Journal TV5 monde : Piratage et prise de controle totale

Posté par (page perso) . Licence CC by-sa
Tags : aucun
28
9
avr.
2015

Bonjour Nal,
Pour ceux qui n'ont pas allumé la radio ce matin et qui se pointent sur DLFP en premier, rappel des faits :

TV5monde a perdu completement la maitrise de leur informatique pendant des heures cette nuit. Une cyberattaque, nous n'avons jamais connu en France (sauf erreur de ma part). Un groupe affilié Daesh s'est rendu maître à distance des réseaux sociaux, de la diffusion télévisuelle..etc de tout TV5Monde.

Pour rappel TV5 Monde est diffusé dans 195 pays et à l'ONU.

J'ai une grosse pensée ce matin pour leurs informaticiens qui ont du trimer toute la nuit.

J'espère juste que la lumière sera faite sur le mode opératoire de cette attaque ! Et que cela sera rendu public pour permettre aux entreprises de comprendre et se prémunir. Je ne sais pas s'il y a eu un précédent mais l'attaque a été très bien orchestrée d'après les premières informations.

En attendant des nouvelles fraîches toute la journée (je doute qu'on ait des infos techniques), bon courage encore aux sysadmins/devs et autres de TV5 Monde

  • # Une cyberattaque, nous n'avons jamais connu en France (sauf erreur de ma part)

    Posté par (page perso) . Évalué à 5.

    Comment « Le Monde » a été piraté par l'Armée électronique syrienne

    Par contre ils n'ont quand même pas pu poster des articles (mais les Tweets, par contre, ont été écrits par les attaquants)

  • # De la publication du mode opératoire

    Posté par (page perso) . Évalué à 8. Dernière modification le 09/04/15 à 09:02.

    J'espère juste que la lumière sera faite sur le mode opératoire de cette attaque !

    Je ne pense pas qu'il y ait de quoi se relever la nuit, c'est sûrement une faille d'un logiciel non mis à jours ou du social engineering (disons erreur humaine), comme dans 99% des cas (ce chiffre sortant d'un générateur aléatoire certifié AFP).

    Et que cela sera rendu public pour permettre aux entreprises de comprendre et se prémunir.

    Tout à fait ! Mais là aussi il faudra sûrement être patient : le temps qu'on s'assure d'avoir verrouillé les portes chez tout le monde avant de divulguer la faille, qu'elle soit humaine ou logicielle.

    En gros, on insistera encore une fois : « Faites vos mis à jours ! Faites attention aux mails/coup de téléphone dont vous n'êtes pas sûr de l'auteur ! Utilisez des mots de passe forts ! ». En attendant un mail 2.0 sécurisé et une boite à outil hyper-simplifiée pour utiliser la cryptographie asymétrique.

    Et oui : courage aux admins qui sont en train de tout remettre d'aplomb !

    • [^] # Re: De la publication du mode opératoire

      Posté par . Évalué à 6.

      Il y a quelques détails ici : http://www.breaking3zero.com/cyber-attaque-contre-tv5-qui-comment-pourquoi/

      En gros: erreur humaine (manque de précaution en traitant les mails reçus) et faille Java qui permet l'exécution de scripts vbs.

      • [^] # Re: De la publication du mode opératoire

        Posté par . Évalué à 1. Dernière modification le 09/04/15 à 10:00.

        Oui, une nouvelle raison de plus de ne pas installer java, et c'était un Mac la première cible de l'attaque… un argument de moins pour décrier Windows qui serait constitutionnellement moins sur que les autres systèmes.

        Aucun système d'exploitation ne met à lui seul à l'abris d'une attaque.

        • [^] # Re: De la publication du mode opératoire

          Posté par . Évalué à 7.

          Java en tant que tel n'est pas a blâmer, c'est son plugin intégré dans les navigateur qui est a proscrire.

        • [^] # Re: De la publication du mode opératoire

          Posté par (page perso) . Évalué à 2.

          Aucun système d'exploitation ne met à lui seul à l'abris d'une attaque

          Il reste une faiblesse, l'interface chaise-clavier, tiens à la Maison-Blanche
          http://www.nextinpact.com/news/93759-un-piratage-a-maison-blanche-qui-dure-depuis-mois.htm

          extrait
          "un email envoyé à un employé, suffisamment bien conçu "
          et la personne a cliqué sur un lien du mail…

          If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

        • [^] # Re: De la publication du mode opératoire

          Posté par (page perso) . Évalué à 7.

          Oui, une nouvelle raison de plus de ne pas installer java,

          Idéalement il faudrait aussi désinstaller le processeur, car certains virus sont binaires.

          C'est une faille du logiciel qui a été écrit en Java, pas une faille de la JVM !

          On peut faire des logiciels pleins de trous dans n'importe quel langage !

        • [^] # Re: De la publication du mode opératoire

          Posté par (page perso) . Évalué à 1.

          Nous n'avons pas lu la même chose. Sauf erreur de ma part, c'est parti d'un PC sur Windows 7.

        • [^] # Re: De la publication du mode opératoire

          Posté par . Évalué à 0.

          je ne vois pas dans l'article ou il précisé que l'attaque a ciblé un mac, par définition incapable d'exécuter un vbs. Tu peux citer le passage de l'article ?

          • [^] # Re: De la publication du mode opératoire

            Posté par . Évalué à -2. Dernière modification le 09/04/15 à 12:51.

            je ne vois pas dans l'article ou il précisé que l'attaque a ciblé un mac, par définition incapable d'exécuter un vbs.

            Par définition ? C'est un peu fort quand même. Il faudrait que je lise cette définition, je suis curieux de voir ce passage où on dit ce qu'il est possible et ce qu'il est impossible d'exécuter sur un Mac.

            Je dirais que tout au plus, ce n'est pas facile d'exécuter un vbs sur un mac.

            • [^] # Re: De la publication du mode opératoire

              Posté par . Évalué à 1.

              à ma connaissance Microsoft ne diffuse plus d'outils vs pour la PF mac. Mais sinon où est-il dit dans l'article que la machine ciblée est un mac ?

              • [^] # Re: De la publication du mode opératoire

                Posté par . Évalué à 10.

                Voilà le passage qui parle de MAC
                "Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflage afin d’échapper aux anti-virus de la chaîne, sa programmation…"
                Sauf qu'il ne s'agit pas d'un MACintosh mais de l'adresse MAC de la carte réseau. Ce n'est pas vraiment la même chose……..

              • [^] # Re: De la publication du mode opératoire

                Posté par . Évalué à -1. Dernière modification le 09/04/15 à 18:28.

                à ma connaissance Microsoft ne diffuse plus d'outils vs pour la PF mac.

                Le point c'est que quand on dit "par définition" c'est qu'on se réfère à une définition. Ici il n'y a pas une telle définition.

                Et si il y en avait une qui mentionnait l'impossibilité d'exécuter du vbs, elle serait bien fragile. Parce que le jour où on écrit un logiciel Mac qui exécute du vbs, ce qu'on appelle un Mac, ne serait plus un Mac. Par définition. Ce qui n'a pas de sens.

                Et justement, Wine, qui existe sous Mac, a l'air de pouvoir exécuter du vbs.

                • [^] # Re: De la publication du mode opératoire

                  Posté par . Évalué à -1.

                  très rigoureux cette petite démonstration
                  jusqu'au
                  "Et justement, Wine, qui existe sous Mac, a l'air de pouvoir exécuter du vbs."
                  t'as juste un lien de quelq'un qui est arrivé à exécuter un vbs qui n'est pas un .exe par euh, définition :-)) avec Wine sur mac ?
                  non mais sur le fond en théorie si Microsoft ressuscite le vbs et IE mac, alors y'a pas de raison :-)
                  t'as raté la solution la plus évidente : sur un mac on peut installer windows pour faire tourner un vbs.

                  Mais remettons nous dans le contexte. Un vbs fait pour attaquer hein. Imaginer qu'un pirate, fasse en tirant la langue avec application un virus pour… un OS qui ne possède pas en pratique le moyen de l'éxécuter, et que justement ce virus foute une chaine de TV en l'air, (passons le fait que l'article parle d'adresse MAC…)
                  ah vi vi vi là y'a du sens

      • [^] # Re: De la publication du mode opératoire

        Posté par . Évalué à 1.

        Comme quoi même à ce niveau d'impact mondial, la sécurité informatique est prise à la légère !
        -> Isoler les outils critiques sur lequel repose votre métier (comme dans les banques…)
        La technique d'intrusion est vieille d'au moins quinze ans, pas vraiment de mérite technique, plutôt talent d'espion.
        Car, à mon humble avis, il fallait connaître un minimum l'organisation interne de TV5 pour tenter ce genre d'intrusion.
        … nous sommes en guerre, tous les moyens seront bons pour nous faire du tort

        • [^] # Re: De la publication du mode opératoire

          Posté par (page perso) . Évalué à -1.

          -> Isoler les outils critiques sur lequel repose votre métier (comme dans les banques…)

          C'est pas le même coût !

          Certes on peut utiliser des logiciels pleins de trous, donc théoriquement moins chers à développer. Mais il faut faire venir l'architecte (du bâtiment) dés qu'on veut relier deux PC entre eux, c'est un peu cher !

      • [^] # Re: De la publication du mode opératoire

        Posté par (page perso) . Évalué à 10.

        Quelle tristesse, que reste t-il du temps où les virus et chevaux de Troie étaient écrits amoureusement en assembleur.

        Et là , c'est quoi ? Un VBS et un couillon qui clique (il faudrait leur installer Mutt). En fait, un script d'administration exécuté sans réfléchir.

        C'est sûr qu'envoyer de la propagande, ça pose plus son homme qu'écrire au hasard «LAMER EXTERMINATOR» sur les secteurs d'une disquette.

      • [^] # Re: De la publication du mode opératoire

        Posté par (page perso) . Évalué à 6.

        Ça manque de glamour, je trouve, ce piratage ;)

        Par contre en lisant cet article, une question me vient immédiatement à l'esprit : comment ce site a-t-il obtenu un tel niveau d'informations ? (tracer l'ordi par lequel est entré le virus, obtenir le VBS)

        Autre point sur cet article, outre son ton atypique : le mélange suppositions et faits non-sourcés pour recréer le scénario me dérange un peu, surtout avec aussi peu de recul. Quand bien même ces infos seraient vraies, ne serait-ce pas prématuré comme communication, et de nature à renseigner les coupables*, alors même que http://tv5monde.com est encore en maintenance et que l'enquête est certainement en cours ?

        Genre :

        Tandis que d’autres virus sont installés sur le réseau – nos sources en ont identifié trois autres

        [*] : ©BFM

        • [^] # Re: De la publication du mode opératoire

          Posté par . Évalué à 5.

          Par contre en lisant cet article, une question me vient immédiatement à l'esprit : comment ce site a-t-il obtenu un tel niveau d'informations ? (tracer l'ordi par lequel est entré le virus, obtenir le VBS). Autre point sur cet article, outre son ton atypique : le mélange suppositions et faits non-sourcés pour recréer le scénario me dérange un peu, surtout avec aussi peu de recul.

          Pareil. J'ai beaucoup de mal à y croire, à cette histoire.

          • [^] # Re: De la publication du mode opératoire

            Posté par . Évalué à 7.

            Moi immédiatement j'ai surtout pensé que c'est le dernier stagiaire qui est en fait un sympathisant d'ISIS.

            Franchement, si j'étais un stratège d'une orga terroriste, j'irai foutre des pions un peu partout. Même s'ils n'obtiennent qu'un poste pas qualifié comme nettoyeur par une société sous-traitante une fois que tu as l'accès physique tu peux faire plein de trucs drôles. Dans beaucoup de boite les gens ont encore la culture du [i]si c'est pas dans la DMZ, c'est en sécurité[/i].

      • [^] # Re: De la publication du mode opératoire

        Posté par . Évalué à 9.

        les mots de passe seraient passés à la télé (diffusé sur France 2)

        https://twitter.com/vinzniv/status/586191389198852098

        • [^] # Re: De la publication du mode opératoire

          Posté par (page perso) . Évalué à 3.

          Je n'ose pas croire que c'est vrai.

          Comme dirait Gabin d'après Audiart : « Si la connerie se mesurait, ils serviraient de mètre étalon ».

        • [^] # Re: De la publication du mode opératoire

          Posté par . Évalué à 2.

        • [^] # Re: De la publication du mode opératoire

          Posté par . Évalué à 4. Dernière modification le 09/04/15 à 23:19.

          Cette personne était invité ce soir sur C+ «le grand journal» et expliquait, avec force, que pour arriver à ce piratage il devait y avoir complicité à l'intérieur (ie : en distinguant le piratage des compte faceb & twitter, mdp de cette vidéo visiblement, d'avec la connaissance des rouages internes de diffusion)

          Si le scénario parano est plausible et reste possible, on peut se poser qq questions quant à la volonté d'y voir une exfiltration de données sensibles, donc un process élaboré et pensé. Alors que l'hypothèse de la bêtise est tellement plus simple (comme sur cette vidéo pour ces mdp, finalement : un (autre) abruti se connectant de chez lui sur n'importe quoi avec le pc du boulot par exemple, se faisant piquer ses données qui sont revendues ou circulent)

          ??

        • [^] # Re: De la publication du mode opératoire

          Posté par . Évalué à 1.

          Pour moi, ce n'est pas des mots de passe, mais des numéros de téléphone

      • [^] # Branguignollage et incompétence.

        Posté par (page perso) . Évalué à 4. Dernière modification le 10/04/15 à 11:33.

        Ce n'est pas une erreur humaine. C'est une grave erreur d'incompétence.

        • Le fait d'autoriser Java en plugin web browser en 2015 en tant qu'administrateur est une preuve d'incompétence.

        • Le fait de ne même pas isoler un serveur critique du réseau des postes clients est une faute professionnel.

        • Utiliser Windows et Skype pour communiquer avec Daesh, sans aucune protection particulière, alors qu'ils sont connu pour avoir un réseau d'activistes, c'est un gros manque de prudence.

        • Twitter supporte l'authentification à deux facteurs comme Google, facebook, et probablement même le Vatican. Si ils se sont fait pirater leur Twitter, c'est qu'ils ne l'utilisaient pas. Dans leur position, et alors qu'ils se savaient menacés, c'est du haut niveau de branquignolle.

        Et je parlerai même pas du fait d'installer un Infra 100% Windows avec les risques que ça peut causer, parce que c'est vendredi…

        • [^] # Re: Branguignollage et incompétence.

          Posté par . Évalué à 1. Dernière modification le 10/04/15 à 11:53.

          100% d'accord, et vu le budget d'une télévision, il y avait les moyens de mettre en place de quoi limiter le risque associé
          Pas d'excuse pour le security officer (si même il y en avait un).

  • # Mais que font les Anonymous ???

    Posté par . Évalué à 5.

    Il me semble que les Anonymous avait déclaré la guerre cybernétique aux djihadistes.
    Moi, je voyais cela un peu comme le signal de Batman sur la lune de Gotham City.
    Mais pour le moment, c'est "fanny, paye à boire", non ?

    • [^] # Re: Mais que font les Anonymous ???

      Posté par (page perso) . Évalué à 2.

      Deux remarques : 

      1. Je pense que tu te fais des idées sur les Anonymous :)
      2. Qui te dit qu'ils n'ont rien fait ? La plupart des guerres se gagnent avec des actions anonymes.
      • [^] # Re: Mais que font les Anonymous ???

        Posté par (page perso) . Évalué à 8.

        Qui te dit qu'ils n'ont rien fait ?

        Parce que Anonymous n'a de plaisir que dans l'idée d'étaler leur "compétances" (le sujet, c'est accéssoire, tout le monde peut décider d'être Anonymous et décider un sujet).
        donc pas crédible qu'Anonymous ait fait des actions anonymes.

  • # Tremblez

    Posté par . Évalué à 10.

    Moi ce qui me fait peur maintenant c'est la réaction du gouvernement. Ils vont sûrement remettre une couche sur "les dangers d'internet" et la nécessité de passer la loi sur le renseignement…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.