TV5 Monde – Spear phishing : Un simple mail aura suffit !

3
130

Alors que l’enquête sur le piratage d’envergure ayant touché TV5 Monde progresse, on a appris avec certitude qu’un simple mail infecté est à l’origine de l’intrusion.

L’attaque sophistiquée et organisée qui a débouché sur la paralysie de la chaîne TV, du site Web et des réseaux sociaux de TV5 Monde a débutée par une opération de spear phishing, comprenez un phishing ciblé, visant directement le maillon faible humain en interne : les employés équipés d’ordinateurs connectés au réseau de l’entreprise.

UnderNews vous l’expliquait il y a quelques jours : l’attaque n’est pas “inimaginable, “extraordinaire” ou autre qualificatif exagérés utilisés par les médias ! Elle est juste très simple et banale, étant donné qu’il y en a des milliers identiques par jour ciblant toutes sortes de sociétés dans le monde.

Aucune compétence en hacking n’est requise pour réaliser ce genre d’attaque. Muni d’un malware indétectable de qualité, n’importe quel pirate informatique peut réussir une intrusion telle que celle-ci. Et ce malware peut être tout simplement acheté ou loué sur le blackmarket et non développé par le pirate représentant l’utilisateur final, cela nécessitant d’importances connaissances techniques.

On sait maintenant avec certitude que tout a commencé par l’envoi d’un mail piégé avec une pièce jointe malveillante, en janvier dernier, à tous les journalistes de la chaîne. La paralysie totale de la chaîne pendant plus de 24 heures a donc débuté par là, lorsque 3 des employés destinataires ont ouvert ce mail et activé la charge malveillante. Le point faible est donc bien le chaînon humain. Une fois le malware actif, les pirates informatiques ont pu avoir un accès total aux systèmes du service informatique de TV5 Monde et en prendre le contrôle facilement.

Chronologie de l’attaque

Après l’intrusion en janvier, on peut découper en plusieurs parties la suite de l’opération :

  • Entre janvier et mars, les pirates repèrent le terrain et cherchent parmi les milliers d’ordinateurs du réseau de la chaîne, les équipements indispensables à la diffusion.
  • En mars, toujours selon des sources proches de l’enquête citées par l’AFP, la deuxième phase de l’offensive est lancée avec l’activation des malwares qui ont pu être injectés sur les machines stratégiques. Par ailleurs, le SI de TV5 Monde était protégé à son entrée mais aucune barrière intermédiaire n’avait été mise en place pour y contrôler les accès : “Une fois qu’on est rentré, il n’y avait pas de portes étanches”, souligne la source interrogée.
  • Le 9 avril, toutes les pièces sont réunies pour attaquer les serveurs “pendant plusieurs heures”.

C’est donc une attaque par phishing qui a permis de faire pénétrer un malware sophistiqué dans le réseau interne et qui a causé ensuite les conséquences que nous connaissons.

 

Source: ZDNet

3 Commentaires

  1. Bonjour,
    On peut douter de la qualité des techniciens de TV5 Monde.
    En effet, aujourd’hui 21 avril, la diffusion sur le Web de TV5 Monde + est toujours inacessible!
    En tant qu’abonné payant, je trouve cela inadmissible.

  2. Ainsi, il n’y avait pas de VLAN étanches pour cloisonner les différentes parties du SI de TV5monde? Surtout entre la partie diffusion et rédaction.

    De même, je trouve inimaginable qu’il soit encore possible, en 2015, d’envoyer des mails contenant un fichier vbs (si l’on en croit le site breaking3zero). Je viens de tester de m’envoyer un fichier vbs vide entre ma boite professionnelle et ma boite perso yahoo, et je n’ai rien reçu.

Les commentaires sont fermés.