Dans la nuit du mercredi 8 au jeudi 9 avril 2015,
TV5 a été victime d’une cyberattaque importante. La capacité de la chaine à
émettre a été paralysée plusieurs heures, ses sites internet, comptes
Facebook Twitter ont également été
visés. L’attaque est signée par des acteurs se revendiquant de l’Etat
Islamique. Cet
incident, qui sera nécessairement fortement médiatisé en raison de la cible qui
a été touchée, appelle à chaud plusieurs commentaires.
- Le nombre de cyberattaques qui touchent des cibles de natures très diverses dans le monde n’a cessé de croître au cours de ces dernières décennies. La mise en réseau s’est accélérée au tournant des années 1990, la société est de plus en plus informatisée, connectée, dépendante de ces systèmes. L’informatisation de la société a ouvert des brèches que n’ont cessé d’exploiter les hackers. L’attaque subie par la chaine TV5 est donc surprenante sans doute par son ampleur, ses effets, mais ne l’est pas quand on considère le contexte dans son ensemble. Potentiellement, tout système informatisé et connecté est exposé à de tels actes.
- S’agit-il d’une première ? Non. De nombreux médias ont fait les frais ces derniers mois de cyberattaques revendiquées par le Cyber Caliphate, groupe de hackers pro-ISIS (Fox, CBS, Newsweek, etc.)
- Les cyberattaques s’improvisent rarement. Pour attaquer un système il faut le tester, le connaître, et une attaque comme celle-ci doit être préparée. A moins que l’ensemble des systèmes informatiques de TV5 n’aient été à ce point fragiles que la découverte, un peu par hasard, d’une faille n’ait ouvert toutes les portes. Si l’opération a été préparée, elle aura peut-être fait l’objet d’une intrusion préalable dans les systèmes, discrète, indétectable. L’enquête technique permettra de dire si les hackers ont laissé des traces, et si ces traces peuvent parler, fournir des indices suffisants pour reconstituer le mode opératoire, et éventuellement sur les auteurs de l’attaque.
- Face à une cyberattaque les difficultés et enjeux sont toujours les mêmes :
- Comment va-t-on attribuer l’attaque, identifier les auteurs de l’agression ? Les revendications, les contenus affichés sur les sites piratés, orientent vers l’Etat Islamique. Mais cela n’est pas suffisant : d’où ont agi les attaquants ? qui sont-ils véritablement ? S’agit-il d’un acte mené par des hackers non étatiques sympathisants de l’Etat Islamique, ou doit-on voir derrière l’acte la main d’un Etat ? Cette phase de l’enquête est probablement la plus difficile, car le cyberespace permet de brouiller les cartes, effacer les traces. Plusieurs hypothèses vont être formulées : les hackers ont-ils agi de l’étranger ? Depuis la France ? Faut-il chercher les attaquants à l’extérieur de l’entreprise ? Ont-ils préparé l’attaque de longue date, ont-ils pu laisser des traces, des indices ?
- Comment va-t-on agir, réagir ? Il s’agit ici d’un acte terroriste (désignant toute action en lien avec une organisation terroriste) : quelle peut être la réponse adéquate ?
- Quelles failles ont été exploitées par les attaquants ? En existe-t-il d’autres ? Les attaquants peuvent-ils réitérer leur exploit contre d’autres médias, d’autres entreprises ? Si TV5 a été touchée, comment s’assurer que les autres médias ne puissent l’être dans les heures, jours ou semaines à venir ?
- Le « cyber » fait partie de la société, la dimension cyber fait donc aussi partie des conflits, elle en est l’un des éléments clefs. Sans doute le grand public en a-t-il pris davantage conscience ces derniers mois avec la médiatisation faite des pratiques de l’Etat Islamique sur les médias sociaux (diffusion de vidéos d’exécution notamment, mais aussi appels au djihad, recrutements…) Le phénomène fut également médiatisé lorsque des milliers de sites internet français ont été victimes de cyberattaques au lendemain des attentats menés dans Paris. Mais le cyberterrorisme, les cyberopérations agressives, l’exploitation du cyberespace par des terroristes/combattants/belligérants, s’étend aussi à ces attaques capables de paralyser des systèmes. Et potentiellement le nombre de cibles est infini. Ici des médias ont été touchés, et l’acte s’inscrit bien dans une volonté de médiatisation des revendications. Mais on peut envisager que d’autres types de systèmes, industriels, critiques, soient visés par la suite.
- Dans le cyberespace, les adversaires sont les mêmes que dans le monde physique/réel. Il n’y a pas deux mondes, deux espaces déconnectés, avec chacun leurs réalités, leurs logiques, équilibres, rapports de force.