Bonjour Nal,
Pour ceux qui n'ont pas allumé la radio ce matin et qui se pointent sur DLFP en premier, rappel des faits :
TV5monde a perdu completement la maitrise de leur informatique pendant des heures cette nuit. Une cyberattaque, nous n'avons jamais connu en France (sauf erreur de ma part). Un groupe affilié Daesh s'est rendu maître à distance des réseaux sociaux, de la diffusion télévisuelle..etc de tout TV5Monde.
Pour rappel TV5 Monde est diffusé dans 195 pays et à l'ONU.
J'ai une grosse pensée ce matin pour leurs informaticiens qui ont du trimer toute la nuit.
J'espère juste que la lumière sera faite sur le mode opératoire de cette attaque ! Et que cela sera rendu public pour permettre aux entreprises de comprendre et se prémunir. Je ne sais pas s'il y a eu un précédent mais l'attaque a été très bien orchestrée d'après les premières informations.
En attendant des nouvelles fraîches toute la journée (je doute qu'on ait des infos techniques), bon courage encore aux sysadmins/devs et autres de TV5 Monde
# Une cyberattaque, nous n'avons jamais connu en France (sauf erreur de ma part)
Posté par Zenitram (site web personnel) . Évalué à 5.
Comment « Le Monde » a été piraté par l'Armée électronique syrienne
Par contre ils n'ont quand même pas pu poster des articles (mais les Tweets, par contre, ont été écrits par les attaquants)
[^] # Re: Une cyberattaque, nous n'avons jamais connu en France (sauf erreur de ma part)
Posté par Katyucha (site web personnel) . Évalué à 5.
Ce qui m'inquiete le plus, c'est la diffusion vidéo.
J'ai bossé chez France3 (maintenant, ca a du changer avec la fusion FranceTV). L'informatique de diffusion et de support était bien séparé : deux directions, pas le même réseau, pas le même matos. Après, je ne sais pas comment cela se passait chez TV5 Monde
# De la publication du mode opératoire
Posté par vlamy (site web personnel) . Évalué à 8. Dernière modification le 09 avril 2015 à 09:02.
Je ne pense pas qu'il y ait de quoi se relever la nuit, c'est sûrement une faille d'un logiciel non mis à jours ou du social engineering (disons erreur humaine), comme dans 99% des cas (ce chiffre sortant d'un générateur aléatoire certifié AFP).
Tout à fait ! Mais là aussi il faudra sûrement être patient : le temps qu'on s'assure d'avoir verrouillé les portes chez tout le monde avant de divulguer la faille, qu'elle soit humaine ou logicielle.
En gros, on insistera encore une fois : « Faites vos mis à jours ! Faites attention aux mails/coup de téléphone dont vous n'êtes pas sûr de l'auteur ! Utilisez des mots de passe forts ! ». En attendant un mail 2.0 sécurisé et une boite à outil hyper-simplifiée pour utiliser la cryptographie asymétrique.
Et oui : courage aux admins qui sont en train de tout remettre d'aplomb !
[^] # Re: De la publication du mode opératoire
Posté par Serge Julien . Évalué à 6.
Il y a quelques détails ici : http://www.breaking3zero.com/cyber-attaque-contre-tv5-qui-comment-pourquoi/
En gros: erreur humaine (manque de précaution en traitant les mails reçus) et faille Java qui permet l'exécution de scripts vbs.
[^] # Re: De la publication du mode opératoire
Posté par Benbben . Évalué à 1. Dernière modification le 09 avril 2015 à 10:00.
Oui, une nouvelle raison de plus de ne pas installer java, et c'était un Mac la première cible de l'attaque… un argument de moins pour décrier Windows qui serait constitutionnellement moins sur que les autres systèmes.
Aucun système d'exploitation ne met à lui seul à l'abris d'une attaque.
[^] # Re: De la publication du mode opératoire
Posté par Mimoza . Évalué à 7.
Java en tant que tel n'est pas a blâmer, c'est son plugin intégré dans les navigateur qui est a proscrire.
[^] # Re: De la publication du mode opératoire
Posté par palm123 (site web personnel) . Évalué à 2.
Il reste une faiblesse, l'interface chaise-clavier, tiens à la Maison-Blanche
http://www.nextinpact.com/news/93759-un-piratage-a-maison-blanche-qui-dure-depuis-mois.htm
extrait
"un email envoyé à un employé, suffisamment bien conçu "
et la personne a cliqué sur un lien du mail…
ウィズコロナ
[^] # Re: De la publication du mode opératoire
Posté par vlamy (site web personnel) . Évalué à 7.
Idéalement il faudrait aussi désinstaller le processeur, car certains virus sont binaires.
C'est une faille du logiciel qui a été écrit en Java, pas une faille de la JVM !
On peut faire des logiciels pleins de trous dans n'importe quel langage !
[^] # Re: De la publication du mode opératoire
Posté par Cyprien (site web personnel) . Évalué à 1.
Nous n'avons pas lu la même chose. Sauf erreur de ma part, c'est parti d'un PC sur Windows 7.
[^] # Re: De la publication du mode opératoire
Posté par Benbben . Évalué à -1.
Non, cela a été écrit sur un PC Windows 7. Le hacker est malin lui ;-)
[^] # Re: De la publication du mode opératoire
Posté par tiensdonc . Évalué à 0.
je ne vois pas dans l'article ou il précisé que l'attaque a ciblé un mac, par définition incapable d'exécuter un vbs. Tu peux citer le passage de l'article ?
[^] # Re: De la publication du mode opératoire
Posté par j_m . Évalué à -2. Dernière modification le 09 avril 2015 à 12:51.
Par définition ? C'est un peu fort quand même. Il faudrait que je lise cette définition, je suis curieux de voir ce passage où on dit ce qu'il est possible et ce qu'il est impossible d'exécuter sur un Mac.
Je dirais que tout au plus, ce n'est pas facile d'exécuter un vbs sur un mac.
[^] # Re: De la publication du mode opératoire
Posté par tiensdonc . Évalué à 1.
à ma connaissance Microsoft ne diffuse plus d'outils vs pour la PF mac. Mais sinon où est-il dit dans l'article que la machine ciblée est un mac ?
[^] # Re: De la publication du mode opératoire
Posté par oliviergiraud . Évalué à 10.
Voilà le passage qui parle de MAC
"Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflage afin d’échapper aux anti-virus de la chaîne, sa programmation…"
Sauf qu'il ne s'agit pas d'un MACintosh mais de l'adresse MAC de la carte réseau. Ce n'est pas vraiment la même chose……..
[^] # Re: De la publication du mode opératoire
Posté par oliviergiraud . Évalué à 3.
et pour ceux qui ne savent pas de quoi il s'agit: Une adresse MAC (Media Access Control1), parfois nommée adresse physique2, est un identifiant physique stocké dans une carte réseau ou une interface réseau similaire. À moins qu'elle n'ait été modifiée par l'utilisateur, elle est unique au monde. Le MAC (acronyme de Media Access control) n'a aucun rapport avec le Mac d'Apple (diminutif de Macintosh). Toutes les cartes réseau ont une adresse MAC, même celles contenues dans les PC et autres appareils connectés (tablette tactile, smartphone,consoles de jeux,
(extrait de la page wikipedia http://fr.wikipedia.org/wiki/Adresse_MAC )
[^] # Re: De la publication du mode opératoire
Posté par vlamy (site web personnel) . Évalué à 4. Dernière modification le 09 avril 2015 à 13:55.
source
[^] # Re: De la publication du mode opératoire
Posté par oliviergiraud . Évalué à 1.
Moi?
[^] # Re: De la publication du mode opératoire
Posté par vlamy (site web personnel) . Évalué à 7. Dernière modification le 09 avril 2015 à 14:13.
Lol ! non !
Ai-je réellement besoin de préciser ?
C'est juste ce que je ferais avec un stagiaire qui confond adresse MAC et Macintosh :)
[^] # Re: De la publication du mode opératoire
Posté par Benbben . Évalué à 1.
Cela m'apprendra à lire en diagonale, tiens …
[^] # Re: De la publication du mode opératoire
Posté par j_m . Évalué à -1. Dernière modification le 09 avril 2015 à 18:28.
Le point c'est que quand on dit "par définition" c'est qu'on se réfère à une définition. Ici il n'y a pas une telle définition.
Et si il y en avait une qui mentionnait l'impossibilité d'exécuter du vbs, elle serait bien fragile. Parce que le jour où on écrit un logiciel Mac qui exécute du vbs, ce qu'on appelle un Mac, ne serait plus un Mac. Par définition. Ce qui n'a pas de sens.
Et justement, Wine, qui existe sous Mac, a l'air de pouvoir exécuter du vbs.
[^] # Re: De la publication du mode opératoire
Posté par tiensdonc . Évalué à -1.
très rigoureux cette petite démonstration
jusqu'au
"Et justement, Wine, qui existe sous Mac, a l'air de pouvoir exécuter du vbs."
t'as juste un lien de quelq'un qui est arrivé à exécuter un vbs qui n'est pas un .exe par euh, définition :-)) avec Wine sur mac ?
non mais sur le fond en théorie si Microsoft ressuscite le vbs et IE mac, alors y'a pas de raison :-)
t'as raté la solution la plus évidente : sur un mac on peut installer windows pour faire tourner un vbs.
Mais remettons nous dans le contexte. Un vbs fait pour attaquer hein. Imaginer qu'un pirate, fasse en tirant la langue avec application un virus pour… un OS qui ne possède pas en pratique le moyen de l'éxécuter, et que justement ce virus foute une chaine de TV en l'air, (passons le fait que l'article parle d'adresse MAC…)
ah vi vi vi là y'a du sens
[^] # Re: De la publication du mode opératoire
Posté par lylver . Évalué à 1.
Comme quoi même à ce niveau d'impact mondial, la sécurité informatique est prise à la légère !
-> Isoler les outils critiques sur lequel repose votre métier (comme dans les banques…)
La technique d'intrusion est vieille d'au moins quinze ans, pas vraiment de mérite technique, plutôt talent d'espion.
Car, à mon humble avis, il fallait connaître un minimum l'organisation interne de TV5 pour tenter ce genre d'intrusion.
… nous sommes en guerre, tous les moyens seront bons pour nous faire du tort
[^] # Re: De la publication du mode opératoire
Posté par vlamy (site web personnel) . Évalué à -1.
C'est pas le même coût !
Certes on peut utiliser des logiciels pleins de trous, donc théoriquement moins chers à développer. Mais il faut faire venir l'architecte (du bâtiment) dés qu'on veut relier deux PC entre eux, c'est un peu cher !
[^] # Re: De la publication du mode opératoire
Posté par jseb . Évalué à 10.
Quelle tristesse, que reste t-il du temps où les virus et chevaux de Troie étaient écrits amoureusement en assembleur.
Et là , c'est quoi ? Un VBS et un couillon qui clique (il faudrait leur installer Mutt). En fait, un script d'administration exécuté sans réfléchir.
C'est sûr qu'envoyer de la propagande, ça pose plus son homme qu'écrire au hasard «LAMER EXTERMINATOR» sur les secteurs d'une disquette.
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
[^] # Re: De la publication du mode opératoire
Posté par mrlem (site web personnel) . Évalué à 6.
Ça manque de glamour, je trouve, ce piratage ;)
Par contre en lisant cet article, une question me vient immédiatement à l'esprit : comment ce site a-t-il obtenu un tel niveau d'informations ? (tracer l'ordi par lequel est entré le virus, obtenir le VBS)
Autre point sur cet article, outre son ton atypique : le mélange suppositions et faits non-sourcés pour recréer le scénario me dérange un peu, surtout avec aussi peu de recul. Quand bien même ces infos seraient vraies, ne serait-ce pas prématuré comme communication, et de nature à renseigner les coupables*, alors même que http://tv5monde.com est encore en maintenance et que l'enquête est certainement en cours ?
Genre :
[*] : ©BFM
[^] # Re: De la publication du mode opératoire
Posté par octane . Évalué à 5.
Pareil. J'ai beaucoup de mal à y croire, à cette histoire.
[^] # Re: De la publication du mode opératoire
Posté par Psychofox (Mastodon) . Évalué à 7.
Moi immédiatement j'ai surtout pensé que c'est le dernier stagiaire qui est en fait un sympathisant d'ISIS.
Franchement, si j'étais un stratège d'une orga terroriste, j'irai foutre des pions un peu partout. Même s'ils n'obtiennent qu'un poste pas qualifié comme nettoyeur par une société sous-traitante une fois que tu as l'accès physique tu peux faire plein de trucs drôles. Dans beaucoup de boite les gens ont encore la culture du [i]si c'est pas dans la DMZ, c'est en sécurité[/i].
[^] # Re: De la publication du mode opératoire
Posté par ckiller . Évalué à 9.
les mots de passe seraient passés à la télé (diffusé sur France 2)
https://twitter.com/vinzniv/status/586191389198852098
[^] # Re: De la publication du mode opératoire
Posté par vlamy (site web personnel) . Évalué à 3.
Je n'ose pas croire que c'est vrai.
Comme dirait Gabin d'après Audiart : « Si la connerie se mesurait, ils serviraient de mètre étalon ».
[^] # Re: De la publication du mode opératoire
Posté par passant·e . Évalué à 2.
"Mais on avait un firewall quasi neuf"
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: De la publication du mode opératoire
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 09 avril 2015 à 23:19.
Cette personne était invité ce soir sur C+ «le grand journal» et expliquait, avec force, que pour arriver à ce piratage il devait y avoir complicité à l'intérieur (ie : en distinguant le piratage des compte faceb & twitter, mdp de cette vidéo visiblement, d'avec la connaissance des rouages internes de diffusion)
Si le scénario parano est plausible et reste possible, on peut se poser qq questions quant à la volonté d'y voir une exfiltration de données sensibles, donc un process élaboré et pensé. Alors que l'hypothèse de la bêtise est tellement plus simple (comme sur cette vidéo pour ces mdp, finalement : un (autre) abruti se connectant de chez lui sur n'importe quoi avec le pc du boulot par exemple, se faisant piquer ses données qui sont revendues ou circulent)
??
[^] # le rasoir d'Hanlon
Posté par palm123 (site web personnel) . Évalué à 4.
http://fr.wikipedia.org/wiki/Rasoir_d%27Hanlon
ウィズコロナ
[^] # Re: De la publication du mode opératoire
Posté par Donk . Évalué à 1.
Pour moi, ce n'est pas des mots de passe, mais des numéros de téléphone
[^] # Branguignollage et incompétence.
Posté par Firwen (site web personnel) . Évalué à 4. Dernière modification le 10 avril 2015 à 11:33.
Ce n'est pas une erreur humaine. C'est une grave erreur d'incompétence.
Le fait d'autoriser Java en plugin web browser en 2015 en tant qu'administrateur est une preuve d'incompétence.
Le fait de ne même pas isoler un serveur critique du réseau des postes clients est une faute professionnel.
Utiliser Windows et Skype pour communiquer avec Daesh, sans aucune protection particulière, alors qu'ils sont connu pour avoir un réseau d'activistes, c'est un gros manque de prudence.
Twitter supporte l'authentification à deux facteurs comme Google, facebook, et probablement même le Vatican. Si ils se sont fait pirater leur Twitter, c'est qu'ils ne l'utilisaient pas. Dans leur position, et alors qu'ils se savaient menacés, c'est du haut niveau de branquignolle.
Et je parlerai même pas du fait d'installer un Infra 100% Windows avec les risques que ça peut causer, parce que c'est vendredi…
[^] # Re: Branguignollage et incompétence.
Posté par lylver . Évalué à 1. Dernière modification le 10 avril 2015 à 11:53.
100% d'accord, et vu le budget d'une télévision, il y avait les moyens de mettre en place de quoi limiter le risque associé
Pas d'excuse pour le security officer (si même il y en avait un).
# Mais que font les Anonymous ???
Posté par Benbben . Évalué à 5.
Il me semble que les Anonymous avait déclaré la guerre cybernétique aux djihadistes.
Moi, je voyais cela un peu comme le signal de Batman sur la lune de Gotham City.
Mais pour le moment, c'est "fanny, paye à boire", non ?
[^] # Re: Mais que font les Anonymous ???
Posté par vlamy (site web personnel) . Évalué à 2.
Deux remarques :
[^] # Re: Mais que font les Anonymous ???
Posté par Zenitram (site web personnel) . Évalué à 8.
Parce que Anonymous n'a de plaisir que dans l'idée d'étaler leur "compétances" (le sujet, c'est accéssoire, tout le monde peut décider d'être Anonymous et décider un sujet).
donc pas crédible qu'Anonymous ait fait des actions anonymes.
# Tremblez
Posté par MTux . Évalué à 10.
Moi ce qui me fait peur maintenant c'est la réaction du gouvernement. Ils vont sûrement remettre une couche sur "les dangers d'internet" et la nécessité de passer la loi sur le renseignement…
[^] # Re: Tremblez
Posté par Benbben . Évalué à 10.
Elle est déjà partie la demande de fermeture administrative TV5Monde.com ?
[^] # Re: Tremblez
Posté par Jiehong (site web personnel) . Évalué à 6.
C'est navrant :(
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.