BFMTV

Piratage de TV5MONDE: qui sont les hackers russes derrière APT28?

Les ministres Bernard Cazeneuve (Intérieur), Fleur Pellerin (Culture), Laurent Fabius (Affaires étrangères) devant le siège de TV5 Monde, à Paris  le 9 avril 2015, après le piratage.

Les ministres Bernard Cazeneuve (Intérieur), Fleur Pellerin (Culture), Laurent Fabius (Affaires étrangères) devant le siège de TV5 Monde, à Paris le 9 avril 2015, après le piratage. - Thomas Samson - AFP

Qui est derrière le piratage de TV5 Monde en avril, alors revendiqué par des individus se réclamant du groupe jihadiste Daesh? Selon nos informations, confirmant celles de nos confrères de L’Express, les enquêteurs s’orientent désormais vers la piste russe. Les cyberpirates se sont en effet connectés depuis des serveurs situés en Asie du Sud est, mais le code source est similaire à celui utilisé par le passé par des pirates russes. On fait le point.

> Des hackers russes soupçonnés

Nom de code: APT28. Le parquet antiterroriste avait ouvert une enquête préliminaire. Dans ce cadre, "les investigations conduisent à ce stade vers un groupe de hackers russes désignés sous le nom APT28", a indiqué à l'AFP la source judiciaire. Ce groupe serait aussi parfois désigné sous les noms de "Pawn Storm" et "Sofacy group". L'enquête a été confiée à la Direction générale de la sécurité intérieure (DGSI), à la sous-direction anti-terroriste de la police judiciaire (SDAT) et à l'Office central de lutte contre la criminalité liée aux techniques de l'information et de la communication (OCLCTIC).

Des hackers spécialisés en données sensibles... Selon un rapport publié en 2014 par la société américaine de cyber-sécurité FireEye, APT28 est "un groupe aguerri de développeurs et d'opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, des données qui ne pourraient être mises à profit que par un gouvernement".

... et soutenus par Moscou? L'ampleur des moyens déployés, les données techniques recueillies par les auteurs, et le fait que cette cellule mène des attaques avec régularité depuis "au moins 2007" témoigne, selon FireEye, du fait qu'elle est "soutenue par un gouvernement, plus précisément un gouvernement basé à Moscou".

Méthodes très sophistiquées

Des attaques contre d'autres gouvernements. D'après ce même rapport, APT28 a notamment mené des attaques contre le ministère des Affaires intérieures et le ministère de la Défense géorgiens, ainsi que contre le ministère des Affaires étrangères d'un pays de l'est de l'Europe. Selon un autre rapport de la société japonaise de cyber-sécurité Trend Micro, également publié en 2014, Pawn Storm a aussi visé des dissidents russes, ainsi que des intérêts américains, notamment des infrastructures militaires et des ambassades.

La traque des adresses IP. Les enquêteurs ont pu remonter la trace des hackers par "le travail d'investigation sur les adresses IP des ordinateurs d'où sont parties les attaques", a indiqué à l'AFP une source proche du dossier. Selon les rapports des deux sociétés de cyber-sécurité, la cellule utilise des méthodes très sophistiquées, notamment pour recueillir mots de passe et codes d'accès. Ils enregistrent, par exemple, des noms de sites Internet avec des adresses très proches de sites institutionnels reconnus afin de tromper leurs cibles.

Le coût de la reconstruction estimé à "5 millions d'euros"

Le groupe audiovisuel francophone avait été victime le 8 avril d’une attaque informatique d’ampleur inédite, qui avait provoqué l’interruption des programmes de 12 chaînes. Toutes les émissions de TV5 Monde - chaîne internationale reçue dans plus de 200 pays et territoires dans le monde - avaient été coupées pendant de longues heures, la chaîne affichant alors un écran noir. 

Des hackers avaient également pris le contrôle du site Internet et des réseaux sociaux (comptes Twitter et Facebook) du groupe. "Soldats de France, tenez-vous à l'écart de l'Etat islamique! Vous avez la chance de sauver vos familles, profitez-en", expliquait un message pirate posté sur le compte Facebook de TV5 Monde. "Au nom d'Allah le tout Clément, le très Miséricordieux, le CyberCaliphate continue à mener son cyberjihad contre les ennemis de l'Etat islamique", ajoutait le texte.

Si dès le lendemain, la chaîne a commencé à réémettre "sur un certain nombre de zones", comme nous l'expliquait alors Yves Bigot, directeur général de TV5 Monde, l'attaque a coûté cher et les perturbations se font encore sentir au sein du groupe. Selon L’Express, le système de diffusion des programmes ne sera pas connecté à Internet avant la fin du mois, et "la reconstruction de nos installations devrait coûter au moins 5 millions d'euros dès cette année", indique Yves Bigot à l’hebdomadaire.

V.R.