L’enquête sur le piratage de TV5 Monde s’oriente vers des hackers russes

Lu pour vous

Slide-CyberAttaque

Le 8 avril, la chaîne de télévision francophone a été victime d’une cyberattaque menée par des inconnus se réclamant de l’organisation Etat islamique. En fait, des indices conduisent à un groupe russe, dit APT28.

L’enquête sur le piratage d’envergure subi le 8 avril par la chaîne de télévision francophone TV5 Monde s’oriente vers «un groupe de hackers russes», a affirmé à l’AFP une source judiciaire.

Cette cyberattaque avait été menée par des inconnus se réclamant de l’organisation Etat islamique et des messages de propagande jihadiste avaient été diffusés sur le site de la chaîne, sur ses comptes Facebook et Twitter.

Le parquet antiterroriste avait ouvert une enquête préliminaire. Dans ce cadre, «les investigations conduisent à ce stade vers un groupe de hackers russes désignés sous le nom APT28», a indiqué à l’AFP la source judiciaire. Ce groupe serait aussi parfois désigné sous les noms de «Pawn Storm» et «Sofacy group».

Selon un rapport publié en 2014 par la société américaine de cybersécurité FireEye, APT28 est «un groupe aguerri de développeurs et d’opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, des données qui ne pourraient être mises à profit que par un gouvernement».

L’ampleur des moyens déployés, les données techniques recueillies par les auteurs et le fait que cette cellule mène des attaques avec régularité depuis «au moins 2007» témoigne, selon FireEye, du fait qu’elle est «soutenue par un gouvernement, plus précisément un gouvernement basé à Moscou».

D’après ce même rapport, APT28 a notamment mené des attaques contre le Ministère des affaires intérieures et le Ministère de la défense géorgiens ainsi que contre le Ministère des affaires étrangères d’un pays de l’est de l’Europe.

Selon un autre rapport de la société japonaise de cybersécurité Trend Micro, également publié en 2014, Pawn Storm a aussi visé des dissidents russes ainsi que des intérêts américains, notamment des infrastructures militaires et des ambassades.

Les enquêteurs français ont pu remonter la trace des hackers par «le travail d’investigation sur les adresses IP des ordinateurs d’où sont parties les attaques», a indiqué à l’AFP une source proche du dossier. Selon les rapports des deux sociétés de cybersécurité, la cellule utilise des méthodes très sophistiquées, notamment pour recueillir mots de passe et codes d’accès. Ils enregistrent, par exemple, des noms de sites Internet avec des adresses très proches de sites institutionnels reconnus afin de tromper leurs cibles.

Le 8 avril, les émissions de TV5Monde, reçues dans plus de 200 pays et territoires dans le monde, ont été coupées, remplacées par un écran noir sur l’ensemble des onze chaînes du groupe. Dans le même temps, la chaîne perdait le contrôle de ses pages Facebook et comptes Twitter, ainsi que de ses sites internet qui affichaient tous des revendications du groupe Etat islamique. Il avait fallu plusieurs heures pour rétablir les programmes.

Source : LeTEMPS.CH