mer, 15/04/2015 - 10:57
Dans la nuit du 9 au 10 avril dernier, TV5Monde a subit de plein fouet une cyber-attaque de grande envergure, plongeant les antennes de la chaîne dans le noir pendant près de 20h. Les hackers ont en effet réussi à interrompre la diffusion de l’intégralité des programmes du média et à prendre le contrôle de ses réseaux sociaux pour y publier leurs messages de propagande. Si certains parlent d’attaque sans précédents, il semblerait pourtant qu’elle ait été enclenchée il y a quelques mois déjà. Selon l’AFP, les journalistes de la chaîne auraient reçu un email frauduleux courant janvier auquel certains auraient répondu. Cette méthode « classique » de phishing aurait ainsi permis aux pirates informatiques de pénétrer au cœur du système IT de TV5Monde grâce à un cheval de Troie. Dans un second temps, plusieurs ordinateurs de la chaîne auraient été touchés par un virus vers la fin du mois de mars.
Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants :
«Le fait que les hackers aient préparé leur attaque selon différentes phases et sur plusieurs mois a laissé paraître des signes avant-coureurs qui auraient probablement pu mettre TV5Monde sur la piste d’une attaque s’ils avaient été détectés à temps. Dans un contexte de multiplication et de sophistication grandissante des cyber-attaques, les médias, aujourd’hui devenus l’une des cibles privilégiées des pirates informatiques, ne peuvent plus se contenter d’adopter des outils de sécurité uniquement basés sur la prévention des menaces potentielles. Leur efficacité est en effet limitée si elles sont utilisées seules et ne permettent pas de détecter toutes les failles. Et tout cela sans même parler de l’éventuelle professionnalisation des hackers : bien que la technique utilisée dans le cas de TV5Monde soit relativement simple, elle n’en est pas moins inédite puisqu’elle a touchée simultanément plusieurs canaux.
Il est urgent que les médias mettent en place une stratégie globale de sécurité pour relever le défi de la protection de leurs données et de leurs ressources. Cela implique bien entendu les outils traditionnels tels que des antivirus et firewall, mais également le déploiement de solutions de sécurité dites intelligentes en complément, capables de comprendre tout ce qui se passe en continu et en temps réel sur le système d’information. Les outils de Security Intelligence sont dotés de puissants moteurs d’analyse qui permettent d’identifier les événements et les comportements anormaux en temps réel grâce à la corrélation des informations et aux règles de sécurité préétablies. Dès qu’un incident se produit, comme une connexion anormale d’un utilisateur au réseau de l’entreprise, ou un nouveau processus se lançant sur un serveur par exemple, les responsables informatiques reçoivent une alerte et peuvent dès lors contrôler le système puis prendre les mesures nécessaires en cas de véritable attaque. Ce type de solution aurait probablement permis aux services sécurité de TV5Monde de repérer la faille avant que les hackers ne lancent leurs attaques synchronisées – ce qui a évidemment élargit la portée de l’action et leur a ainsi permis d’atteindre leur objectif.
La détection est aujourd’hui le nouvel impératif des médias qui sont désormais dans la ligne de mire des pirates, mais plus largement de toutes les organisations, quel que soit leur secteur d’activité. Il est nécessaire que les politiques de sécurité soient renforcées et combinent à la fois une approche analytique et adaptative pour assurer la protection de l’intégralité des données. Etre en mesure de détecter une faille dès qu’elle se produit permet de limiter les dommages qui s’y rapportent avant qu’ils ne soient durables et irréversibles. Outre la mise en place de solutions de sécurité puissantes, la formation des employés ainsi que l’application systématique des bonnes pratiques pour éviter de se faire piéger par les techniques insidieuses des hackers est aujourd’hui également indispensable pour initier une vraie stratégie de sécurité.
Après l’attaque portée sur le site du journal Le Monde en janvier dernier, puis sur TV5Monde la semaine dernière, nous pouvons nous poser la question du statut des médias compte tenu de l’importance de leur activité et de leur portée. Ne devraient-ils pas faire partie de la liste des organismes auxquels l’ANSSI impose des règles de sécurité comme les Opérateurs d’Importance Vitale (OIV)? Quoiqu’il en soit, chaque média doit désormais partir du principe qu’il sera le prochain sur la liste des hackers et se doter de tous les moyens nécessaires pour s’en protéger.
A propos de l'auteur