Les autorités françaises sont décidées à retrouver les pirates de TV5Monde. «L’enquête est lancée», annonçait jeudi matin le ministre de l’Intérieur Bernard Cazeneuve, devant le siège de la chaîne de télévision, victime d’une attaque informatique dans la nuit de mercredi à jeudi. L’enquête a été confiée au parquet antiterroriste, signe de la gravité des faits.

L'Agence nationale de sécurité des systèmes d'information (ANSSI) a envoyé des experts sur place pour aider la chaîne à se remettre sur pied. «Notre but est aussi de garder les traces de passage des attaquants, un peu comme sur une scène de crime», souligne-t-on au sein de l'agence. Des traces indispensables pour reconstituer le scénario de l’attaque et remonter, si possible, jusqu’à leurs auteurs.

A la recherche de mails défectueux

«Le premier objectif est de retrouver l’endroit par où les agresseurs sont entrés», explique à 20 Minutes François Paget, expert en cybercriminalité, chercheur chez Intel Security et membre du Club de la sécurité de l’information français (Clusif). Ce dernier entrevoit une «enquête de longue haleine». «C’est un travail de patience. Mais en un mois, avec une dizaine de personnes qui travaillent d’arrache-pied, on peut arriver à comprendre ce qu’il s’est passé», ajoute-t-il.

Concrètement, les enquêteurs vont explorer les postes de travail des salariés de la chaîne pour y rechercher des programmes malveillants ou des traces de programmes destructeurs. Si la direction en donne l’accord, ils pourront aussi explorer les boîtes mails pour y déceler des traces mail de type phishing qui aurait renvoyé un salarié vers un site miroir sur lequel on lui aurait volé ses droits d’accès.

Lever les doutes d’une complicité interne

«Il y a de grandes chances pour qu’une attaque de ce type laisse des traces», analyse l’expert. Il y a quinze jours, l’ANSSI avait alerté TV5Monde qu’au moins un de ses serveurs avait été compromis. «L’agence a récupéré le serveur. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point», a indiqué aux Echos le directeur informatique de la chaîne.

A priori, selon ce dernier, la porte d’entrée des pirates dans les serveurs de la chaîne proviendrait plutôt d’un salarié qui aurait cliqué sur le mauvais lien. Mais les enquêteurs vont aussi devoir lever tous les doutes quant à l’éventualité d’une complicité interne. «Ou alors, le sous-traitant d’un sous-traitant qui aurait outrepassé ses droits pour permettre aux pirates de pénétrer sur le réseau», suggère François Paget.

Les enquêteurs naviguent en eaux troubles

Reste à savoir si les pirates ont laissé assez de traces pour remonter jusqu’à eux et ce mystérieux groupe qui se présente sous le nom de «CyberCaliphat». En février dernier, c’était cette même signature qui se présentait comme auteur de l’attaque du compte Twitter de Newsweek. Puis le commandement de l’armée américaine en Irak et le site internet de la Malaysia Airlines subissaient le même sort.

« We're back on Twitter after being hacked: http://t.co/Ib1pfgN3PC — Newsweek (@Newsweek) February 10, 2015 »

Une opération d’envergure a été lancée par la police britannique il y a un mois contre certains de ces pirates. Une cinquantaine de personnes ont été arrêtées, dont certains qui sont soupçonnés d’avoir collaboré au piratage du Département de la Défense des Etats-Unis. Mais aucune police du monde n’a encore réussi à mettre la main de façon catégorique sur un membre du «CyberCaliphat». Preuve que les enquêteurs naviguent en eaux troubles, l’appartenance à l’autoproclamé Etat islamique n’a jamais été revendiquée par ses organes «officiels».