TV5Monde et la liste Pailloux

En début d’année, suite aux attentats du 7 au 9 janviers, il y a eu un virage « cyber » de la crise avec notamment l’opération #opFrance, l’opération sera impressionnante par le nombre de site impactés (plusieurs milliers), mais peu convaincante tant l’action se résumait à simplement défigurer les sites dans une campagne fait à la va vite sans véritable coordination.

L’ANSSI par la voix de son directeur général ne manquera pas de minimiser l’événement, La twittosphère relativisera aussi :

Cependant quasiment 3 mois plus tard jour pour jour, l’attaque dont a été victime TV5 est beaucoup plus percutante et d’un genre nouveau pour plusieurs raisons. Alors que nous commençons à voir apparaitre de véritable guerre de territoire entre gangs cybermafieux sur le net, l’attaque de TV5 Monde est novateur à un plus d’un titre.

L’attaque de TV5Monde montre que les groupes de cyber hacktivistes ou autre sont montés en gammes et n’ont pas grand chose à envier aux puissances étatiques (Equation Group, Babar). Oui, cette comparaison est assumée : on peut comparer une 2CV à une Ferrari : les 2 vous conduirons d’un point A à un point B. Et après tout : Pourquoi sortir la grosse berta pour faire péter la baraque quand on peut le faire avec un peu d’engrais ?

Mais détaillons notre point de vue :

  • Tout d’abord l’ampleur de l’attaque est impressionnante : les attaquants ont véritablement pris d’assault l’ensemble des vitrines de TV5 Monde : site web, Twitter, Facebook et les 11 chaines télévisées.
  • L’attaque n’est plus brouillonne comme on avait pu le voir en début d’année. Mais elle est au contraire très coordonée. L’assault s’apparente à un raid minitieusement préparé avec une stratégie bien écrite et une frappe quasi chirugicale. L’ANSSI pense par ailleurs que l’infiltration de TV5 monde date de janvier via un classique hameçonage.
  • Enfin et c’est là, peut-être le point qui nous parait le plus important, l’attaque n’a pas eu qu’une simple répercussion sur l’image de l’entreprise. Elle l’a véritablement mise  hors circuit. Les attaquants ont réussi à avoir un impact sur le coeur du métier de TV5 monde : émettre ! Le plus grave dans cette histoire à l’image de Stuxnet qui par une « simple » infection USB avait mis à mal le programme iranien d’enrichissement d’uranium en détruisant les centrifugeuses, a été la faculté des pirates à atteindre le coeur du réseau de transmission et couper la retransmissions des programmes.

Comme vu, cet incident est inquiétant à plus d’un titre. Et même s’il est aisé de tirer sur l’ambulance à moment : faut se poser 5 min et essayer de comprendre un peu plus et mettre chacun devant ses responsabilités.

Certes il semble y avoir une monté de niveau des pirates, pourtant il faut relativiser. La possibilité de ce jeu de massacre virtuel n’est pas le fait seul des attaquants.

Pour avoir un aperçu technique du contexte de TV5Monde, nous vous invitons à lire cette excellente analyse. De notre coté, on se propose dans la suite de cette article de prendre un peu de recul avec la technique et de faire un petit comparatif avec la désormais « fameuse liste Pailloux » (qu’on peut retrouver commenter ici) :

  • FAIL : Avoir une organisation de la SSI avec un RSSI indépendant du DSI :
    Pas de RSSI et si vous écoutez bien : l’équipe sécurité c’est 1 gars :
  • FAIL : Combien de personnes disposent du mot de passe administrateur permettant d’accéder au système central de gestion des droits ?
    mdpTV5Monde
  • OK : Quel mot de passe est utilisé pour installer une imprimante ? Le mot de passe permettant le contrôle total de votre système d’information, ou un autre ?
    On demandera à l’ANSSI mais bon… on leur accorde le bénéfice du doute
  • INCONNU: Chaque administrateur dispose-t-il d’un mot de passe différent ?
    L’utilisation de la technique des mots de passe n’est guère encourageante à attribuer un bon point.
  • INCONNU: Lorsqu’un administrateur travaille à autre chose qu’à des tâches d’administration, quel type de compte utilise-t-il ?
    Question subsidiaire : ont-ils des administrateurs à plein temps ?
  • OK : Quand, pour la dernière fois, quelqu’un a-t-il vérifié qui disposait des droits d’accès à la messagerie de votre PDG ou DG ?
    Ca a du être fait dans les 15 derniers jours 🙂
  • OK : Qui a vérifié si cette nuit, un fichier zip de 2 Go n’avait pas été extrait de votre système d’information ? Quelqu’un regarde-t-il de temps en temps si les flux sortant de votre SI, la nuit par exemple, sont légitimes ? Si les adresses de destination sont normales ? La dernière fois que vous êtes venus travailler un dimanche, quelqu’un est-il venu vous demander le lundi s’il était normal que quelqu’un se soit connecté sur votre compte dimanche ?
    Bizarrement, depuis 2 semaines, ca doit bien être monitoré.
  • FAIL : Votre propre poste de travail est-il à jour de ses correctifs de sécurité (pour l’ensemble des logiciels installés) ?
    Au vu de l’attaque par phishing, on peut dire non.
    Au vu des réponses on peut dire non encore
    Au vu de l’analyse faite, on peut confirmer que non.
  • OK : Votre SI comporte-t-il encore des applications tournant sur Windows XP pack 2, voire 2000, voire NT4 (on en voit plus souvent qu’on ne le penserait) ? Dans ce cas, quelles mesures de précaution ont été prises ?
    A priori pas de problème sur ce point !
  • OK : Quelqu’un a-t-il la cartographie de votre réseau — vraiment, pas juste une idée plus ou moins précise dans sa tête, mais un vrai schéma ?
    A priori, c’est bon de ce coté : ils l’ont même sauvergardé dans le cloud.
  • FAIL : Combien d’accès internet avez-vous ? Où sont-ils ? Sont-ils tous administrés ? Surveillés ?
    Alors comme vu à la réponse précédente, ca a l’air assez complexe. Et vu l’analyse fait niveau administration et surveillance c’est plutot un échec !
  • INCONNU: Combien de temps se passe-t-il entre le moment où quelqu’un quitte votre organisation et le moment où son compte est supprimé ?
    Pas en mesure de répondre.
  • FAIL : Combien avez-vous de comptes non individuels, de comptes de service ? À quoi servent-ils ?
    A priori, les comptes sur les réseaux sociaux ne sont pas individuels.
  • INCONNU: L’exécution automatique des supports usb est-elle désactivée ?
    Nous en doutons fortement, mais bon de toute façon, ils utilisent WeTransfer alors…
  • FAIL : Les utilisateurs peuvent-ils installer des applications ?
    Visiblement Oui !
  • FAIL : Quel plan avez-vous en cas d’intrusion majeure dans votre système ?
    « Who you gonna call ? The ANSSI !! » Air connu…
  • FAIL : Que se passe-t-il quand vous découvrez un poste de travail compromis par un virus ? Le changez-vous simplement ou vérifiez-vous si par hasard l’attaquant n’aurait pas rebondi ailleurs dans votre système ?
    C’est là une question tragique pour TV5Monde : visiblement RIEN ou pas grand chose. Mais même une fois un problème pointé, les équipes de TV5Monde semblent dépassées ou du moins pas très alertes.

Malgré les inconnus, le bilan n’est pas vraiment glorieux pour une entreprise qui est une véritable vitrine de la Francophonie à travers le monde.

Espérons que ce genre d’événements sera un électrochoc. Il faudrait d’ailleurs peut-être étendre le périmètre des obligations en matière de SSI à plus large que les seuls OIVs.

Enfin d’ici là, le plan vigipirate cyber (oui oui, ca existe) est de nouveau activé.

Et sinon la liste Pailloux chez vous, ca donne quoi ?

Publicités

A propos JoMendes

Amateur de mathématiques et d'hexadécimal. Je m'intéresse de près ou de loin suivant mon niveau à tous les sujets de sécurité de l'information.
Cet article, publié dans Sensibilisation, est tagué , . Ajoutez ce permalien à vos favoris.

2 commentaires pour TV5Monde et la liste Pailloux

  1. Ping : Brèves 2015 S15 à S19 | La Mare du Gof

  2. Ping : Certains ne devraient pas dire ça | Cryptobourrin

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s