dimanche 12 avril 2015

Cyberattaque TV5 Monde : premiers enseignements et recommandations

A la différence de l'affaire Sony en décembre 2014 [1] pour laquelle j'avais attendu que la poussière retombe, difficile cette fois-ci de se retenir tant l'emballement médiatique, les (sur)interventions ministérielles et l'aspect "brèves de comptoir" de certains "experts" aura consterné quelques uns d'entre vous/nous dont les camarades d'EchoRadar [2].

En quelques mois, ces trois affaires cyber majeures permettent de tracer une certaine dynamique médiatique : le piratage de Sony USA, la vague de subversion #OpFrance [3] après les attentats de janvier 2015 à Paris et l'interruption de la diffusion de TV5 Monde durant presque 20 heures la semaine dernière. Techniquement différentes, notamment parce qu'il est plus simple d'exploiter la vulnérabilité d'un site internet pour en modifier le contenu que de pénétrer un système d'information (SI). De plus, et dans ces cas d'intrusions (Sony, TV5 Monde), l'objectif final était d'exfiltrer de l'information et de déclarer son forfait (Sony) avant que l'attaque  ne soit avérée quand pour TV5 Monde l'attaque fut silencieuse, probablement coordonnée, parfaitement exécutée et revendiquée à l'issue.

De la bulle médiatique à l'écume des "experts"
On peut alors observer qu'à chaque fois, une bulle médiatique s'est formée : essentiellement internationale pour l'affaire Sony, nationale et internationale pour les cyberattaques Charlie, essentiellement nationale pour TV5 Monde même si relayée par les principaux médias internationaux. Sans tirer de conclusion hâtive, remarquons que les media nationaux s'intéressent un peu plus au cyber depuis l'année dernière. 

C'est probablement le résultat du travail de labour mené par les autorités en charge de ces questions et notamment l'ANSSI mais aussi l'explosion des cyberattaques réussies et aux conséquences de plus en plus importantes. Pour TV5 Monde, le côté nombrilo-centré est indéniable puisque c'est un media télévisuel qui s'est fait attaquer. Il y a donc une certaine surexposition par ses confrères qui, enfin, sortent de la distanciation pour se sentir directement concernés.

Pour la partie technique, aucun élément fiable et vérifiable n'a, pour le moment, été communiqué. Malgré tout, il n'aura pas fallu longtemps pour échafauder des scénarios, des commentaires et des commentaires de commentaires. On me rétorquera, à juste titre, que les médias sociaux, notamment, sont prompts à s'emballer et que tout cela fait partie du jeu (des jeux...du cirque ?). Il n'empêche qu'il était cocasse, pour rester poli, d'assister à une certaine course vers les studios de radio et de télévision, tels des papillons pris dans les phares d'un coupé italien, en plein été, sur une route de bord de mer. 

Hormis quelques experts [4] et le directeur de l'ANSSI [5], avisés et prudents, la plupart des interventions auraient mieux fait d'être diffusées sur TV5 Monde au moment de son interruption de programme. Il semble que la déontologie et, plus simplement, le bon sens soient définitivement absents du référentiel de certains. Plus directement, il me parait inconvenant sinon inacceptable d'aller commenter une affaire en cours et pour laquelle personne ne possède le moindre élément factuel. Question d'ego, sans doute. Ou pas.

Premiers enseignements
Qualifier la cyberattaque contre TV5 Monde "d'une puissance inouïe" ou de "très puissante" [6] est assurément une erreur d'appréciation que l'on oubliera vite du fait qu'Yves Bigot est le directeur d'une chaîne de télévision, pas un expert en cybersécurité. Il est pourtant indéniable que les conséquences de cette cyberattaque sont importantes en termes d'image essentiellement pour la chaîne elle-même. Elles sont même désastreuses lorsque le directeur se déclare surpris de s'être fait powner alors que la chaîne disposait de "dispositifs anti-intrusions performants" soit des...firewalls "certifiés" [7].

Un court arrêt sur image en prenant le pari que la "défense" du SI de TV5 Monde était périmétrique et que le SI est un réseau à plat. Il y a la une réflexion à mener sur le "vrai-faux" sentiment de sécurité que certains pourraient avoir en se dotant de produits qualifiés par l'ANSSI : s'ils sont nécessaires car maîtrisés et opérant dans un contexte pour lequel ils ont été conçus, ce contexte est un tout dont l'équipement n'est qu'une brique. Le risque que le firewall "ultra-puissant" et qualifié devienne l'alpha et l'oméga de la cybersécurité de certains semble exister. Souhaitant qu'il ne soit que le fait des clients, la communauté cybersécurité et les vendeurs de produits et solutions ont l'obligation morale de prévenir leurs prospects et leurs clients. A vérifier dans les clauses contractuelles sinon à corriger très rapidement avant que les procès pour "défaut de conseil" ne fleurissent !

Considérons maintenant l'affaire du mot de passe affiché dans les locaux de la chaîne durant un reportage [8] qui, si l'affaire n'avait pas été si médiatisée - souvent à tort et à travers, j'insiste - aurait pu faire sourire. Le pire, dans ce cas, est d'affirmer que ces mots de passe auraient été affichés après l'attaque. Si l'on peut éventuellement comprendre qu'il a fallu pallier à la perte de tous les moyens de communication (diffusion du signal et des réseaux sociaux) durant la crise, il y a de tout évidence une faillite en matière de communication et/ou de sûreté.

Enfin, un élément étonnamment positif apparaît : malgré l'agitation la mobilisation de certains ministres et des services associés, il semble que la mayonnaise "terrorisme" ait du mal à prendre. Même si la revendication du groupe "CyberCaliphate" a rapidement suivi l'attaque, tout lien supposé avec des jihadistes semble être passé au second plan des échanges depuis hier. Un moindre mal et une conséquence heureuse puisque l'effet recherché par les attaquants se situait principalement dans l'écho l'écume médiatique et sa capacité à s'inscrire dans la durée. Comme pour les multiples défacements de janvier 2015, le but de cette opération s'inscrit essentiellement dans une guerre de l'information et de la communication, de la subversion dans et par le cyberespace. Pour les accrocs de la "cyberguerre" et autre palimpseste abusif, merci de rester en zone blanche [9] lors de la prochaine cyberattaque d'ampleur médiatique.

Recommandations
Même si l'impression d'ânonner se confirme [10], il est nécessaire de rappeler certaines vertus cardinales afin de réduire les risques d'une cyberattaque : défense en profondeur, cloisonnement des réseaux, comptes de moindres privilèges, audits réguliers et une organisation et un budget SSI cohérents. 

Ces mesures nécessaires afin de permettre une réduction substantielle de la surface d'attaque du SI ainsi protégé, doivent impérativement s'appuyer sur un écosystème conçu pour être résilient en cas d'incident. La gestion de crise doit avoir été anticipée, testée et éprouvée même sans incident majeur jusqu'alors.

Finalement, l'incident de TV5 Monde pourrait avoir des effets positifs notamment au niveau des directions d'entreprises. Qui, en dépit d'une prise de conscience affichée ces derniers mois et de discours en apparence rassurants, n'ont assurément pas encore pris la pleine mesure des risques et des mesures à mettre en œuvre. Mais sans doute lointain est encore le jour où le responsable du patrimoine informationnel ou de la sécurité des systèmes d'information sera l'égal du directeur financier. Pourtant, l'un comme l'autre exercent dorénavant l'une des fonctions les plus stratégiques au sein de l'entreprise.


2 commentaires:

Antoine Leclercq a dit…

Bonjour,

Personnellement je ne fais pas trop attention aux informations (car je trouve que c'est plus de la désinformation pour l'instant...), donc merci d'en parler.
Mais j'ai remarqué dans le huitième paragraphe à la sixième ligne, que tu as écrit "sont été" au lieu de, je suppose "ont été" :).

Bonne journée
maazz710

Sivispacem a dit…

Bonjour,

merci de m'avoir signalé cette erreur corrigée à l'instant. En dépit d'une relecture attentive, il reste parfois des coquilles ;-)

Bonne journée,
Si vis pacem