samedi 11 avril 2015

TV5Monde : Cyberdjihadistes Contre Cyber Bons À Rien !

Piratage de TV5 Monde : l’opération cyber pieds nickelés



je-suis-tv5monde

Une fois de plus, c’est un banal piratage qui est monté en épingle par la classe politique pour crier au cyberdjihad. Les « cyberdjihadistes », rien que le mot a de quoi faire rire… La presse court, la presse s’emballe, tout le monde y va de sa théorie non argumentée, sans aucun élément tangible… mais le résultat est là, ce piratage de TV5Monde fait bien plus de bruit que le massacre de 148 personnes à l’Université de Garissa au Kenya, c’est consternant, c’est 2.0, c’est du djihad terroriste avec du cyber dedans, même les partis politiques relaient allègrement cette première attaque terroriste avec du cyber dedans d’une ampleur sans précédent.
Rappelons à toutes fins utiles qu’à notre connaissance, aucun routeur n’a explosé, aucune perte n’est a déplorer, en dehors d’un membre de la rédaction qui nous a confié avoir perdu une gomme qui trainait sur son bureau… et un autre qui nous signale avoir perdu le post-it avec le mot de passe de sa machine qui était collé à son écran.
CCKgoRMWMAAUyeO
Mises à jour
Edit 19H00 : Bluecoat Lab a fourni une intéressante analyse d’une variante du worm supposé avoir été utilisé pour l’attaque de TV5Monde
Edit 15H50 : Le ministère de la défense dément la confidentialité des documents publiés par les pirates
La thèse de l’attaque de haute volée avec la publication de documents confidentiels relatifs à l’identité de militaires est en train de faire psshhhhiiiiit (étonnant non ?). Le ministère de la défense dément catégoriquementque les documents publiés par les pirates étaient confidentiels.
mindef
Expliquer le piratage de TV5Monde
Cet article ne vise pas à vous faire un énième forensic sur du vent, car des éléments, personne ne semble en avoir à se mettre sous la dent, seule l’ANSSI qui a géré la résolution de l’incident et la reprise des services de la chaine en a. L’ANSSI n’est jamais très causante sur ses activités, et on peut aisément la comprendre. Donc permettez moi de douter très fortement de la fumeuse thèse de RTL qui affirme que l’attaque serait « partie de France avant de transiter par l’International ». L’attaque serait partie des locaux même d’RTL que la radio ne pourrait pas plus la pister. Notez l’absence même de conditionnel dans l’affirmation de RTL
Selon nos informations, cette attaque est partie de France, transitant par un réseau qui emploierait, d’après les services américains, une quinzaine de hackers chevronnés dans le monde.
Outre l’aberration technique « l’attaque a transité par un réseau employant une quinzaine de hackers » (WTF?!), RTL laisse entendre que ses sources, américaines, qui n’ont eu à priori pour le moment aucun accès aux données brutes de l’attaque (à moins qu’un flux permettant de corréler l’attaque n’ait été intercepté par on ne sait trop quel programme de surveillance d’Internet) auraient donc un avis vérifié sur les auteurs, leurs motivations et le déroulement de l’attaque… mouais. Autant relayer la théorie de madame Irma.
Une autre théorie sur le site breaking3.0 est plus troublante. Par delà les approximations et les extrapolations qui laissent clairement entendre que l’article a été écrit par un non technicien essayant de vulgariser les propos d’une personne plus pointue pour des encore moins techniciens, on a des choses intéressantes sur la chronologie de l’attaque. Dommage que la démonstration soit gâchée par ces approximations qui ont été reprises en coeur par de gros médias du genre « ils sont passés par Skype pour voler une adresse ip » ou le coup du « script HTML  ».  C’est un avis très personnel, mais j’ai un peu de mal à valider la thèse d’une compromission via Skype (bien que ceci soit techniquement parfaitement concevable), et même si c’était le cas, ceci ne serait qu’un vecteur anecdotique et insignifiant de l’attaque. L’information essentielle, qui ne transparaît pas dans l’article de Breaking3.0, c’est que l’intrusion a mené à une compromission du système de diffusion satellite de la chaine.
Breaking3.0 avance surtout que le code malveillant de l’attaque, un VBS a été en sa possession (ou celle de sa source), que le code malveillant, chiffré, a été cassé, et que ceci aurait permis au site de remonter jusqu’aux hackers d’origine algérienne, dont un serait en Irak. Ce serait quand même un peu plus tangible si on pouvait justement examiner ce code. Je suis par exemple curieux de comprendre la méthode de désanonymisation du flux puisque le site souligne qu’ils utilisaient un VPN, mais ce ne serait pas la première fois qu’on verrait inscrit en dur dans un code malveillant l’IP du puppet master.
Passons maintenant aux questions qui font mal
Comment, depuis l’extérieur, un attaquant peut accéder à l’infrastructure de diffusion satellite d’une chaine de télévision ?
Là, j’ai beau retourner le truc dans tous les sens, soit il y a une personne en interne qui a été complice, soit il y une clé USB infectée qui s’est baladée là où il ne fallait pas, soit les pirates ont réussi à dérober des fichiers de configuration d’un VPN les menant à l’infrastructure de diffusion, soit il y a un énorme problème d’architecture dans le système d’information pourtant tout neuf de TV5Monde… ou un trou béant dans le « firewall quasi neuf ».
Reprenons ces 4 thèses et tentons de les étayer
La complicité en interne : un complice aurait inoculé le code malveillant pour permettre aux assaillants de prendre le contrôle du système de diffusion. Ce complice doit avoir quelques solides notions d’admin et des accès privilégiés pour permettre aux pirates d’accéder à l’interface de C&C… hypothèse peu probable.
La clé USB ou le périphérique infecté : encore moins probable que la première hypothèse puisqu’il faudrait un code d’attaque sacrément élaboré pour que ce dernier vise un système peu connu du grand public, en exploite les vulnérabilités et se crée lui même un accès entrant et sortant en allant brancher avec ses petits bras musclés un RJ45 entre deux réseaux que n’importe quel DSI aurait, évidemment, pris soin d’isoler… Oh wait !
Le vol d’un accès VPN au réseau privé de diffusion : là on commence à se dire qu’on est dans le domaine du possible. En volant un téléphone portable, ou un ordinateur, ou par simple phishing, les pirates parviennent à récupérer des fichiers de configuration d’un VPN donnant un accès « royal au bar » au système de diffusion satellite, situé sur un réseau privé ne communiquant pas avec le monde extérieur (c’est un peu le concept d’un VPN).
La boulette du bidule qui n’aurait jamais du être interconnecté avec le monde extérieur : impossible donc de ne pas penser à une énorme boulette d’architecture ayant conduit, pour une raison ou pour une autre (forcément une mauvaise raison), à interconnecter de manière un peu trop ouverte un réseau par exemple accessible à la rédaction, à l’environnement de prod ou de pré-prod de diffusion des programmes. Selon un technicien, c’est la plateforme d’encodage des programmes qui a été attaquée, (source :  cette vidéo à 3’25). Et là, on peut coller des supers firewalls tout neufs, tout un cluster OpenOffice…. l’erreur est grossière et réduira à néant les bienfaits des boiboites vendues comme magiques mais qui ne patchent pas les erreurs humaines.
Cependant, une compromission est rarement le fait d’un seul paramètre, il faut souvent une somme de petites choses pour mener à une grosse catastrophe… et c’est à ce moment précis que vous pouvez sortir le popcorn.
Opération pieds nickelés in progress….
Les premières interviews « à la rédac » de TV5Monde font peur. Penth0tal sur son compte twitter lève le lièvre qui tue, et nous voilà la risée des USA, via l’article d’ArsTechnica, un article malheureusement tombant sur sa fin un peu à l’eau puisqu’il conclue sur la théorie d’un site satirique qui a publié cet article potache sur un expert russe qui aurait révélé que le mot de passe craqué à TV5Monde était « azerty12345 »… c’est évidemment un hoax, une phrase m’avait d’ailleurs mis la puce l’oreille :
estpresse
Il y avait déjà peu de doute sur le fait que TV5Monde observe de mauvaises pratiques en matière de sécurité, mais de là à afficher ses mots de passe sur des post-it collés au mur, pil poil derrière le journaliste interviewé, sous le nez des caméras, on tombe dans le pathétique.
fail
Un zoom sur les post-it vous donne le mot de passe Youtube de la chaine, qui est, tenez vous bien « lemotdepasseyoutube » … le truc nécessaire de coller partout dans les locaux dès fois que toute la rédaction soit soudainement frappée d’amnésie. Partant de là, on se demande si le mot de passe Twitter n’est pas le « lemotdepassetwitter »  et le mot de passe root du serveur web « lemotdepasserootduserverweb » … ne riez pas, on en est là.
Arrêt sur image a donc appuyé là où ça piquotte.
Le mot de passe a été fraichement changé
Le mot de passe a été fraichement changé
La réalité n’est donc pas glorieuse. TV5Monde s’est vue signaler à maintes reprises des vulnérabilités sur son site web (que ce soit par Zataz, votre serviteur, et surement bien d’autres), vulnérabilités qui ne sont d’ailleurs toujours pas corrigées au moment où nous écrivons ces lignes.
Capture_d’écran_2015-04-10_à_11_14_59
Ceci est un appel à l’injection SQL
Un autre élément qui me fait tiquer, toujours sur cette vidéo, c’est quand le DSI de TV5Monde confesse qu’il y a deux semaines, il a été notifié d’un incident (probablement par l’ANSSI), et que 2 semaines plus tard, aucun audit n’a été mené, aucun forensic… des mecs se sont baladés sur son réseau et deux semaines après, il ne sait toujours pas ce qu’ils ont bien pu y faire… dites moi que c’est une blague… pitié.
Résumons
Des trous sur le frontal, une rédaction pas forcément éveillée aux problématiques de sécurité informatique, des mots de passe faibles collés aux murs devant les caméras de télévision pendant les interviews, un réseau critique non isolé, un délai de réaction à J+15 en réponse à un incident… nous avons tous les ingrédients pour une monumentale cyberboulette qui fait quand même bien plus rigoler que du « cyberdjihad ». Et pourtant, l’infrastructure de TV5Monde n’est pas des plus dégueulasses, elle a été rénovée il y a un peu plus d’un an, le DSI nous confie que le média se situe « dans la moyenne haute » en terme de sécurité… avec ce que nous venons de voir, il y a de quoi avoir la trouille pour les autres chaînes si ce qu’il dit est vrai, et d’ailleurs sa boite noire pour arrêter les cyberdjihadistes était quasi neuve :
Jean-Pierre Verines, précise que son« système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire », soulignant même avoir un « firewall quasi neuf ». 
Mais revenons aux autres boites noires, celles que le gouvernement propose de placer chez les fournisseurs d’accès Internet…
La surenchère sécuritaire ministérielle
Collin CazeneuveOn aborde maintenant le volet le plus nauséabond de cette histoire, les réactions politiques. Il y a quand même de fortes chances qu’on soit face à une bande pieds nickelés un peu opportunistes, ayant employé des techniques peu élaborées, pour tenter de diffuser de la propagande et s’étant cassé les dents sur une application métier dont ils n’ont pas compris le fonctionnement et le workflow de publication. Ne croyez pas qu’il suffit de remplacer une vidéo par une autre et d’appuyer sur le bouton play pour que Daech abreuve toute la TNT de sa propagande… c’est un poil plus complexe. Les applications destinées aux plateformes de diffusion, c’est pas non plus Disneyland.
Mais peu importe, l’occasion est trop belle pour que pas moins de 3 ministres se donnent rendez-vous sur place pour sur-vendre leur projet de loi sur le renseignement. La manipulation est grossière.
beauvau
Des pirates opportunistes, des ministres opportunistes, voici deux ingrédients détonnants qui dicteront un vote émotif du Parlement, sur un texte qui surveillera bien plus ses concitoyens que les djihadistes.
Sur ce genre de malentendu… aucun doute, ils ont tous réussi leur coup.
fabius
Putain de post-it…

Piratage de TV5 Monde (acte 2) : cette fois il y a des baffes qui se perdent

On croit rêver. Naïvement, vous pensiez peut-être comme nous que le piratage de TV5 Monde que nous avons pris le temps d’évoquer ici en détail allait provoquer un électrochoc conduisant à la mise en place de bonnes pratiques en matière de sécurité informatique. Dans cet article, 20Minutes nous révèle l’impensable. TV5 Monde confie avoir bien affiché des mots de passe sur des post-it, mais que cette pratique n’était pas en place avant l’incident… non ils auraient commencé à le faire suite à l’incident.
«On ne fait pas fi du fait que c’est une bourde», a déclaré à l’AFP Yves Bigot, directeur général de la chaîne, soulignant que «les codes n’étaient pas affichés avant» la cyberattaque survenue dans la nuit de mercredi à jeudi et «n’ont rien à voir avec».
Après s’être un peu ridiculisé sur Twitter face à Arrêt sur Image en affirmant qu’il s’agissait de vieux mots de passe (puis la démonstration qui démontrait que le mot de passe Youtube en question venait tout juste d’être changé a fini par effacer son tweet), voilà maintenant que la chaine affirme que juste après s’être fait plomber, elle durcit sa sécurité informatique en affichant les mots de passe sur les murs. Quelque chose m’échappe un peu en terme de réponse incident…
Cette fois c’est vraiment prendre les gens pour des abrutis finis.
Le mot de passe a été fraichement changé
Le mot de passe a été fraichement changé
Cette blague va durer longtemps ? C’est plus drôle du tout là, c’est consternant. J’apprécie d’ordinaire beaucoup TV5 Monde, mais là avec ce genre de communication, on touche vraiment le fond.

Aucun commentaire: