S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Société
par bluetouff

Piratage de TV5 Monde (Acte 3) : grosses boites noires et sentiment de sécurité

Depuis le début de cette affaire, une question nous taraude : comment des pirates ont pu avoir accès à la plateforme de diffusion des programmes pour mettre dans le noir pas moins de 11 chaînes ? Si la compromission initiale n'est pas inintéressante, ce n'est pas elle qui éveille le plus notre curiosité, mais bien ce qui est venu dans un second temps et qui a conduit à la coupure des programmes.

cisco-untrust
cisco-untrust
Depuis le début de cette affaire, une question nous taraude : comment des pirates ont pu avoir accès à la plateforme de diffusion des programmes pour mettre dans le noir pas moins de 11 chaînes ? Si la compromission initiale n'est pas inintéressante, ce n'est pas elle qui éveille le plus notre curiosité, mais bien ce qui est venu dans un second temps et qui a conduit à la coupure des programmes. Vu la communication bien mais pas top de TV5 Monde sur l'incident, il va falloir aller chercher les informations soi$même pour comprendre ce qui a bien pu se produire. Et au point où nous en sommes actuellement de nos recherches, le scénario d'un problème d'architecture reste la piste la plus probable : la plateforme d'encodage et de multiplexage n'aurait jamais dû être accessible aux pirates.

Même si on est peu familier avec les équipements spécifiques à une chaîne de télévision, et après de multiples visionnages du reportage de France 2, on peut commencer à songer à d'autres pistes de réflexions que celles évoquées jusque là par Breaking3.0et Bluecoat et portant sur l'intrusion initiale.

Regardons attentivement ce passage du reportage, où on nous explique quel matériel a permis de compromettre ce qu'il identifie lui même comme "la plateforme d'encodage". On aperçoit distinctement l'armoire qui accueille les équipements réseaux. Sur la gauche, de l'armoire, on voit des grilles de ce qui ressemble à s'y méprendre à celle d'un firewall Cisco Systems.

https://youtu.be/zGZxoMlXIOs

"C'est par là que sont passés les pirates pour infecter la plateforme d'encodage" 

Il s'agit en fait pour être précis de la plateforme d'encodage et de multiplexage. C'est dans cet article qui explique dans le détail l'infrastructure que l'on a le détail du "Network Operation Center" (NOC) :

_ Le NOC : Network Operations Center _L’un des éléments importants du projet concerne le NOC, installé dans un local où, au milieu de moniteurs vidéo et informatiques, six écrans 65 pouces affichent des synoptiques complets des infrastructures avec retour en temps réel de toutes les données récupérées par le SYGEPS. L’un est affecté aux réseaux informatiques (12 routeurs, 63 switchs et 150 Vlans), le second à une carte mondiale des points de réception réels de TV5 Monde avec l’état des signaux renvoyés grâce à des sondes Miranda, et le troisième à la supervision des équipements de la salle technique (600 points de mesure et 5 000 services supervisés). Les autres affichent les états des différents sous ensembles : post-production, machines virtuelles, plateforme d’encodage et de multiplexage, chaînes de traitement et serveurs de base de données. Un premier NOC est installé au siège à Paris tandis qu’un second se trouve à Hong Kong.

Cette plateforme d'encodage et de multiplexage a fait l'objet d'un appel d'offres en 2013 (TV5Monde-AO - PDF 211 ko) qui nous en dit beaucoup sur les options qui se présentaient à TV5 Monde.

Et d'après la vidéo de France 2, on commence à comprendre celle qui a été retenue puisqu'on retrouve des équipements qui ressemblent assez fortement à ceux qui sont décrits dans cet appel d'offres...

tv5-options
tv5-options

tv5-options-2
tv5-options-2

Ici, on voit que des durées de contrats sont affectées aux équipements couvrant probablement une maintenance. C'est une pratique courante en entreprise de déléguer aux équipementiers ce genre de compétences que l'on souhaiterait pourtant peut être avoir en interne.

Le lot 3 portant sur le stockage et les sauvegardes est lui aussi intéressant

lot3
lot3

Le Cisco Fabric Interconnect c'est un gros switch 96 ports que l'on voit en haut à droite sur lequel tous les câbles sont branchés.

Le lot 4 porte sur le système de gestion de bases de données

lot 4
lot 4

Vous avez donc maintenant sous les yeux le ou les équipements qui ont été attaqués, attaque ayant conduit à la compromission de la diffusion des chaînes de TV5Monde, et toute une somme d'éléments qui commence à expliquer qu'il y a probablement une approche à revoir en matière de sécurité informatique. Jamais les pirates n'auraient dû être en mesure d'arriver sur cette plateforme de multiplexage et d'encodage.

Rappel : 

Lâcher un gros paquet de pognon pour des grosses boites noires et des technico commerciaux en costard à 5000 euros n'a jamais sécurisé quoi que ce soit, au mieux, ça donne un sentiment de sécurité et dans le pire des cas, ça donne un sentiment de sécurité. Le problème c'est qu'en pratique, la sécurité n'a que faire des sentiments.

DSI, c'est à vous de faire du sentiment : investissez dans l'humain et non dans de grosses boites noires, investissez dans les compétences humaines et non dans la quincaillerie.

Edit 12/04/2015 :  Une très bonne analyse de l'infrastructure de TV5 Monde

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée