Après le piratage de TV5 Monde, les yeux des enquêteurs se tournent vers la Russie. C’est en tout cas en ce sens que convergent des indices récoltés par les enquêteurs de l’Agence nationale de la sécurité des systèmes d'information (Anssi), chargés des investigations techniques sur cette attaque d’envergure.

Des traces du passage des pirates ont été fournies, à la fin du mois d’avril, par l’Anssi à plusieurs grands médias. Elles correspondent, au moins en partie, à des attaquants qui ont déjà sévi dans le passé, selon les informations de L’Express, que Le Monde est en mesure de confirmer.

Si l’on en croit ces éléments, l’attaque ne proviendrait pas de l’Etat islamique, contrairement à ce que la revendication, publiée sur le site et sur les réseaux sociaux de TV5 Monde, laissait penser. Le mode opératoire et certaines traces spécifiques laissées par les pirates pointent vers un groupe de pirates russes bien connu des experts en sécurité informatique. Une source judiciaire a confirmé au Monde que l’enquête préliminaire s’orientait bien, à ce stade, vers des attaquants russes mais qu’il ne s’agissait encore que d’une piste de travail.

L’ombre russe

Le groupe désormais soupçonné de s’être introduit dans les infrastructures informatiques de TV5 Monde a plusieurs noms — en fonction de l’entreprise qui l’a analysé. L’entreprise américaine FireEye l’a appelé « APT28 », les Canadiens d’ESET lui ont donné le nom de « Sednit » et Trend Micro l’a baptisé « Pawn storm » (« tempête de pions », par analogie avec une stratégie du jeu d’échecs).

Les experts de ces trois entreprises estiment tous, à des degrés divers, que ces groupes sont liés à la Russie. Trend Micro affirme avoir retrouvé la signature de « Pawn Storm » dans plusieurs attaques visant des cibles militaires aux Etats-Unis, mais aussi des opposants à Vladimir Poutine, et des objectifs en Pologne et en Ukraine, des journalistes aux Etats-Unis… A la fin de 2014 et au début de 2015, le groupe a été particulièrement actif, notent les chercheurs de Trend Micro et d’ESET.

Dans son rapport sur « APT28 », FireEye note que ce groupe, actif depuis au moins 2007, « n’est pas impliqué dans du vol de propriété intellectuelle à des fins économiques » pas plus qu’il ne pirate des comptes bancaires. Les experts décrivent « une équipe douée de développeurs collectant des informations sur les questions de défense et de géopolitique, engagés dans des opérations d’espionnage contre des cibles politiques et militaires ».

Joan Calvet est chercheur en logiciels malveillants pour la société antivirus ESET et a travaillé sur ce groupe de pirates. S’il rappelle au Monde qu’il faut « interpréter avec prudence les indices techniques sur l’identité des créateurs de logiciels malveillants », il note cependant une « accumulation » d’indices. Ces derniers — des réglages de langue, des traces de russe dans le code ou d’horaires de création de certains logiciels — le conduisent à estimer avec « un grand niveau de confiance que les développeurs de ce groupe ont le Russe comme langue principale » et sont basés en Europe de l'Est.

Les chercheurs de FireEye sont les plus assurés quant à l’origine de ce groupe. Selon eux, ce dernier « reçoit un financement direct d’une organisation bien installée, très probablement un gouvernement ». En se basant sur plusieurs indices (le langage utilisé et les heures d’activité des développeurs notamment), ils estiment qu’il s’agit certainement du gouvernement russe.

Mais il faut rester prudent, tant l’attribution précise d’une cyberattaque est délicate. Aucun élément recueilli par l’Anssi ou les entreprises spécialisées ne permet encore d’affirmer de manière certaine que ces logiciels sont l’œuvre ou l’outil de services liés au Kremlin, pas plus que ce dernier n’est derrière l’attaque de TV5 Monde.

On trouve en tout cas parmi les principales victimes du groupe les ministres de l’intérieur et de la défense de Géorgie et plusieurs organisations gouvernementales d’Europe de l’Est.

Mode opératoire

Les enquêteurs français de l’Anssi ont acquis davantage de connaissances quant au mode opératoire des pirates. Ils savent désormais que les pirates se sont approchés de TV5 Monde en s’abritant derrière un virtual private network (VPN — « réseaux privés virtuels ») grand public. Les VPN sont un moyen de camoufler les connexions de manière à être moins traçable ou contourner la censure.

Ils sont arrivés dans le réseau de TV5 Monde dès la fin du mois de janvier, sur l’ordinateur d’un poste de production servant à contrôler les caméras sur le plateau, auquel ils ont réussi à accéder grâce à un mot de passe peu sécurisé d’un prestataire du groupe de télévision.

Ensuite, pendant plusieurs semaines et jusqu’à la date de l’attaque, les attaquants ont exploré le réseau de TV5 Monde et mis en œuvre une technique rodée, appelée « élévation de privilèges » : ils ont gravi peu à peu les échelons à l’intérieur du réseau jusqu’à s’octroyer de très larges pouvoirs sur le réseau. Les enquêteurs pointent le rôle des prestataires, des entreprises externes à TV5 Monde qui avaient la main sur des portions critiques du système informatique du groupe de télévision.

Enfin, les attaquants s’en sont pris ensuite à trois cibles : les réseaux sociaux, le site Internet et, surtout, les outils de production, nécessaires à la diffusion des images sur l’immense réseau de TV5 Monde. Comme nous l’écrivions précédemment, les enquêteurs ont noté la grande sophistication des attaquants, qui sont parvenus à endommager des matériels Cisco en détruisant des composants logiciels indispensables à leur bonne marche, les rendant largement inutilisables. Des multiplexeurs, des encodeurs et des « switchs » ont été pris pour cible, ainsi qu’un serveur de messagerie.