Qui sont les auteurs de la spectaculaire et coûteuse attaque informatique menée contre le groupe audiovisuel francophone, en avril? S'agit-il vraiment de ce "CyberCaliphate" qui se revendique de l'Etat islamique? L'Express est en mesure de révéler que les enquêteurs s'orientent vers une autre piste. D'origine russe.

[Exclusif] Un écran noir. Et trois ministres entrent dans la lumière. De Laurent Fabius aux Affaires étrangères, à Fleur Pellerin pour la Culture et Bernard Cazeneuve à l'Intérieur, la mobilisation du gouvernement face caméra, en ce matin du 9 avril, souligne l'ampleur de l'événement. L'interruption des programmes des 12 chaînes de TV5 Monde, la veille au soir, affecte directement l'image de la France. Au travers de ce média public, vecteur d'influence de la francophonie, les assaillants ont voulu porter un coup au rayonnement international du pays.

Non seulement - chose inédite - l'attaque informatique oblige à couper le signal audiovisuel, laissant face à un écran noir 260 millions de foyers répartis dans plus de 200 pays, mais elle touche aussi les réseaux sociaux. Ayant pris le contrôle des sites Internet et des pages Facebook et Twitter du groupe audiovisuel, les terroristes en profitent pour afficher leur message de propagande : "Au nom d'Allah le tout Clément, le très Miséricordieux, le CyberCaliphate continue à mener son cyberjihad contre les ennemis de l'Etat islamique." Ce communiqué de soutien à Daech, on ne peut plus clair, vise l'intervention des forces armées françaises au Proche-Orient.

L'impact médiatique, lui, est immédiat et l'onde de choc se propage bien au-delà des frontières, suscitant l'intérêt, des Etats-Unis jusqu'au Japon. Deux mois plus tard, le traumatisme se ressent encore au sein de la rédaction. Les dégâts restent visibles. Le système de diffusion des programmes ne devrait pas être reconnecté à Internet avant la fin du mois. "Je ne souhaite à personne de vivre ce que nous avons traversé", explique Hélène Zemmour, directrice du numérique.

Yves Bigot, directeur général de TV5 Monde, estime à 5 millions d'euros la reconstruction des installations de l'entreprise. REUTERS/Benoit Tessier

[Offre limitée] Spécial rentrée. 1€ par mois

Je m'abonne

Pour cicatriser ces blessures, le traitement va se révéler long et dispendieux. "La reconstruction de nos installations devrait coûter au moins 5 millions d'euros dès cette année", estime Yves Bigot, directeur général de TV5 Monde. L'équivalent de près de 5% du budget annuel (109,7 millions d'euros). Ce n'est pas tout : quelque 2,5 millions supplémentaires devront être dépensés chaque année afin d'empêcher de nouvelles attaques. Une aide financière n'a donc jamais été aussi urgente, au moment même où l'audiovisuel public est mis à la diète. Et le dossier est sensible, il va falloir présenter l'addition aux autres actionnaires : le Canada, le Québec, la Suisse et la Belgique.

"Tout comme les appartements détenus en multipropriété ne sont jamais des références en matière de décoration, le réseau informatique partagé de TV5 n'a jamais été un modèle de sûreté", estime Nicolas Arpagian, directeur scientifique de l'Institut national des hautes études de la sécurité et de la justice. La ministre de la Culture du Québec, Hélène David, a déjà évoqué cette affaire avec Yves Bigot lors de son passage à Paris, à l'occasion de l'entrée à l'Académie française de l'écrivain Dany Laferrière.

Dans l'immédiat, l'enquête confiée à plusieurs services antiterroristes se poursuit. Avec son lot de surprises : de nouveaux indices, auxquels L'Express a eu accès, conduisent à présent à s'interroger sur l'identité et les motivations des assaillants à l'origine de cette opération sans précédent contre un média. En clair : les responsables ne seraient pas forcément ceux que l'on croit.

Un programme malveillant venant d'un serveur au Brésil

Le 27 avril dernier, pas moins de 43 médias sont invités à se rendre au siège du Secrétariat général de la défense et de la sécurité nationale. Des chaînes comme France Télévisions, TF 1, Canal+ou M6, mais également des radios - RTL, NRJ, Radio France... - ou encore les sites Internet d'information (Le Monde, Le Figaro, Les Echos...), viennent de recevoir des directives très claires sur la conduite à tenir. Un document de plusieurs pages portant la mention "diffusion restreinte" leur est remis. Dans cette note sensible, dont nous avons pu prendre connaissance, figurent différents éléments techniques. Elle est le fruit de l'enquête menée à TV5 Monde par le cyberpompier de l'Etat: l'Anssi.

Les terroristes ont aussi piraté la page Facebook et le compte Twitter du groupe. REUTERS/Christian Hartmann

L'Agence nationale de la sécurité des systèmes d'information, placée sous la responsabilité du cabinet du Premier ministre, a dépêché une équipe d'une quinzaine de personnes au siège parisien du groupe audiovisuel, avenue de Wagram, pour éteindre l'incendie. Sur place, les agents ont constaté que des équipements de marque Cisco avaient été endommagés. "Il s'agit clairement d'un acte de sabotage", conclut l'Anssi, sans faire d'autres commentaires. Les dégâts touchent des machines (encodeurs et multiplexeurs) nécessaires à la diffusion des programmes.

Avant de passer à l'acte, les pirates ont pris leur temps. Après avoir pénétré le système informatique de TV5 Monde en début d'année, ils ont réussi à s'approprier tous les droits, sortes de sésame, pour visiter les moindres recoins du réseau interne de la chaîne, le cartographier, et comprendre ainsi son fonctionnement. Surtout, dans sa note, l'agence détaille les indices (appelés aussi indicateurs de compromission) laissés par les assaillants lors de leur passage. Elle mentionne également une adresse Internet d'où a été envoyé un logiciel malveillant (malware). Des données précieuses.

Afin d'éviter que d'autres acteurs du secteur ne subissent le même destin, l'Anssi demande expressément aux 43 médias de mener discrètement l'enquête au sein de leur propre réseau. Si les traces des assaillants sont découvertes, l'organe de presse doit immédiatement en informer le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (Cert).

L'Express a remis ces éléments confidentiels à la société de sécurité informatique Trend Micro. Au terme de son investigation, l'entreprise nippone a conclu que le programme malveillant provenait d'un serveur situé au Brésil. Son propriétaire, lui, était basé à São Paulo. Plusieurs codes y sont hébergés. "L'un d'entre eux est un malware bancaire. Il a notamment déjà été utilisé en Espagne et au Brésil. Ce programme a aussi été téléchargé en France au mois de mars...", note Loïc Guézo, responsable du développement stratégique chez Trend Micro.

Une tactique employée aux échecs, appelée "avalanche de pions"

Pour Nicolas Ruff, autre expert en sécurité, il ne fait aucun doute que les assaillants mènent des opérations sophistiquées depuis au moins 2010. "Les indices laissés et le mode opératoire, souligne-t-il, sont les mêmes que ceux retrouvés dans d'autres cas." Trend Micro aboutit à la même conclusion. "Grâce aux données fournies par L'Express, nous estimons que l'attaque pourrait avoir pour origine un groupe bien connu sous l'appellation 'Pawn Storm'."

Démasqué en octobre 2014 par Trend Micro, Pawn Storm se reconnaît, notamment, grâce à son modus operandi très spécifique : l'utilisation de plusieurs outils et de différentes stratégies pour toucher une cible. Une tactique employée au jeu d'échecs et surnommée "avalanche de pions" (pawn storm). "Dans notre cas, nous avons aussi subi de multiples assauts, portant sur différents points d'entrée de notre infrastructure", confirme Yves Bigot.

Pour les analystes de la société FireEye, les pirates sont liés au Kremlin et ciblent souvent des opposants au régime. REUTERS/Beck Diefenbach

Par le passé, les objectifs privilégiés de ce groupe ont été les systèmes informatiques de la Maison-Blanche, des membres de l'Organisation du traité de l'Atlantique Nord (Otan), mais aussi des internautes renommés ayant interviewé Barack Obama sur YouTube en janvier dernier, note Trend Micro. Des dissidents russes et des activistes ukrainiens ont été victimes de ce collectif particulièrement véhément depuis le début de l'année. Une campagne récente de mails piégés a même été adressée à des personnes proches du dossier sur le "corridor Sud". Ce projet, destiné à faciliter l'acheminement de gaz naturel d'Azerbaïdjan vers l'Europe d'ici à 2020, doit permettre de diminuer la dépendance au gaz russe.

Derrière le leurre de la piste djihadiste, le Kremlin?

Ces différents exemples, et leurs liens directs avec les intérêts de Moscou, ont poussé la société de cybersécurité FireEye à approfondir ses investigations. Pour cette entreprise américaine, les pirates sont liés au Kremlin et ciblent souvent des opposants au régime, des journalistes ou des organisations militaires aux Etats-Unis et en Europe. Deux autres éléments viennent à l'appui de ses conclusions : les lignes de codes ont été tapées sur un clavier cyrillique et à des moments correspondant aux heures de bureau à Saint-Pétersbourg et à Moscou. FireEye a baptisé ce même groupe d'un autre nom : "APT28".

"Leur mode opératoire est toujours le même. Ils envoient un mail piégé très bien conçu adressé sur la messagerie personnelle de la victime, un compte Gmail ou Yahoo ! La personne piégée se laisse berner en cliquant sur un lien et donne ses identifiants professionnels, aussitôt récupérés par les assaillants", décrypte Yogi Chandiramani, directeur technique Europe chez FireEye. Plusieurs organes de presse ont déjà été visés par le passé : un site d'information tchétchène, Kavkaz Center, le journal bulgare Standart News, ou encore le site Al-Wayi News. En France, trois ou quatre entreprises dans le domaine de la défense, ayant participé en 2014 au Salon Eurosatory, ont également reçu ces mails piégés.

L'accumulation de ces éléments sème le doute sur la réalité de la revendication du CyberCaliphate dans le piratage de TV5 Monde. De source judiciaire, l'implication d'APT28 (ou Pawn Storm) semble se confirmer et la piste djihadiste, elle, s'éloigne. "Il pourrait s'agir d'un leurre, comme nous l'ont suggéré les experts de l'Anssi", explique le directeur de la chaîne.

Seule certitude : les relations entre la France et la Russie se sont dégradées ces derniers mois. François Hollande a refusé de se rendre au défilé de commémoration de la victoire sur le nazisme, à Moscou, le 9 mai. Et Paris a suscité la colère du Kremlin en suspendant la livraison des navires Mistral à la Russie sur fond de crise ukrainienne. Le Vladivostok, premier bâtiment de projection et de commandement, aurait dû être livré en novembre 2014, mais il reste toujours à quai dans le port de Saint-Nazaire.

Depuis, les négociations entre les deux pays ont changé de nature et portent uniquement sur la compensation que les autorités françaises seraient prêtes à concéder. Dans Le Figaro, l'écrivain russe et ancien diplomate Vladimir Fédorovski regrettait cette affaire - reflet d'un grand danger de rupture historique entre la Russie et l'Occident : "On assiste à une sorte de retour à la guerre froide." A l'ère d'Internet.