TV5 Monde piratée par l'Etat islamique : comment le "CyberCalifate" a-t-il pu réussir son coup ?

Le "CyberCaliphate", groupe de cyberterroristes se réclamant de l'Etat islamique, a attaqué les réseaux sociaux, le site et les chaînes de TV5 Monde, mercredi 8 avril. Mais comment les hackers ont-ils pu réaliser une attaque d’une telle ampleur?

Plus rien ne semble pouvoir arrêter le "CyberCaliphate". Après avoir fait parler de lui en janvier en attaquant le compte Twitter et la chaîne YouTube du commandement de l’armée américaine, le groupe de cyberterroristes se réclamant de l’Etat islamique a frappé un grand coup mercredi 8 avril en s’en prenant directement aux canaux de diffusion de TV5 Monde, média qui promeut la francophonie dans 200 pays à travers le monde et compte 55 millions de téléspectateurs uniques par semaine. Mais que s’est-il réellement passé? Comment ce groupe, qu'Anthony Morel, spécialiste high-tech de BFMTV, qualifie de "bras armé de l'Etat islamique sur Internet", a-t-il pu réussir une attaque d’une telle ampleur?  

A 22h mercredi, les comptes Twitter de la chaîne publique internationale francophone changent d’aspect: le logo habituel de TV5 Monde est remplacé par celui du "CyberCaliphate", et une série de messages faisant la propagande du djihadisme apparaissent. Peu de temps après, la page Facebook, le compte YouTube et le site web de la chaîne sont attaqués à leur tour. Sur la page Facebook de la chaîne, on peut notamment lire: "Je suIS IS" (l’acronyme anglophone de l’Etat islamique, NDLR).

"Peu après, notre système informatique interne est tombé, et nos programmes ont suivi", a expliqué Hélène Zemmour, directrice du numérique de TV5 Monde à France TV Info, ajoutant: "nous n'avions plus accès à notre messagerie, ce qui nous a compliqué la tâche pour entrer en contact avec les équipes de Twitter et de Facebook afin d'y récupérer le contrôle de nos comptes". La chaîne interrompt donc sa diffusion pendant trois heures, le temps nécessaire pour reprendre le contrôle de ses serveurs informatiques.

Si le piratage des comptes Twitter et Facebook est à la portée de n’importe quel habitué du piratage, la prise de contrôle d’une chaîne de télévision suggère une intrusion dans son système interne, ce qui révèle d’un tout autre niveau. Ainsi, selon Frédéric Simottel, spécialiste high-tech sur BFMTV, "on n’est plus dans l’attaque spontanée qui dure quelques heures mais dans quelque chose de préparé sans doute depuis des mois pour avoir une telle puissance". Le site spécialisé Breaking3Zero confirme: selon lui, l’attaque de mercredi est "complexe, pensée" et a été "préparée pendant des mois". Elle aurait été effectuée à partir d’un virus nommé "ISIS", rapporte le site.

Le virus pourrait avoir été transmis via l’envoi d’un faux e-mail, ressemblant à un message officiel de la chaîne. "L’utilisateur clique et, sans le savoir installe, sur son PC un script, un programme qui permet au pirate de prendre le contrôle de son ordinateur, sa webcam et ses mots de passe", explique Breaking3Zero.

Autre possibilité: "ISIS" aurait pu être envoyé par le biais d’un communiqué de presse au sein duquel aurait été caché un script HTML qui aurait ensuite pris le contrôle de l’ordinateur. Enfin, une adresse IP récupérée lors d’une conversation sur Skype aurait permis d’introduire le virus. Selon Breaking3Zero, cette troisième hypothèse est la plus probable. Une fois introduit dans le réseau, en moins de trente minutes, "ISIS" s’est répandu dans tout le système informatique de TV5 Monde et a fait son chemin jusqu’au serveur de transmission, soit là où le signal des programmes est converti d’analogique en numérique avant d’être envoyé au satellite de diffusion…

Selon les informations de RTL, cette attaque serait partie de France. Elle aurait transité par un réseau employant, selon les services américains, une quinzaine de hackers de haut niveau dans le monde.