TV5 Monde a dû suspendre ses programmes après une attaque massive et coordonnée lancée mercredi soir, qui a affecté jusqu'à ses systèmes internes. L'attaque est revendiquée par le "Cybercaliphate", une organisation qui affirme sans ambiguïté possible agir au nom de l'Etat Islamique. Mais est-il vraiment rattaché à l'EI, ou s'agit-il d'un jeu destiné à choquer, organisé par un groupe de pirates beaucoup plus classique ?

La France en guerre s'attendait à devoir subir des cyberattaques de la part de ses adversaires, et c'est bien pour cette raison qu'elle a publié voici quelques jours des décrets qui font obligation aux FAI et hébergeurs de livrer quantité d'informations sur leurs réseaux, et d'installer dans leurs infrastructures des "produits de sécurité" certifiés par l'Etat. Mais la première attaque de grande ampleur n'a pas frappé un opérateur d'importance vitale ; c'est TV5 Monde qui en a été la cible. Dans la soirée de mercredi, une attaque "jamais vue en 30 ans" selon TV5 s'est déchaînée sur ses réseaux, atteignant jusqu'à la diffusion de ses programmes à travers le monde, qu'elle a dû interrompre.

L'attaque aurait commencé peu après 22 heures, et permis aux hackers de mettre la main sur les identifiants des comptes de réseau sociaux de TV5 Monde, mais aussi sur le site internet de la chaîne, et sur des systèmes d'information internes. Tout a été repris sous contrôle après quelques heures, mais la chaîne n'avait toujours pas rétabli son site internet ce jeudi matin, et s'attend à ne pas retrouver une activité normale avant plusieurs jours. La diffusion a repris dans plusieurs régions du globe.

Dans un communiqué, l'Agence nationale de sécurité des systèmes d'information (ANSSI), dont l'une des missions est d'apporter son concours à la lutte contre les cyberattaques, a fait savoir jeudi matin qu'elle apportait son soutien technique aux équipes de TV5 Monde "pour analyser l’attaque et permettre à la chaîne de rétablir le service dans de bonnes conditions de sécurité".

SIGNÉ "CYBERCALIPHATE"

L'attaque a été revendiquée par un groupe dénommé CyberCaliphate (ou "Cyber Califat"), qui prétend agir en soutien à l'Etat Islamique. Le groupe s'était déjà fait connaître en début d'année avec le piratage de comptes de l'armée américaine, et la diffusion de documents confidentiels dont un examen attentif aura toutefois permis de démontrer qu'ils avaient déjà tous été publiés.

Cette fois-ci, les pirates ont publié sur le site internet de la chaîne d'information francophone des messages sans ambiguïté, en français, arabe et anglais, à la gloire de l'Etat Islamique et surtout contre la politique extérieure française, François Hollande étant accusé d'avoir commis "une faute impardonnable" en envoyant des troupes au front. C'est "pour ça que les Français ont reçu les cadeaux de janvier à Charlie Hebdo et à l'Hyper Cacher", se réjouissent-ils en évoquant les attentats de janvier, qui ont choqué bien au delà de la France.

"Soldats de France, tenez-vous à l'écart de l'Etat islamique ! Vous avez la chance de sauver vos familles, profitez-en", conseillaient-ils. "Au nom d'Allah le tout Clément, le très Miséricordieux, le CyberCaliphate continue à mener son cyberjihad contre les ennemis de l'Etat islamique".

Par ailleurs comme le rapporte France TV Info, "les pirates ont posté sur le compte Facebook de TV5 Monde des documents présentés comme des pièces d'identité et des CV de proches de militaires français impliqués dans les opérations contre l'EI".

SOUTIEN ISLAMISTE, OU JEU DE RÔLE MALSAIN ?

Il est très difficile à cette heure de savoir si l'attaque est réellement menée par un groupe directement lié à l'Etat Islamique, ou s'il s'agit d'un simple et sinistre "jeu" de provocations. Le prétendu "Cybercalifat" emploie en effet des méthodes extrêmement proches d'autres groupes de pirates bien connus dont le seul but est de démontrer leurs talents et de se moquer de ceux qui les combattent, quitte à tomber dans l'outrance la plus totale, et à choquer. Au contraire, c'est leur plaisir. C'est l'esprit "lulz" incarné autrefois par LulzSec, qui n'est accompagné d'aucune doctrine philosophique, mais qui continue à perdurer.

En janvier dernier, peu après l'attaque commise contre les comptes de l'armée américaine, c'est la Malaysia Airlines qui avait été attaquée. Le message faisait alors le rapprochement direct entre le "Cybercalifat" et groupe Lizard Squad, rendu célèbre l'an dernier avec le piratage des services de jeu en ligne de la Xbox et de la Playstation juste au moment des fêtes de Noël. 

Le groupe de pirates avant alors invité les internautes à suivre le "Cyber Caliphate" sur Twitter (le compte est depuis suspendu), et affirmé ne faire qu'un seul et même groupe :

L

Toutefois cette opération ne figure pas sur le site internet officiel du CyberCaliphate créé en février dernier, qui rend compte de toutes les actions de piratage commises au nom de l'Etat Islamique. Le groupe y a revendiqué des attaques contre les réseaux de communication du Nouveau Mexique, contre des bases de données du FBI, et contre l'armée américaine. Il diffuse également quelques vidéos de soutien à l'Etat Islamique.

Rien ne permet sur ce site de croire à une simple plaisanterie.

UN LIEN AVEC DES PIRATES NÉERLANDAIS ?

"Nous sommes le CyberCalifat !", dit leur site internet. "Au nom d'Allah, le Tout Clément, le Très Miséricordieux, sous le drapeau de l'Etat Islamique le CyberCalifat continue son Cyberdjihad. Infidèles vous ne verrez aucune pitié. Il n'y a de Dieu qu'Allah et Mohamed est son Prophète ! Il n'y a pas d'autre loi que la Charia !".

De façon inattendue, on trouve toutefois dans le code source du site une ligne de code destinée à vérifier le propriétaire du domaine auprès du réseau social Pinterest :

Le code utilisé est présent sur plusieurs sites internet à destination essentiellement d'un public féminin (ce qui n'est pas surprenant pour Pinterest), dont une part importante de sites néerlandais. Or les Pays-Bas font partie des quelques pays qui hébergeaient des membres de l'ancien groupe LulzSec, lequel était lui-même en rivalité avec le groupe néerlandais TeaMpOisoN, des pirates "black hat" qui ont compté notamment la NASA et l'OTAN dans leurs cibles.

Parmi les victimes des attaques menées par TeaMp0isoN  figuraient aussi le site du mouvement d'extrême droite britannique English Defense League, dont les pages critiques contre l'islam et la charia avaient été piratées. 

En 2011, le groupe avait aussi trouvé des failles dans Facebook, et avait publié des messages sur les comptes de Nicolas Sarkozy et Mark Zuckerberg.

Le groupe aurait été démantelé en 2012, avec l'arrestation de deux adolescents de 16 et 17 ans. Mais le groupe a repris ses activités… début 2015, et affirmé avoir découvert de nombreuses failles notamment chez Google, Amazon, eBay, les Unies Unies, ou encore le London Stock Exchange. 

Aucun message relatif à l'attaque contre TV5 Monde n'a toutefois été publié sur leur compte Twitter, et il peut donc s'agir d'une pure coïncidence. D'autant que le mois dernier, le groupe a clairement évoqué sa détestation de l'Etat Islamique, qu'il estime salir l'honneur des Musulmans. Il réagissait alors à des accusations d'un autre hacker, qui affirme qu'il serait lié à l'Etat Islamique (ISIS) :

Notons enfin que CyberCaliphate utilise des méthodes de communication très similaires à celles que nous avions vu — entre autres — au moment du piratage de Sony Pictures, attribué hâtivement par les Etats-Unis à la Corée du Nord. Comme avec Sony Pictures, le groupe a publié un communiqué sur PasteBin, avec des liens permettant de télécharger tout une série de documents confidentiels sur des plateformes de téléchargement direct :

 

Quelques réactions :

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !