En 2015, la chaîne TV5 Monde a été victime d’un piratage. Ce dernier a abouti à l’arrêt complet des transmissions audiovisuelles de la chaîne. VeryFrog revient sur cet incident et les enseignements à en tirer.

Piratage de TV5 Monde

Les premières étapes du piratage de TV5 Monde

Comme souvent, les assaillants ont d’abord scanné les adresses publiques de TV5 Monde afin de trouver des services à compromettre. Ils ont ainsi trouvé un serveur de dépôt de contenus multimédia qui exposait le service RDP sur l’Internet. L’applicatif de dépôt possédait un compte système laissé par défaut. De ce fait, via ce compte, les assaillants ont réussis à pénétrer sur ce serveur, sans trop d’effort. Heureusement pour la chaîne, ce serveur n’était pas relié au réseau informatique. Il utilisait en effet des connections coaxiales et des protocoles propriétaires pour diffuser son contenu. Les assaillants l’ont alors délaissé.

La compromission

Après l’échec de la première tentative avortée de piratage de TV5 Monde, les assaillants reviennent quelques semaines plus tard avec un compte issu d’un prestataire d’infogérance informatique. En se connectant au VPN de TV5 Monde, les pirates accèdent alors au réseau interne de la chaîne.

En scannant le réseau interne, les assaillants découvrent des serveurs Windows servant à piloter les caméras du journal télévisé. Une nouvelle fois, les identifiants par défaut des applicatifs n’ayant pas été modifiés, les hackers prennent facilement le contrôle de ces machines. Et ainsi, ils installent sur ces serveurs des outils d’administration à distances (RAT / Remote Administration Tool). Ceci leur permettra de rebondir facilement sur le réseau de la chaîne.

Elévation des privilèges lors du piratage de TV5 Monde

Les pirates ont compromis les accès et sont désormais présents sur le réseau de la chaîne. Ils vont maintenant chercher à devenir administrateur de ce réseau. Pour cela, ils parviennent à se connecter à un serveur Active Directory, grâce à un nouveau compte de prestataire informatique (différent du précédent). Ce compte possède les droits d’administration du domaine Active Directory. Les assaillants vont alors s’empresser de créer un nouveau compte administrateur afin de s’affranchir des comptes des prestataires. Ces derniers pourraient effectivement être amenés à changer, du fait de GPO par exemple.

La collecte de données

Grâce à l’étape précédente, les responsables du piratage de TV5 Monde ont la main mise sur le système d’information de la chaîne. Ils vont maintenant essayer de comprendre l’organisation de ce dernier. Pour cela, ils repèrent le serveur Wiki de la DSI et le serveur de messagerie. Grâce à ces 2 serveurs, ils vont réussir à récupérer les diagrammes d’infrastructure informatique, les flux de données métier et une bonne partie des identifiants de différents équipements. Parmi ces derniers, se trouvent des switches, des serveurs. Mais se trouvent aussi des équipements métiers comme des encodeurs ou des multiplexeurs vidéos.

L’attaque qui dévoilera le piratage de TV5 Monde

Les assaillants ont à présent toutes les informations et les identifiants nécessaires à la mise en place de leur attaque finale. Dernier préparatif : ils déposent sur une des machines compromises une prise de main distante qui leur permet d’être indépendants du VPN.

La première action de l’attaque va être de modifier la configuration réseau des équipements vidéos comme les encodeurs et les multiplexeurs. La manipulation n’est pas visible immédiatement: il faut redémarrer les équipements pour que ces changements prennent effet. C’est d’ailleurs précisément ce que vont faire les techniciens de TV5 Monde lorsqu’ils se rendront compte que les transmissions de la chaînes ne fonctionnent plus, aggravant sans le savoir la situation.

Ensuite, les pirates vont défigurés les sites web et les comptes de réseaux sociaux de la chaîne. Puis ils vont effacer les configurations des switches et routeurs réseaux, en s’assurant de supprimer les images de sauvegardes lorsqu’elles existent. Cette action plonge immédiatement TV5 Monde dans le noir.

Enfin, avant de partir, les hackers vont effacer une partie des machines virtuelles de la chaîne – dont la messagerie.

La réaction des équipes techniques

En se rendant compte, assez rapidement, qu’ils sont victimes d’une cyberattaque, les techniciens décident de couper l’accès Internet. La prise de main distante des pirates est ainsi terminée. Puis ils demandent l’aide de l'ANSSI. Cette dernière met alors en place un plan d’action. Isoler efficacement le réseau. Comprendre l’architecture du système d’information. Fournir une solution temporaire de reprise d’activité et enfin remédier définitivement à l’attaque.

L’ANSSI va réussir sa mission. Mais elle a été confronté à différents problèmes. Le plus impactant a été l’incapacité de la DSI de TV5 Monde à fournir une cartographie claire et à jour de son système d’information. En effet, de nombreuses partie du SI était infogérées ou externalisées via de nombreux prestataires différents. La perte de maîtrise était alors importante pour la chaîne et a grandement freiné les investigations de l’agence gouvernementale.

Conclusion

Le piratage de TV5 Monde n’est en soi pas une prouesse technique exceptionnelle. Les assaillants ont simplement tirés parti de l’amateurisme de certains prestataires et fournisseurs. Couplé avec une perte de maîtrise du SI du fait d’une trop grande externalisation, les effets de ce laissé-allé a été catastrophique. Voilà pourquoi il est nécessaire d’apporter de la gouvernance dans votre système d’information. Contactez-nous pour vous accompagner dans une telle mise en place et préservez ainsi votre activité.