« C’est une action coordonnée et préméditée, on ne peut pas faire tomber ces canaux simultanément sans être très bien préparé », explique Gérôme Billois, expert en cybersécurité chez Solucom. Cette combinaison de cibles implique en effet une sophistication bien plus grande que les milliers de défaçages de sites (modification malveillante de la présentation de sites web) intervenus dans le cadre de « OpFrance » après les attentats de janvier à Paris.
Il existe toutefois plusieurs précédents en terme de perturbation des programmes d’une chaîne, à l’origine par le biais du signal radio. En septembre 1987, Playboy TV avait ainsi été détourné pour retransmettre des images du Christ alors qu’en mai 2007, Disney Channel diffusait involontairement un extrait de film pornographique. Des intrusions informatiques menées par des « hacktivistes » (pirates activistes, NDLR) comme dans le cas de TV5 ont également été observées. Une télévision câblée chinoise avait ainsi été piratée en août 2014 par un groupe anti-communiste.
« Cette attaque est néanmoins impressionnante par le symbole qu’elle représente », indique Laurent Heslault, directeur des stratégies de sécurité Symantec et Norton pour l’Europe du sud. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a indiqué jeudi qu’elle apportait « son soutien technique aux équipes de TV5 Monde pour analyser l’attaque et permettre à la chaîne de rétablir le service dans de bonnes conditions de sécurité ». Le site spécialisé breaking3zero.com affirme de son côté avoir déjà identifié deux des pirates responsables de l’attaque, l’un basé en Algérie et l’autre en Irak où il combattrait au sein du groupe Etat islamique. Selon le site, « le but de l’opération était de prendre le contrôle de l’antenne de TV5 » afin d’y diffuser un film de propagande de l’Etat islamique et seule la réaction rapide des équipes techniques de la chaîne a stoppé ce projet.
Les pirates auraient d’abord accédé au réseau de l’entreprise en récupérant une adresse IP (de protocole internet) au cours d’une interview menée par un journaliste de TV5 avec un jihadiste via Skype. « L’attribution est compliquée, il faut attendre la fin des investigations », avertit cependant David Grout, directeur Europe du Sud d’Intel Security. « Il y a aussi une dimension de saccage informatique comme dans le cas de Sony Pictures », remarque Thierry Karsenti, directeur technique Europe de Checkpoint.
Cet événement s’inscrit en tout cas dans un contexte global de menaces accrues de la part des hackers dans tous les domaines, les mesures défensives se résumant souvent à détecter au plus tôt leurs intrusions. « Il s’agit d’un cas typique d’attaque ciblée à motivation politique qui a demandé de la préparation, et dont le nombre progresse d’année en année », analyse Laurent Heslault.
« Réaliser les investissements ad hoc »
« Les budgets de cybersécurité ont connu un recul au niveau mondial en 2014 », explique pourtant Philippe Trouchaud, associé du cabinet PwC. « La problématique pour les médias est qu’aujourd’hui, ils ne perçoivent pas la sécurité informatique et physique comme une priorité pour eux et n’ont pas forcément réalisé les investissements ad hoc », souligne David Grout. « Les intrusions dans des systèmes informatiques de sociétés bien organisées sont légions car en général elles ne sont pas un défi insurmontable pour des hackers correctement instruits, motivés, et outillés », renchérit Jérôme Robert, directeur marketing de la société Lexsi. « Même s’il ne souffre pas d’une fragilité intrinsèque, le secteur des médias ne constitue pas le plus mature du point de vue de la sécurité informatique contrairement à ceux de l’énergie ou de la banque par exemple », précise-t-il.
Aucune chaîne de télévision ni média n’apparaît donc à l’abri, une organisation interne solide pouvant simplement rendre une attaque extérieure plus compliquée. « Une bonne pratique, partagée par de nombreux médias, est d’isoler physiquement le réseau de la régie du reste du réseau informatique, de sorte qu’un hacker infiltré dans le poste d’une secrétaire ne puisse pas « rebondir » sur les machines gérant l’antenne », explique Jérôme Robert. Mais selon lui cette précaution peut ne pas suffire : des attaques fonctionnant en totale autonomie, sans pilotage en temps réel par le pirate, se sont déjà produites, infectant des réseaux isolés grâce à des clefs USB à l’instar de Stuxnet en 2009.