Comme le laissaient entendre les premières pistes, la cyberattaque djihadiste dont a été victime TV5 Monde mercredi 9 avril a été enclenchée il y a plusieurs mois. Tout a commencé dès la fin janvier par l'envoi d'e-mails aux journalistes de la chaîne internationale francophone, a-t-on appris mardi de sources proches du dossier. Voici le déroulé de cette attaque planifiée de longue date.
La technique classique du "phishing". Dans la nuit du 9 au 10 avril, des pirates se revendiquant de l'organisation de l'État islamique prend le contrôle des comptes Facebook et Twitter et du site de TV5, contraignant ensuite la chaîne à interrompre sa diffusion durant plusieurs heures. Cette cyberattaque trouve son origine dans un e-mail envoyé fin janvier à l'ensemble des journalistes de la chaîne, selon la technique classique du "phishing". Trois d'entre eux y répondent, permettant aux "hackers" de pénétrer dans le système de la chaîne par des logiciels de type "Cheval de Troie".
La deuxième phase lancée trois semaines avant l'attaque. Trois semaines avant l'attaque, en mars, la deuxième phase de l'offensive est lancée, et un virus contamine plusieurs ordinateurs de TV5 Monde. Puis le 9, l'offensive proprement dite commence, avec l'attaque des serveurs, pendant plusieurs heures : les serveurs sont attaqués, puis les réseaux sociaux. "Cette attaque est à la fois simple dans son déclenchement", avec la technique du 'phishing' qui a permis "de faire pénétrer le ver dans le fruit", et "très sophistiquée dans son déroulé avec un logiciel compliqué", a expliqué l'autre source proche du dossier. Ce qui a permis son déclenchement, c'est "comme toujours, une faille humaine au début", a-t-elle poursuivi.
Encore de nombreuses zones d'ombre. Il n'est pas permis, en l'état des investigations, de déterminer l'origine géographique de l'attaque, ni le nombre de "hackers" derrière elle, selon une autre source proche du dossier. Il sera extrêmement difficile aux enquêteurs de remonter à la source de l'offensive. La DGSE (Direction générale de la sécurité extérieure) et la Défense sont les services disposant des moyens les plus adaptés pour mener ces investigations informatiques et tenter de remonter de serveur en serveur jusqu'à la source de l'attaque.
"Des compétences techniques exceptionnelles". À la suite des attentats de Paris, des dizaines de "cyberattaques" sur des sites français, notamment institutionnels, ont été relevées. Mais il s'agissait d'offensives de moindre envergure et de plus faible niveau technique, notamment des envois massifs de mails pour provoquer des dénis de service. L'attaque sur TV5 Monde "a été massive" et "a mobilisé des compétences techniques exceptionnelles", a commenté mardi sur Europe 1 le ministre de l'Intérieur Bernard Cazeneuve.
>> LIRE AUSSI - Bernard Cazeneuve : "Il n'y a pas de surveillance de masse"
>> LIRE AUSSI - TV5 Monde : comment un tel piratage est-il possible ?
>> LIRE AUSSI - TV5 Monde : Qui sont les pirates du "CyberCaliphate" ?
>> LIRE AUSSI - Le piratage de TV5 Monde, une cyberattaque d'une ampleur inédite