Aurélien Duval / Bastien Facqueur / Sonya Ait Said Groupe H

Tom Keraudy / Yacine Driss Cybersécurité

Attaque
TV5 Monde

Période de l’attaque et cible

L’attaque se déroule entre le mercredi 08 avril et le jeudi 09 avril 2015.

Elle avait pour cible le groupe TV5 Monde, un des 3 plus grands réseaux mondiaux de télévision.

Les éléments touchés sont nombreux :

- 11 chaînes de télévision
- Site internet
- Réseaux sociaux (Facebook et Twitter)
- Messagerie interne

Objectif de l’attaque

L’objectif premier de cette attaque était de détruire complètement les systèmes de diffusion du
groupe.

- Disponibilité : Plateformes inaccessibles ou piratées

- Intégrité : Réseaux sociaux détournés à des fins de propagande pour l’Etat islamique
- Confidentialité : Intrusion dans les systèmes internes du groupe (messagerie, serveurs de
diffusion, la totalité du réseau de TV5 Monde était accessible par les pirates pendant plusieurs
semaines avant l’attaque)

Jusqu’en 2017, plusieurs hypothèses sont émises concernant le but des attaquants. L’une d’entre elle
évoque une réponse hostile aux participations militaires françaises contre l’Etat islamique durant
l’année 2015.

Déroulement

- 23 janvier 2015 : première intrusion des attaquants dans le réseau de TV5 Monde (l’intrusion
n’est pas détectée)
- 8 avril, 15h40 : logiciel espion installé sur le réseau de TV5 monde (à nouveau, non détecté).
Le logiciel n’est néanmoins pas utilisé dans l’attaque et sert probablement de diversion
- 19h57 : Paramètres des serveurs de diffusion modifiés par les attaquants, cela rend leur
redémarrage impossible
- 20h58 : Piratage des comptes Twitter et Facebook (diffusion de messages de propagande pour
l’Etat islamique)

1
 - 21h48 : Destruction du logiciel de gestion des flux vidéo de TV5 Monde (écran noir sur les 11
chaînes du groupe, impossibilité de les relancer en raison des paramètres modifiés au
préalable)
- 22h40 : Suppression de la messagerie interne de l’entreprise par les pirates
- Un peu avant minuit : Les équipes techniques de TV5 Monde prennent la décision de couper
entièrement leur réseau d’Internet pour stopper l’attaque en cours
- Vers minuit : Reprise de contrôle des réseaux sociaux
- 9 avril, 3h : Prise de contact avec les ingénieurs de l’ANSSI (Agence nationale de la sécurité des
systèmes d'information)
- 10h : Rétablissement de l’ensemble des chaînes du groupe, uniquement pour des programmes
préenregistrés
- 18h : Reprise normale de la diffusion

Les conséquences de l’attaque

Tout d’abord sur le plan organisationnel, une fois l’attaque terminée et la reprise du contrôle de la
chaîne, le directeur de TV5 Monde a décidé de renforcer la sécurité, et de renouveler les contrats de
sécurité.

Sur le plan financier, TV5 Monde a dépensé, moins d’un an après l’attaque, plus de 4,6 M d’euros dans
la sécurité de la chaîne, les assurances ainsi que les équipes informatiques.

Cependant, cette attaque a eu un fort impact sur leur image, ils ont perdu une énorme partie de leurs
contrats internationaux, et ont notamment subi un effondrement de leurs publicités en ligne.

Enfin au niveau médiatique, l’information a été partagée sur toutes les chaînes du monde entier en
passant des États-Unis au Japon. De plus, il y avait une grande crainte des autres médias concernant
de potentielles autres attaques.

Moyens mis en œuvre

Humains : L’attaque a probablement été réalisée par le groupe APT28. Ce groupe est actif depuis 2004
et est fortement lié aux services de renseignement Russes.

Médias : Sur les médias le groupe de pirates est plutôt discret, sauf lors de l’attaque dans laquelle ils
ont pris le contrôle des réseaux sociaux de TV5 Monde sur lesquels a été diffusée de la propagande
djihadiste.

Infrastructure : La technique de l’hameçonnage (aussi connue sous le nom de phishing) a

probablement été employée en envoyant des mails aux employés de TV5 Monde. Néanmoins, cette
information n’a pas été confirmée par l’ANSSI. Cela aurait permis aux pirates de rentrer dans le réseau
puis de préparer minutieusement l’attaque pendant plusieurs semaines.

2
Vulnérabilités

Peu avant l’attaque, les pirates ont commencé leur offensive le 23 janvier en observant de loin
l’infrastructure du réseau de la chaîne. Ils commencent par découvrir qu’il est possible de se connecter
à son réseau depuis l’extérieur en utilisant un VPN.

À la suite de cela, les attaquants ont pu localiser 2 serveurs particuliers qui pilotent les caméras sur les
plateaux de télévision. Les pirates utilisent l’un de ces serveurs pour se connecter au système.

Grâce à cette opération, ces derniers ont pu avoir d’importantes informations, notamment des
identifiants et des mots de passe de plusieurs machines.

Réactions

Dès le lendemain de l’attaque, aux alentours de 10h, TV5 Monde émet de nouveau, mais uniquement
avec des contenus préalablement enregistrés.

Pour gérer la crise, les équipes de cybersécurité ont pris des mesures drastiques pour empêcher les
pirates de garder le contrôle :
- Arrêter complètement le système de diffusion
- Déconnecter toutes les infrastructures

Après l’attaque, ils ont décidé de remplacer toutes les machines infectées par du matériel neuf et de
réinitialiser tous les anciens mots de passe.

Pour la reprise de l’activité de TV5 Monde, la chaîne a pris des précautions telles que la mise en place
de cinq postes ayant la possibilité de se connecter à Internet ou encore l’établissement d’un accès
Internet filtré.

Pendant un mois suivant l’attaque, les équipes techniques de TV5 Monde ainsi que les ingénieurs de
l’ANSSI travaillent à remodeler entièrement le réseau interne du groupe afin de le sécuriser et de
détruire toute trace de l’attaque.

Tout le réseau est donc entièrement modifié le 11 mai, entre 17 heures et 5 heures le lendemain, tout
en veillant à ne pas gêner les diffusions en cours. Par mesure de précaution, les modifications sont
interrompues durant les journaux télévisés.

Sanctions

Dans le cadre des sanctions, les assaillants ont été identifiés comme étant le groupe de hackers
dénommé APT28 ou PawnStorm.
C’est un groupe de hackers actif depuis 2004, qui est principalement connu pour des affaires entre
2015 et 2017 telles que le piratage du site du mouvement politique En Marche en amont de la

3
campagne électorale des élections présidentielles françaises de 2017 ou le Parti démocrate, des
élections présidentielles américaines de 2016.
Par ailleurs, le sabotage aura coûté à la firme près de 10 millions d’euros de dommages et de
réparations à la suite de ce piratage informatique.
Cela forcera TV5 Monde à rehausser le niveau de sa sécurité informatique en la confiant à la filiale
cyber d'Airbus, ce qui engendre une dépense de 3,5 millions d'euros chaque année.

Liens

Aucune nouvelle attaque majeure n’est apparue depuis l’incident de 2015. Il est rare que des affaires
de piratage informatique s’ébruitent et s’étalent au grand jour.