TV5 Piratage emblématique

//TV5 Piratage emblématique

TV5 Piratage emblématique

Par | 2015-04-10T14:58:34+01:00 avril 10th, 2015|Blog|

Cet article est rédigé moins de 24h après les faits constatés d’interruption des activités de TV5. Les éléments présentés dans cet article sont donc à prendre avec prudence.

La toute récente attaque informatique dont vient d’être victime TV5 semble malheureusement trop représentative d’un déficit global d’approche correcte vis-à-vis de la sécurité. A l’heure où nous écrivons, les éléments techniques ayant permis cette attaque ne sont pas encore clairement connus. Néanmoins un certain nombre de points cruciaux sont déjà à relever.

 

Prévisible?

Oui quand même.

Que les conséquences de cette attaque aient surpris tout le monde est normal, c’est impressionnant. Mais, comme toute entreprise de cette importance, TV5 est censé faire analyser régulièrement le risque de son système d’information.

Un risque est la combinaison de la force d’une menace et de la criticité d’un impact. La quantification du risque permet alors de correctement dimensionner les mesures de protection à prendre.
Les événements récents ont donné toutes les raisons de positionner le curseur de la menace à Haut ou Très Haut :

  • Les événements de Charlie Hebdo suivis de l’opération #OpFrance (plus de 1500 attaques depuis le 7 janvier)
  • Le groupe Fellagas qui avait annoncé que la prochaine cible serait les médias français (même si ce groupe n’est à priori pas l’auteur)
  • L’ANSSI qui avait recommandé aux grandes entreprises de redoubler de vigilance

Comme toute grande entreprise, TV5 Monde était probablement victime de tentatives d’attaques quotidiennes.  C’est le deuxième plus grand réseau mondial de télévision et c’est une chaîne très diffusée en Afrique, elle touche donc une population géographiquement proche des conflits avec ISIS, ce qui est stratégique.
La chaîne savait donc que des attaques informatiques étaient/seraient menées contre elle. Lui restait à définir la gravité que pourrait avoir la réussite d’une telle attaque. Ce qui devait permettre de mettre en place des protections adaptées.

Il serait incroyable que la menace ait été sous-estimée. C’est donc plus probablement l’impact qui l’a été ou bien les mesures de protection qui ont été mal dimensionnées ou mal appliquées.

 

Inévitable?

Il est délicat de répondre.

Il n’existe pas de sécurité parfaite. Un attaquant disposant de suffisamment de temps et de moyens trouvera toujours une faille (technique ou humaine). Le but de la sécurité est de rendre ce temps et ces moyens dissuasifs (donc trop importants pour être intéressants).

Cependant

D’une part les cyber-djihadistes ne se sont pas fait remarquer jusqu’ici par un niveau de technicité si exceptionnel. Surtout ceux de CyberCaliphate qui grossissent leurs exploits (cf US Central Command).
D’autre part, les propos tenus (rapportés par la presse du moins) par le directeur informatique de TV5 sont pour le moins singuliers :

Selon les Echos l’Agence nationale de sécurité des systèmes d’information (ANSSI) avait prévenu la chaîne d’une utilisation frauduleuse d’un de ses serveurs, non protégé. «L’agence a récupéré le serveur qui avait été utilisé pour des actes malveillants. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point», a indiqué Jean-Pierre Verines, le directeur informatique de TV5Monde. Il a précisé disposer d’un «firewall» quasi neuf – «notre système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire»

http://cyber.excusesecu.fr/?28 (toute ressemblance avec des faits existants est purement fortuite)

 

L’objectif d’un firewall est de dire par où les flux peuvent passer, pas de savoir s’ils sont malveillants.
Que de nombreux constructeurs ajoutent des fonctionnalités supplémentaires censées remplir cette fonction (avec plus ou moins de succès) est une chose. Mais compter uniquement dessus en est une autre. Cette phrase n’est malheureusement que trop emblématique du manque de maîtrise de la sécurité informatique dans un grand nombre d’entreprises (à égalité avec la fameuse « on ne risque rien notre antivirus est à jour »).
Pour les profanes, une métaphore sera plus aidante : vaut-il mieux utiliser un mètre pour prendre les dimensions d’un meuble…ou bien l’application règle de votre smartphone ?

 

Il est clair que cette attaque a été minutieusement préparée puisque ce sont les comptes Facebook, Twitter, le site Web et le réseau de TV5 Monde qui sont tombés en même temps. Il est donc fort probable que les attaquants aient glané ces accès au fur et à mesure et aient attendu de tous les avoir avant de déclencher le sabotage.
Seulement voilà, une telle préparation implique donc que des attaques préliminaires aient eu lieu dans les semaines qui ont précédé. Or ce genre d’attaques préliminaires engendre des événements anormaux, louches, voire très suspects, sur le réseau. Autant de choses détectables par un système de surveillance du réseau performant.

Une des phrases rapportées nous confirme qu’ils ont bien eu lieu : une machine a été détectée comme infectée. Pourtant l’on apprend que ce n’est pas TV5 monde qui l’a détectée mais l’ANSSI et deuxièmement ils n’avaient toujours pas pris les mesures de réponses nécessaires.
Une machine infectée est quelque chose de grave, cela signifie que votre réseau est vulnérable et que potentiellement vous ne voyez que la surface émergée de l’iceberg.

 

De plus, Damien Bancal, rédacteur de Zataz (connu son protocole d’alerte aux entreprises), a annoncé avoir envoyé pas moins de 9 alertes à TV5 ces deux dernières années concernant des vulnérabilités identifiées sur leurs systèmes.
Cela en dit long sur les préoccupations en matière de sécurité de cette entreprise…

 

Que penser du fait que le réseau de diffusion ait pu tomber ? Est-ce que ce réseau était bien segmenté d’Internet ? Si OUI cela veut dire que l’attaque était particulièrement bien conçue. Si NON cela constitue une erreur gravissime de design dans l’architecture.
En effet, un réseau aussi sensible n’est pas censé être directement accessible, ni depuis Internet, ni depuis le réseau interne de TV5. Sauf contraintes spécifiques que nous ignorons, un cloisonnement drastique (réseau physiquement séparé) devrait normalement exister.

Le fait que 13 ingénieurs de l’ANSSI soient sur place, et continuent d’essayer de qualifier et de circonscrire l’attaque, laisse cependant penser que ce serait plutôt l’attaque qui serait d’une sophistication inhabituelle.

 

Mais bien qu’on ne sache toujours pas avec certitude le vecteur d’attaque utilisé, plusieurs éléments tendent à dire que TV5 Monde n’était pas aussi sécurisé qu’ils l’auraient pu.

Humm … comme les mots de passe inscrits sur les murs:

CCKR9jmW0AAr8QS.png:large
https://twitter.com/vinzniv/status/586191389198852098/photo/1

 

La critique est aisée mais l’art est difficile

Il serait injuste de pointer excessivement TV5 du doigt lorsque tant d’autres pêchent de la même manière (et que nous avons encore trop peu d’éléments).
Il est fort possible que TV5 ait été attaquée non pas car ils étaient plus vulnérables que les autres, mais seulement car ils étaient plus stratégiques.

Notre démarche est avant tout de promouvoir la sécurité, de sensibiliser les personnes et de la rendre accessible.

Voici donc les conseils que nous prodiguons à nos clients et à tous ceux qui s’intéressent à ce sujet.

La sécurité est un bien commun, c’est même un droit. Or elle est quasiment systématiquement perçue comme un coût (comparable en cela à la santé).

Les entreprises ont des délais, des budgets, des priorités, autant de choses qui font généralement que « du moment que ça marche, on ne regarde pas plus loin ». Or la sécurité est l’assurance que « ça continuera de marcher même si quelqu’un essaye de le casser».
Malheureusement, pour beaucoup de personne, les méchants ça n’existe pas. 90% de nos clients viennent vers nous lorsqu’ils ont déjà été piratés.

Le travail de sensibilisation est donc toujours le vecteur principal d’amélioration de la sécurité.

 

Parlons sécurité

Nous ne savons pas comment les pirates ont attaqué TV5.
Cela peut être très simple : le meilleur firewall du monde, avec un mot de passe 123456, se transforme en une entrée de saloon.
Cela peut être plus construit : un mail de hameçonnage et c’est un virus qui entre dans le réseau.
Ou très construit : APT.

Quoiqu’il en soit, il existe des mesures simples d’hygiène informatique qui permettent de maintenir un bon niveau de sécurité (http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_hygiene_informatique_anssi.pdf) :

  • Bien cartographier son parc informatique
  • Le configurer proprement et le maintenir à jour
  • Le faire auditer régulièrement par des professionnels (1 fois par an est conseillé)

De plus, la plupart des professionnels de la sécurité font des retours d’expérience sur les failles les plus courantes et les erreurs majeures à éviter (https://www.itrust.fr/ressources/whitepaper/livre_blanc.pdf).

Gardez à l’esprit que le niveau de sécurité est un tonneau percé : si vous mettez en place un système de protection « parfait », théoriquement il ne l’est plus le lendemain car de nouvelles failles ont peut être été découvertes.
Il est important d’atteindre un bon niveau de sécurité, il l’est plus encore de maintenir ce niveau dans le temps. Cela implique des processus d’amélioration continue.

La réponse proposée par ITrust face à ce besoin est celle de la solution de supervision IKare qui évalue et manage l’évolution du niveau de sécurité de l’entreprise.

Parlons sensibilisation

Un des points névralgiques demeure la sensibilisation. Même avec toutes les mesures de sécurité techniques possibles, si vos employés ne sont pas sensibilisés c’est un hameçonnage qui peut réussir, une clé USB infectée qui est connectée au réseau, un mot de passe vital enregistré dans un endroit non sécurisé, etc.

L’ingénierie sociale demeure un des vecteurs les plus payants en termes d’attaque du système d’information. Le facteur humain ne doit pas être négligé.

On pourrait dire qu’une entreprise qui a bien sensibilisé tous ses employés aux bonnes pratiques de sécurité est largement plus protégée qu’une autre qui a un budget sécurité deux fois supérieur mais qui dépense tout en mesures techniques.

Nous menons ainsi régulièrement des campagnes éducatives de hameçonnage et des formations/sensibilisations du personnel pour nos clients.

Parlons organisation

Il est également primordial d’anticiper les incidents et d’avoir préparé des réponses appropriées au travers de PCA/PRA.

Typiquement toute machine infectée (qui constitue donc un incident de sécurité) doit suivre un processus de réponse adéquat :

  • Déconnexion du réseau
  • Conservation de l’alimentation électrique afin de garder les preuves en mémoire vive pour les investigations futures
  • Création de ghost des différentes mémoires
  • Analyse de la machine par un professionnel (analyse forensique)
  • Réinstallation complète du système

Il est vital de pouvoir ensuite répondre aux questions suivantes :

  • Quelles sont les autres machines ayant un profil similaire ? Ont-elles pu être infectées aussi ?
  • Quelles étaient les informations contenues sur cette machine (mots de passe, fichiers sensibles, etc.) ? Permettent-elles d’accéder à d’autres parties du réseau ?
  • Est-ce que la machine infectée a dialogué avec d’autres éléments du réseau ?

C’est d’ailleurs pour ces raisons qu’il est tout à fait normal que la remise en service de TV5 Monde prenne du temps. Il ne suffit pas de tout redémarrer : si vous ne corrigez pas la faille qui a permis aux pirates de rentrer, ils reviennent demain.
TV5 doit donc d’abord analyser les vulnérabilités exploitées par les pirates et les corriger avant de pouvoir relancer les systèmes.

ITrust accompagne ses clients dans ces démarches au travers d’analyse de risque EBIOS, de conformité ISO 27001, de rédaction de PSSI (Politique de Sécurité du Système d’Information) afin de gérer la partie « Anticipation ».
Nous proposons également des prestations d’analyses forensiques dans le cadre des réponses aux incidents de sécurité, afin de déterminer comment les attaquants se sont introduits, ce qu’ils ont fait, etc.

Parlons surveillance

Il est important de comprendre que votre niveau de sécurité vous garantit seulement une certaine difficulté à vaincre pour les attaquants.

C’est votre niveau de surveillance qui est censé vous alerter lorsque justement de tels attaquants s’y attellent.

Les bonnes pratiques imposent de vérifier régulièrement les activités suspectes sur votre réseau. Ceci peut être fait à l’aide de SIEM, de SOC ou bien manuellement en inspectant les journaux d’événements.

Le cas de TV5 montre clairement un déficit grave à ce niveau là.
Si c’est l’ANSSI qui a détecté la présence de cette machine infectée, le scénario le plus probable est que cette dernière a du être utilisée pour mener des attaques vers d’autres entreprises (dont une au moins avait un vrai système de surveillance) et qui en ont fait part à l’ANSSI.

Pourtant des solutions existent, des outils sont capables d’analyser votre réseau et de déterminer ce qui sort de l’ordinaire et qui peut être un acte malveillant en cours (analyse de signaux faibles).

ITrust est évidemment engagé dans ce domaine vital au travers de son outil Reveelium qui permet de détecter les attaques au sein du réseau  (en temps réel aussi bien que dans le passé).

 

 

David Soria – Consultant sécurité