La cyberattaque de TV5 Monde a-t-elle été menée par des hackers russes ? C’est ce qu’affirmaient ce mardi l’AFP et L’Express, citant les premiers éléments de l’enquête qui minorent la piste djihadiste initialement privilégiée par le gouvernement. Que les auteurs soient russes ne permet toutefois pas de désigner les commanditaires de l’opération.

Dans la nuit du 8 au 9 avril, TV5 Monde a cessé d’émettre pendant plusieurs heures, son système informatique étant visé par une attaque revendiquée par « CyberCaliphate ». Deux mois après les faits, les premières analyses mettraient en évidence le rôle d’un groupe de pirates bien connus des sociétés de défense contre la cybercriminalité. Tantôt appelés Pawn storm ou APT28 (pour Advanced Persistent Threat, soit « menace avancée persistante »), ces hackers sont connus depuis 2007 pour leurs cyberattaques sophistiquées utilisant notamment la technique du phishing, employée dans le cas de TV5 Monde.

Une piste « risible »

Selon une source proche du dossier, les enquêteurs ont effectué un « travail d’investigation sur les adresses IP des ordinateurs d’où sont parties les attaques ». Cette information a déclenché une vague de railleries parmi les spécialistes de l’informatique, notamment sur Twitter. Avec des proxies ou des VPN, il est facile de se procurer une autre adresse IP, à des fins honnêtes (pour contourner la cyber-censure dans certains pays, par exemple) ou moins nobles.

« #TV5MONDE avec une étude aussi poussée, je pense qu’on peut dire que c’est des hackers sino-nord-coréens de Russie pic.twitter.com/QkXq5wqEOn — Olivier Laurelli (@bluetouff) 9 Juin 2015 »

« La communauté des spécialistes en informatique hésite entre la franche rigolade et la rage, car la presse relaie ce qu’il convient d’appeler de la propagande d’Etat », s’emporte Fabrice Epelboin, spécialiste du Web et enseignant à Sciences-Po. Pour lui, la piste des hackers russes est « risible ».

Même « signature » digitale

Cette piste repose sur d’autres indices. Après l’attaque, l’ANSSI, sorte de cyber-SAMU de l’Etat, a fait parvenir un échantillon du fichier utilisé par les pirates à des médias pour qu’ils vérifient s’ils n’étaient pas infectés. L’entreprise de cybersécurité FireEye a pu l’analyser. « En le comparant avec des attaques menées par APT28, on a observé des similitudes troublantes dans le mode opératoire et les outils techniques », affirme Yogi Chandiramani, directeur technique Europe. « C’est la même empreinte digitale », poursuit-il.

« Les lignes de codes peuvent très bien avoir été écrites par une personne puis utilisées par une autre », avance pour sa part Fabrice Epelboin, évoquant le vaste marché noir des malwares.

De supposés liens avec le Kremlin

Le groupe APT28 est-il à la solde du Kremlin ? C’est la thèse avancée par FireEye dans un rapport publié en octobre 2014. Les indices : des lignes de codes écrites sur des claviers cyrilliques, une activité correspondant aux heures de bureau du fuseau horaire de Moscou et Saint-Pétersbourg, et des cibles qui ont en commun d’être dans le collimateur de la Russie (ministères géorgiens, institutions de pays d’Europe de l’Est, Maison Blanche…).

Pourquoi ces pirates russes s’en seraient-ils pris à TV5 Monde ? Pour Nicolas Arpagian, directeur à l’institut national des hautes études de la sécurité et de la justice, cette nouvelle piste jette un trouble sur le mobile des pirates. « Ils n’ont pas volé de donnés et leurs revendications laissent penser qu’ils ont visé la chaîne car elle représentait une caisse de résonance internationale ». Yogi Chandiramani juge qu’il peut s’agir d’un leurre « pour faire diversion du vrai but, empêcher la diffusion d’un reportage contraire aux intérêts russes par exemple ».

Nicolas Arpagian reste prudent. « Internet est un théâtre qui permet toutes les formes de dissimulation, et l’origine géographique de l’attaque ne permet pas toujours de remonter jusqu’à son commanditaire », insiste-t-il.