screen Shot 2015-04-10 at 2.01.23 AM

 

AVANT TV5, DES MAIRIES

 

L’attaque a débuté vers 21h45. Quelques minutes plus tard, informé par une abonnée à notre compte Twitter, Breaking3zero constatait l’ampleur de l’opération.

Un à un, les feeds Twitter de chaque chaîne de TV5 tombaient sous le contrôle des pirates.

La bannière du groupe y était installée et le fil proposait des messages de propagande pro État islamique.Des photos de passeports présentés comme ceux de militaires français étaient postés.

Des documents qui semblent ne pas avoir de rapport avec le Ministère de la Défense, mais plutôt avec des vols de données effectués sur des serveurs de différentes municipalités françaises.

Ainsi, l’attaque d’hier s’est accompagné d’un “dump” de plus de 300 documents volés par le cybercaliphate il y a quelques jours dans les systèmes informatiques de mairies françaises (un des documents porte un tampon du 20 mars 2015).

Parmi elles Dax, Fresnes sur Escaut, Fontainebleau, Sèvres, Bayonne, Oullins, Valenciennes

La collection de documents est éclectique. Des cv, des devis, des lettres d’avocats, des demandes de subventions, des photos personnelles et même des relevés d’identités bancaires.

Screen Shot 2015-04-10 at 2.03.17 AM

 

RAPIDITÉ

 

Après Twitter, les pirates ont obtenu le contrôle des comptes Facebook puis Youtube de TV5 afin de s’emparer du site web du diffuseur.

Mais le plus spectaculaire et – le plus inquiétant- restait à venir. Quelques minutes plus tard, la chaîne n’était plus en mesure d’émettre vers les 260 millions de foyers qui la reçoivent.

Une attaque sans précédent.

Hier matin, tout juste quelques après l’attaque, tandis que les programmes de TV5 n’étaient toujours pas rétablis, Breaking3zero vous a livré des premiers éléments de réponse.

Notre rapidité a étonné certains experts.

Au delà d’avoir été prévenu avant 22 heures de l’attaque en cours, nous sortions d’une longue enquête sur… les cyberpirates qui avaient attaqué la France au lendemain des attentats de Charlie Hebdo et Hyper Cacher. 19 000 sites atteints, des bases de données pillées…

Nous étions donc en terrain connu.

Nos conclusions se basent sur deux éléments : notre investigation et le travail de notre source dont nous avons suivi pas à pas, clic à clic, la progression dans sa chasse aux pirates de TV5.

Screen Shot 2015-04-08 at 3.51.28 PM

 

CONFIRMATIONS 

 

Aujourd’hui non seulement nous les maintenons mais constatons qu’elles sont confirmées par le ministre de l’Intérieur et deux cadres essentiels à la présence informatique de TV5.

Ainsi, dès hier matin, nous avions annoncé qu’il s’agissait d’une cyber attaque accomplie par des pirates se réclamant du groupe islamiste Daech.  Et non les exploits de pirates amateurs ni d’adolescents farceurs habitués à s’attaquer aux plateformes de jeux vidéo en ligne.

Hier soir, Bernard Cazeneuve déclarait que « beaucoup d’éléments convergent pour que la présomption d’un acte terroriste soit bien la cause de cette attaque »

Second point crucial, dans notre article d’hier, nous affirmions que la cible de l’attaque était le serveur de transmission de TV5 Monde (la centrale de dispatching dans le jargon du diffuseur).

Si certains experts en doutaient, mettant en avant un prétendu niveau de sophistication trop élevé, hier après-midi, sur iTélé, Hélène Zemmour, directrice que numérique sur TV5 confirmait que c’était bien le “serveur de transmission qui avait été attaqué”.

Enfin – et c’est un élément essentiel – hier, Breaking3zero révélait que TV5 avait été victime d’une attaque complexe dans sa préparation, pensée et préparée pendant des semaines voire des mois. Nous affirmions que le virus introduit dans le serveur du diffuseur avait permis aux pirates d’interrompre la diffusion des programmes.

Une conclusion qui, si elle n’était pas partagée par le quotidien Le Monde (“La chaîne a du interrompre ses programmes et rendre son site internet inaccessible pour barrer la route aux pirates”) a été confirmé hier par Jean-Pierre Vérines, directeur des systèmes d’informations de TV5.

Ainsi, dans un article publié par le site Arrêt sur images, il déclarait : “Les pirates ont coupé les deux services qui gèrent la diffusion. Deux machines parmi 1500. Ils savaient exactement ce qu’ils faisaient.” Pour Vérines, l’homme au coeur du système informatique de TV5Monde, “les pirates ont observé pendant plusieurs jours voire semaines le fonctionnement du réseau «

Trois points essentiels mis en avant par notre enquête.

Qui partait, rappelons le, du serveur de TV5, pour suivre la trace des pirates responsables de l’attaque.

A ce sujet, nous  le révélions hier, nous avons localisé l’un d’eux  en Irak, où il combat avec Daech.

Dans la nuit de mercredi à jeudi, à mesure que l’attaque contre TV5 progressait, “Khattab”, – c’est son pseudo – postait sur son compte Twitter -suivi par d’autres membres de Daech- les documents de revendications du cybercaliphate.

A présent, ce compte n’existe plus. Fermé par l’utilisateur ou supprimé par Twitter.

isWatermarked

 

PILLAGE D’EMAILS

 

Aujourd’hui, alors qu’il est établi que TV5 a subi une attaque de cyber terrorisme visant la prise de contrôle du serveur de diffusion de la chaîne,  seul le diffuseur peut éclaircir quelques questions essentielles.

Comme celle, par exemple, de la connaissance de l’architecture de leur réseau par les hackers du cybercaliphate. Un réseau récent et “ultra protégé” selon Hélène Zemmour.

Au delà de “l’observation” évoquée par Vérinès, il faudra élucider comment les pirates ont obtenu les informations leur ayant permis d’atteindre en moins de 30 minutes le coeur névralgique de la chaîne.

Il y a un autre point qui nécessite une réponse. Plus rapide celle là.

Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.

Non, les pirates ont aussi systématiquement pillé la base de données du site.

En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).

Dans le cas de TV5 Monde, cela voudrait dire que les pirates auraient pu récupérer les adresses électroniques de l’ensemble des journalistes et autres employés de la chaîne.

Mais aussi probablement celles d’abonnés aux services offerts par TV5 sur le web.

Bien entendu, tout cela n’est qu’une supposition, basée sur le mode opératoire des pirates.

Mais si elle est avérée, cela signifie que les pirates du cybercaliphate auraient la possibilité d’accéder aux comptes emails de milliers de personnes. Et de les utiliser ensuite pour prendre le contrôle de leurs ordinateurs. Ou de pénétrer à nouveau un réseau.

De notre côté, nous avons sollicité TV5Monde afin de savoir si les pirates de l’attaque de mercredi soir se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.

 

http://www.breaking3zero.com/tv5-second-virus-et-donnees-confidentielles/

TV5 : Second virus et données confidentielles

11 avr 2015
Screen Shot 2015-04-11 at 3.06.08 AM

 

Hier, Breaking3zero revenait sur le mode opératoire habituel des cyber jihadistes qui ont attaqués TV5 Monde dans la nuit de mercredi à jeudi :

Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.

Non, les pirates ont aussi systématiquement pillé la base de données du site.

En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).

 

SECOND VIRUS

 

Ce qui était une supposition hier, prend un nouveau sens aujourd’hui.

Selon une de nos sources, au delà de l’attaque contre le serveur de transmission de programme, les pirates avaient bien installé un second virus sur les serveurs de TV5 Monde.

Un virus permettant de récupérer les éléments contenus dans la base de données.

De style web shell au format php, il permet aux pirates d’effectuer des commandes à distance.

Comme celle de la recherche des fichiers de mots de passe et plus généralement tout ce qui touche à l’activité du serveur.

Une information qui, si elle se confirme, donne un sens nouveau à une autre.

 

DESTRUCTION

 

Ainsi, depuis l’attaque, TV5 Monde ne dispose plus de messagerie gérant ses courriers électroniques. Elle a été détruite par les pirates, sans possibilité d’être rétablie.

Ce qui pourrait donc bien signifier que les cyber jihadistes ont eu la possibilité de récupérer les adresses électroniques et les mots de passe de l’ensemble des journalistes et des autres employés de la chaîne.

Mais aussi probablement ceux des abonnés aux services offerts sur le web par TV5.

Si ce pillage a eu lieu, il est impossible d’en évaluer l’étendue.

De savoir par exemple s’il a touché le contenu des boites à lettres électroniques des journalistes.

Des emails qui, parfois, contiennent des informations confidentielles liées à la gestion des centaines de personnalités invitées sur les plateaux de la chaine.

Comme des adresses de domiciles et des numéros de téléphones. Qui appartiennent aussi bien à un sénateur, un acteur, un écrivain ou un ministre.

Vendredi matin, Breaking3zero a contacté TV5 afin de savoir si les cyberpirates se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.

 

http://www.breaking3zero.com/tv5-monde-histoire-dun-virus-et-localisation-des-pirates/

TV5 Monde : histoire d’un virus et localisation des pirates

12 avr 2015
Screen Shot 2015-04-12 at 12.57.37 AM

 

Dans la nuit de mercredi à jeudi, le groupe TV5 Monde était victime d’une cyber attaque unique en son genre.

En quelques minutes, la présence de la chaîne sur le net, de Facebook à Twitter en passant par son site web, était éradiquée. Plus spectaculaire et plus effrayant encore, les onze stations du diffuseur étaient remplacées par un écran noir. Une interruption unique dans notre histoire qui allait durer plus de 20 heures.

Quelques heures après l’attaque, Breaking3zero vous a proposé les premières révélations du mode opératoire des pirates, leurs origines et leurs motivations.

Si certaines de nos conclusions ont été alors mises en doute, elles ont été depuis confirmées.

Hier, nous vous révélions comment les cyber jihadistes se sont très certainement emparés des données confidentielles du serveur de messagerie électronique du groupe.

Aujourd’hui,  documents à l’appui, Breaking3zero a souhaité revenir sur l’histoire du virus qui a terrassé le deuxième diffuseur mondial. Car en son sein reposent les indices nécéssaires à l’expression de la vérité.

 

SOURCE

 

En janvier dernier, suite à l’attaque contre Charlie Hebdo et Hyper Cacher, la France était victime d’un spectaculaire épisode de la cyber guerre.

Plus de 19 000 sites étaient piratés, des bases de données pillées. Breaking3zero avait immédiatement débuté une longue et difficile enquête dans le milieu très secret du cyber jihadisme.

Au cours de ce travail, au delà de nos échanges avec les pirates eux-mêmes, nous avons réussi à approcher différentes sources. Qui, dans l’anonymat le plus complet, sont à la pointe du combat contre les pirates pro-islamistes. Certains affichent une appartenance au mouvement Anonymous, d’autres travaillent de manière indépendante.

Alors que l’attaque contre TV5 Monde était encore en cours, une de nos sources est partie à la traque des pirates.

Grâce à cette immersion, Breaking3zero a pu expliquer très vite que, après prise de contrôle d’une machine via une procédure de phishing, le serveur de transmission était la véritable cible de l’opération.

Et qu’un virus avait été utilisé par les cyber jihadistes pour arriver à leur but.

Un virus qui était encore présent sur les serveurs de la chaîne lors du passage de notre source, à la recherche d’éventuelles traces laissées par les pirates.

 

ISIS

 

Sens de l’humour ou sens de la provocation, le virus utilisé par les pirates de TV5 se nomme isis. Comme le nom utilisé par les Américains pour désigner daech.

Screen Shot 2015-04-08 at 3.51.28 PM

“isis” est un ver, un malware au format Visual Basic Script (.vbs) qui, introduit dans un PC du réseau de TV5, a continué de croître jusqu’à placer les pirates dans la position de contrôler le processus de diffusion de la chaîne.

“isis” est une version modifiée de njRAT, un virus conçu en novembre 2012 et largement diffusé depuis juin 2013.

Selon Symantec, depuis sa création, sous une forme ou une autre, njRAT a infecté au moins 20 000 machines à travers le monde.

NjRAT – et donc isis – a des capacités étendues.

Il permet de prendre à distance le contrôle de la machine infectée et là, par exemple, de récupérer des mots de passe (c’est ainsi que les hackers ont réussi sans aucune difficulté à pirater les comptes Twitter, Facebook et YouTube de TV5).

Les capacités de njRAT sont telles que, toujours selon Symantec, il est devenu le virus de prédilection des cybercriminels lorsqu’ils s’attaquent à des serveurs gouvernementaux.

 

PATERNITÉ

 

NjRAT est donc le virus de base qui a servi à la création de isis, celui qui a attaqué TV5.

À l’origine de njRAT, deux programmeurs : NjQ8 et security.najaf.

isWatermarked

 

Deux pseudos que l’on retrouve dans le script du virus qui a infecté TV5 et que nous publions dans son intégralité pour la première fois aujourd’hui à la fin de cet article.

Derrière NjQ8 se cache un programmeur du Koweït. Security.najaf est, lui, Irakien.

Le virus qui a servi de base à celui qui a attaqué TV5 est donc né au Moyen-Orient.

Où il est très vite devenu l’arme de choix des cyber jihadistes. Selon Symantec, au moins 80 % des utilisateurs de njRAT se trouvent en Irak, Algérie, Arabie Saoudite, Libye, Palestine, Tunisie et Maroc.

Et sans surprise, sous des formes modifiées, njRAT est utilisé par les pirates de l’État islamique. Ainsi un relevé des IP utilisées dans de récentes attaques pointe vers l’Irak et le domaine islamstate.no-ip.biz (comme démontré ici )

 

LOCALISATION

 

Pour résumer,  l’attaque de TV5, orchestrée par des membres du cybercaliphate a été effectuée  avec un virus nommé “isis”, conçu au Moyen-Orient, utilisé très majoritairement par des cyber jihadistes dont certains directement rattachés à daech.

Si cela crée un solide faisceau de suspicion, cela n’est pas suffisant pour établir une preuve.

Sur internet, et plus particulièrement dans l’univers de la cyber criminalité, il est très aisé de camoufler son identité et de se faire passer pour un autre.

Mais, comme nous l’avons publié dès le lendemain de l’attaque, nous estimons qu’un PC installé en Algérie (d’où, selon nos informations, semble aujourd’hui “émettre” security.najaf, l’un des pères du virus) et un autre en Irak (son propriétaire Khettab, un soldat de daech a ainsi “live-twitté” l’attaque contre TV5 avant de voir son compte supprimé) ont participé à l’opération.

Participé, car ils ne sont pas à l’origine de l’attaque.

Afin de rester le moins de temps possible sur les serveurs de TV5 au risque de se faire détecter, les pirates ont travaillé en équipe.

L’opération a vraisemblablement duré une quinzaine de minutes.

Les complices du hacker principal se sont retrouvés en charge de pirater les comptes des réseaux sociaux et les sites web du diffuseur. Pendant ce temps, le cyber jihadiste en chef partait à l’attaque du centre névralgique de TV5 Monde : son serveur de transmission.

Aujourd’hui, Breakig3zero est en mesure de révéler d’où l’attaque contre TV5 a débuté et donc de dévoiler la localisation du hacker principal.

Dans le script du virus “isis”, figure une adresse DNS.

Pour simplifier, il s’agit de la passerelle empruntée par le pirate pour attaquer sa victime. Une liaison qui peut mener à l’adresse IP de l’ordinateur utilisé et donc de sa localisation.

Dans le script de “isis”, l’adresse DNS est la suivante : “isis2012.ddns.net

isWatermarked

 

Une de nos sources a pu remonter sa piste.

Derrière l’adresse DNS se trouve une adresse proxy localisée en Roumanie. Pour faire simple, un proxy est un moyen utilisé pour dissimuler la réelle localisation d’un utilisateur. Une garantie d’anonymat. Ou presque

Derrière ce premier niveau de protection, un second étage d’anonymat via un nouveau proxy renvoyant en Asie.

Mais il n’y en a pas de troisième.

Derrière cette dernière barricade, la véritable adresse IP de l’ordinateur à l’origine de l’attaque contre TV5 Monde.

Sa localisation ? Établie avec précision à 55 kilomètres près, elle pointe vers une zone tribale d’Arabie Saoudite, a proximité de la frontière avec l’Irak.

“isis”,  un ver basé sur un virus crée au Moyen Orient, utilisé par des cyber jihadistes, a bel et bien été envoyé en mission destructrice contre TV5 depuis une zone sensible de la guerre qui oppose la France à l’État islamique.

Confirmant que le cadre de la cyber guerre est bien plus complexe et vaste que l’on croit. Et où les rapports de force sont loin d’être clairs.

 

COMPLEMENT EXCLUSIF : LE SCRIPT VBS DE ISIS, LE VIRUS QUI A ATTAQUÉ TV5

 

isWatermarked isWatermarked

 

isWatermarked

 

isWatermarked

isWatermarked

isWatermarked

isWatermarked

isWatermarked

isWatermarked



Le Club des Jeunes |
Collectif citoyen de Monfla... |
JCM Consultant |
Unblog.fr | Annuaire | Signaler un abus | Hug Lo
| Reelnew
| coachingmeteo