Piratage de #TV5Monde : l’opération cyber pieds nickelés

Une fois de plus, c’est un banal piratage qui est monté en épingle par la classe politique pour crier au cyberdjihad. Les « cyberdjihadistes », rien que le mot a de quoi faire rire… La presse court,
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

43 thoughts on “Piratage de #TV5Monde : l’opération cyber pieds nickelés”

    1. Fatiguant ces histoires de « false flag ». Les attaques, ça arrive tout le temps (cf Sony qui était bien pire). Quite a organiser une attaque, pourquoi pas TF1 pour marquer vraiment les esprits ?
      Suffit juste de sauter sur l’occasion du moment. TV5 Monde, si il y avait pas eu la loi renseignement, tout le monde s’en foutait.

      1. C’est vrai que des tentatives il y en a en permanence. Des robots (chinois, russe, sud-americain et j’en passe…) sur les ports ssh et smtp public et autre scan sympathique ou pas.
        Mais puisque nous sommes d’accord sur la constance des tentatives, ce qui me parait un poil gros c’est que ça arrive maintenant, pile au moment ou le projet de loi renseignement commence à être connu et pas forcement apprécié (cf les réactions d’OVH et consort https://eu.ovh.com/fr/news/articles/a1743.le-gouvernement-veut-il-contraindre-les-hebergeurs-internet-a-l-exil)… Maintenant c’est peut être aussi une coincidence.
        Pour TF1… C’est une chaine privée, y z’ont pas les mot de passe ;-)

      2. « Suffit juste de sauter sur l’occasion du moment. TV5 Monde, si il y avait pas eu la loi renseignement, tout le monde s’en foutait. »

        Tu es quand même implicitement en train de dire que ces terroristes sont les alliés objectifs de l’État policier.
        False flag ou pas, je trouve que c’est problématique.
        On critique Putin, mais on a déjà nos Tchétchènes…
        C’est pratique, non ?

  1. Ce qui est étonnant, c’est qu’il y eu aussi prise en main des réseaux sociaux. Est ce que notre admin-pied-nickelé n’aurait pas stocké tous ses mots de passe dans un mail sur son compte hotmail, compte protégé à la -mord-moi-le-noeud ? Ce ne serait pas le premier et derrière, tout s’enchaîne: accès aux comptes Facebok, twitter et via ssh, tout ce que l’on veut dans tout le SI

  2. Sauf erreur de ma part, les intervenants de l’ANSSI sont arrivés avant les TVs. Ce que j’ai du mal à comprendre, c’est qu’ils n’ont pas fait retirer toutes les affiches et tous les posts-it avec les mots de passe.

      1. Ha ben oui, je n’avais pas pensé à l’évidence : admins séparés des autres équipes…

        Qui pour leur proposer d’ajouter une ligne à leur procédure : « faire le tour de tous les bureaux et retirer toutes les affiches contenant un mot de passe ou un nom d’utilisateur (c’est pour les TVs qui viennent filmer) »? :-)

  3. J’avoue que quand j’ai lu dans les nouvelles : « une attaque sans précédent, sur TV5 qui pourtant investit tellement dans la sécurité » j’étais bien tenté de rigoler. Quand on voit le peu de moyens investit par les banques pour sécuriser leur infrastructure. A moins que dans notre cher 21e Siècle, embaucher un admin au salaire minimum légal soit un investissement énorme (si ça se trouve il lui ont même ajouté un stagiaire!)…
    Parce qu’autant le fait que les méchant cyberdjihadistes aient mis la main sur les comptes FB, twitter ect…, je veux bien, autant mettre à mal la télédiffusion qui n’a rien à faire sur internet, ou peut-être qu’ils ont raison et que c’est une intervention divine?…

    1. > embaucher un admin au salaire minimum légal soit un investissement énorme

      Tu l’as si bien dit… pour voir les réactions exagérées, j’ai regardé hier soir le journal de 20h sur France2.

      On y voyait les 2 « pauvres » techniciens réseaux/admin système de « TV5 Monde » qui montraient la salle serveur et les 3 fibres optiques qu’ils ont débranchées en urgence pour stopper « l’attaque ».

      Et bien quand on voit leur jeune âge (25/30 ans), le fait qu’ils soient techniciens (donc sûrement payés au lance-pierre vu leur statut/grade) et qu’il n’y avait pas de responsable (RSSI, DSI…) pour les seconder pendant l’interview, pas étonnant que c’est été si facile de rentrer dans leur réseau et de faire ce que les attaquants voulaient.

      Moyens trop faibles, techniciens devant gérer 10000 trucs en // et pas forcément compétent sur tous les sujets, pas de sécu. opérationnelle, incident de sécurité toujours pas « étudié » 15 jours après…; que des trucs classiques et rabachés dans nombre de sociétés privées et administrations :(

      De plus, si comme le dit Bluetouff, l’architecture Réseau est une calamité (ce que j’ai aussi fortement tendance à penser aussi d’après les éléments revélés), c’est du foutage de gueule et mérite un bon coup de pied au cul.

      1. Je n’irai pas blâmer tant que ça les admins, ni même le DSI, c’est aussi le budget octroyé et le temps qui conditionne la sécurité de ce type d’infra, et souvent, l’importance que la direction lui accorde. Tout est toujours plus compliqué dans de grosses structures. De mon point de vue il y a probablement des fautes à tous les niveaux, depuis le journaliste qui refuse d’apprendre par coeur son mot de passe, à la direction qui a pris ces problématiques par dessus la jambe.

    2. « A moins que dans notre cher 21e Siècle, embaucher un admin au salaire minimum légal soit un investissement énorme (si ça se trouve il lui ont même ajouté un stagiaire!)… »

      ben ca depend quand on veut avoir une excuse pour mettre en place un Etat policier, il ne faudrait pas que les choses tournent trop bien…

    3. et voila , en effet quand je suis sur un CDD de 3 mois , ma loyaute ne vas pas plus loin , pourquoi je reglerais des problemes qui vont survenir pendant que je vais galerer a me chercher du taf ? je n’irais aps j’usqu’a consciement saboter une infrastructure ou couller de l’info , mais meme si je vois quelque chose , si c’est pas dans mon mandat , dommage, mais c’est juste une oportunitee pour un autre CDD point barre

  4. Ah, ça faisait un petit moment qu’on n’avait pas eu droit à une petite enquête made in Reflets… et celle-là est très rafraîchissante !

    +1 au photomontage de Bernard Cazeneuve bien entendu.

  5. Au moins j’ai pu m’apercevoir de quelques soucis dans la boite avec un bon fichier Excel sur un dossier du réseau, avec les mots de passes tenus à jour d’une équipe.

    Merci encore pour votre analyse !

  6. De toute façon ils préféreront dire qu’ils se sont fait hacker par des super pros, ça donne donne presque une excuse raisonnable par rapport à « un abruti a laissé traîner un mot de passe ou son portable non protégé » ;-)

  7. Préambule : Je n’ai pas bien compris si TV5monde avait ou non diffusé des images non souhaitées. On parle de cyber attaque mais je n’ai pas trouvé d’article décrivant ce qui a été ou non compromis exactement…

    Perso, ca ne me choque pas outre mesure que le flux satelitte et le SI soit connecté et ceci pour plusieurs raisons :
    1/ Le contenu a tendance à être nuémrique. Il peut donc être stocké sur une infra centrale avant d’être envoyé vers les endroits nécessaires : diffusion en live ou envoi vers youtube ou envoi vers le site TV5 monde.
    Donc plutot que de multiplier l’infra et bien on a une infra centrale. Dans ce cas, il suffit de flinguer le contenu.
    La « console » envoyant le flux pourrait être isolée comme ca meme si le contenu est vérolé on est toujours maitre de diffuser ou non, mais c’est plus simpe d’avoir un PC qui accède à tout…
    2/ pour générer le flux et ajouter les infos (guide des programmes, etc.) et bien on passe par de l’informatique qui va requêter des serveurs centraux (c’était le cas il y a quelques années sur des chaines du cable)

    Même si la diffusion est « hertzienne » tout est piloté par l’informatique et envoie des flux « informatique » mp4, etc. Il me parait donc difficile d’isoler les réseaux informatiques et de diffusion.

    Par contre ca n’excuse pas les nombreuses bourdes que vous avez relevé

    1. Je ne l’ai pas précisé mais non ils n’ont pas réussi à diffuser leurs contenus, le workflow de l’application est surement complexe et on ne remplace surement pas une video en deux clics. Suite à cet échec, d’après les propos des techniciens, ils se sont probablement énervé et chercher à détruire le système.

    2. Que les serveurs Web, VOD et diffusion partagent les mêmes sources je peux le comprendre. Mais le lien entre le serveur de diffusion et l’internet me semble extrêmement dangereux. Je ne suis pas un spécialiste en sécurité réseau, et je ne maîtrise pas les dernières solutions full numérique, mais il y a clairement un calcul de risque qui a été mal fait dans la topologie de leur réseau! Et ils semblent avoir fait l’impasse sur le plan B analogique qui aurait du permettre la diffusion par TV5 d’une image ou d’un message de les premières minutes de l’attaque.

  8. Etant moi même RSSI avec un passé de pentester je trouve dommage qu’aucun pentester « sérieux » n’ait été interviewé ( on a préféré laissé des ministres non techniques donner des directives :) )

    Plus sérieusement… demain je veux prendre le controle du FB/TWITTER d’une chaine je fais quoi dans l’ordre ?

    – Je me demande qui a accés
    – Je cherche des infos sur des réseaux publiques (Linkedin & co)
    – Je compile un reverse shell avec VS (pour avoir un « virus » custom non détecté par les antivirus)
    – Je l’envoi par mail à ces personnes (ou sous forme d’un lien quelconque)

    => j’accède aux machines, je log les touches et quelques heures/jour plus tard j’ai tout ce qu il faut :).

    Quant au système de transmission ça sent gros comme une maison le problème de segmentation … mais bon c’est toujours plus facile de dire que ce sont des super hacker cyber abruti super puissant pour ne pas pointer le doigt sur de graves défaillances internes…

  9. Plop,

    D’apres ce que j’ai pu comprendre, pour diffuser au plus vite les reportage, grosso merdo la post-prod est directement reliée au système de diffusion.

    Théoriquement, les systèmes doivent normalement être cloisonnés, mais dans la pratique, tu comprends ça gêne, c’trop compliqué à gérer on va faire simple on va bricoler un truc… Et là bien malgré eux les archi ouvrent un trou béant de secu, et le responsable secu envoi un mail en CAPSLoCK pour signifier sa désapprobation et son mécontentement et qu’il s’en lave les mains.
    Et c’est sans compter l’un des responsable de domaine qui a tous les MDP en clair dans un fichier texte sur un serveur de test ce qui est de toute façon est idiot car la plupart des MDP sont soit le même ou varient très peu.

    Oui j’ai connu des boites comme ça :'(

    Sinon pour rappel, certains sites (TMG, autorité sanitaire, toussa) ont subie des attaques d’un crypto cyber djihadistes, qui a utilisé des failles bien lol :p.

    En Secu informatique y’a la théorie et la pratique \o/

  10. Ben voyons… Il ne manquait plus que ça !
    Je ne sais pas pourquoi, mais j’avais un doute…
    Après l’attaque de Charlie, le crash de l’avion A320 et d’autres actualités liées au territoire français, j’ai la vague impression qu’on nous mène en bateau. Histoire de faire mousser les politiciens, toujours présents dans ce genre de situation, en première ligne histoire de nous faire croire qu’ils sont utiles..
    Nan mais réveillez-vous, bande de pecnots ! VOUS ETES INCOMPETTENTS, VOUS ETES NULS A CHIER, MEME DIRIGEE PAR MON CHAT, LA FRANCE SE PORTERAIT MIEUX !!! Vous me faites honte… Et dire que ce sont eux qui nous représentent, bande de clochards !

  11. Ce type d’attaque est relativement simple : il suffit d’un seul accès réseau pour y loger quelques keylogger.
    Zataz avait signalé nombres de failles et ouverture vers du code malicieux type javascript et injection sql. La suite on la connaît…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *