Les soviétiques appelaient cela une « maskirovka« . Un écran de fumée créé en un point du globe pour masquer une action ailleurs. Notre bon gouvernement de gauche n’a pas manqué d’en créer une dans le projet de Loi sur le renseignement. La focalisation des journalistes et des parlementaires sur les IMSI-catchers est une réussite totale. Prenez ce compte-rendu des débats à l’Assemblée sur le projet.

Combien d’occurrences pour le terme « algorithmes » ? Trois.

Combien d’occurrences pour « boîtes noires » ? Une.

Combien pour « deep packet inspection » ? Zéro.

Combien pour « Qosmos » ? Zéro.

« Amesys » ? Zéro.

En revanche, pour « IMSI catcher », huit occurrences.

Et pourtant, le vrai souci dans ce projet n’est pas les IMSI-catchers. Mais bien les « boites noires ».

Eh non, ce n’est pas parce que France-Info est en grève que ses auditeurs ne sauront pas que Jean-Jacques Urvoas est l’homme qui a présidé à la rédaction du projet de Loi sur le renseignement. Ce matin, le député était interrogé par la radio en grève sur l’examen de ce projet de loi et ses aspects liberticides. Le député à vanté toutes les protections, les contre-pouvoirs, selon lui, qui seront mis en place. A aucun moment l’intervieweur ou Jean-Jacques Urvoas lui-même n’ont précisé que le député avait tenu le stylo qui avait servi à écrire ce projet.

Ce n’est pas parce que Radio-France est en grève.

C’est sans doute parce que les journalistes ne comprennent rien aux aspects techniques et juridiques de ce projet (c’est organisé pour, me direz-vous).

Sans doute aussi parce que les questions qui fâchent, ce n’est pas un truc très répandu dans la presse. On a pu le voir lors de l’événement organisé à la Numa la semaine dernière sur ce thème. En entrant pleinement dans le jeu du débat, on ne pose pas les bonnes questions. Celles qui fâchent. Celles de Reflets qui font par exemple que Jean-Jacques Urvoas se lève et quitte l’événement où il est interrogé. Celles qui ne trouveront aucune réponse, comme celles posées par Reflets à la Numa. Ne pas compter sur les journalistes organisateurs pour exercer un droit de suite, ça ne sert à rien. Pas de questions qui fâchent non plus dans l’interview par Libé de Bernard Cazeneuve alors que le chapô nous prévient : « L’échange sera vif« . On cherche toujours les échanges vifs.

Non, les auditeurs de France-Info ne sauront pas. Et heureusement. Sinon, ils pourraient commencer à se poser des questions.

Depuis le début de cette affaire, une question nous taraude : comment des pirates ont pu avoir accès à la plateforme de diffusion des programmes pour mettre dans le noir pas moins de 11 chaînes ? Si la compromission initiale n’est pas inintéressante, ce n’est pas elle qui éveille le plus notre curiosité, mais bien ce qui est venu dans un second temps et qui a conduit à la coupure des programmes. Vu la communication bien mais pas top de TV5 Monde sur l’incident, il va falloir aller chercher les informations soi$même pour comprendre ce qui a bien pu se produire. Et au point où nous en sommes actuellement de nos recherches, le scénario d’un problème d’architecture reste la piste la plus probable : la plateforme d’encodage et de multiplexage n’aurait jamais dû être accessible aux pirates.

Même si on est peu familier avec les équipements spécifiques à une chaîne de télévision, et après de multiples visionnages du reportage de France 2, on peut commencer à songer à d’autres pistes de réflexions que celles évoquées jusque là par Breaking3.0 et Bluecoat et portant sur l’intrusion initiale.

Regardons attentivement ce passage du reportage, où on nous explique quel matériel a permis de compromettre ce qu’il identifie lui même comme « la plateforme d’encodage ». On aperçoit distinctement l’armoire qui accueille les équipements réseaux. Sur la gauche, de l’armoire, on voit des grilles de ce qui ressemble à s’y méprendre à celle d’un firewall Cisco Systems.

« C’est par là que sont passés les pirates pour infecter la plateforme d’encodage » 

Il s’agit en fait pour être précis de la plateforme d’encodage et de multiplexage. C’est dans cet article qui explique dans le détail l’infrastructure que l’on a le détail du « Network Operation Center » (NOC) :

Le NOC : Network Operations Center

L’un des éléments importants du projet concerne le NOC, installé dans un local où, au milieu de moniteurs vidéo et informatiques, six écrans 65 pouces affichent des synoptiques complets des infrastructures avec retour en temps réel de toutes les données récupérées par le SYGEPS. L’un est affecté aux réseaux informatiques (12 routeurs, 63 switchs et 150 Vlans), le second à une carte mondiale des points de réception réels de TV5 Monde avec l’état des signaux renvoyés grâce à des sondes Miranda, et le troisième à la supervision des équipements de la salle technique (600 points de mesure et 5 000 services supervisés). Les autres affichent les états des différents sous ensembles : post-production, machines virtuelles, plateforme d’encodage et de multiplexage, chaînes de traitement et serveurs de base de données. Un premier NOC est installé au siège à Paris tandis qu’un second se trouve à Hong Kong.

Cette plateforme d’encodage et de multiplexage a fait l’objet d’un appel d’offres en 2013 (TV5Monde-AO – PDF 211 ko) qui nous en dit beaucoup sur les options qui se présentaient à TV5 Monde.

Et d’après la vidéo de France 2, on commence à comprendre celle qui a été retenue puisqu’on retrouve des équipements qui ressemblent assez fortement à ceux qui sont décrits dans cet appel d’offres…

Ici, on voit que des durées de contrats sont affectées aux équipements couvrant probablement une maintenance. C’est une pratique courante en entreprise de déléguer aux équipementiers ce genre de compétences que l’on souhaiterait pourtant peut être avoir en interne.

Le lot 3 portant sur le stockage et les sauvegardes est lui aussi intéressant

Le Cisco Fabric Interconnect c’est un gros switch 96 ports que l’on voit en haut à droite sur lequel tous les câbles sont branchés.

Le lot 4 porte sur le système de gestion de bases de données

Vous avez donc maintenant sous les yeux le ou les équipements qui ont été attaqués, attaque ayant conduit à la compromission de la diffusion des chaînes de TV5Monde, et toute une somme d’éléments qui commence à expliquer qu’il y a probablement une approche à revoir en matière de sécurité informatique. Jamais les pirates n’auraient dû être en mesure d’arriver sur cette plateforme de multiplexage et d’encodage.

Rappel : 

Lâcher un gros paquet de pognon pour des grosses boites noires et des technico commerciaux en costard à 5000 euros n’a jamais sécurisé quoi que ce soit, au mieux, ça donne un sentiment de sécurité et dans le pire des cas, ça donne un sentiment de sécurité. Le problème c’est qu’en pratique, la sécurité n’a que faire des sentiments.

DSI, c’est à vous de faire du sentiment : investissez dans l’humain et non dans de grosses boites noires, investissez dans les compétences humaines et non dans la quincaillerie.

Edit 12/04/2015 : Une très bonne analyse de l’infrastructure de TV5 Monde

On croit rêver. Naïvement, vous pensiez peut-être comme nous que le piratage de TV5 Monde que nous avons pris le temps d’évoquer ici en détail allait provoquer un électrochoc conduisant à la mise en place de bonnes pratiques en matière de sécurité informatique. Dans cet article, 20Minutes nous révèle l’impensable. TV5 Monde confie avoir bien affiché des mots de passe sur des post-it, mais que cette pratique n’était pas en place avant l’incident… non ils auraient commencé à le faire suite à l’incident.

«On ne fait pas fi du fait que c’est une bourde», a déclaré à l’AFP Yves Bigot, directeur général de la chaîne, soulignant que «les codes n’étaient pas affichés avant» la cyberattaque survenue dans la nuit de mercredi à jeudi et «n’ont rien à voir avec».

Après s’être un peu ridiculisé sur Twitter face à Arrêt sur Image en affirmant qu’il s’agissait de vieux mots de passe (puis la démonstration qui démontrait que le mot de passe Youtube en question venait tout juste d’être changé a fini par effacer son tweet), voilà maintenant que la chaine affirme que juste après s’être fait plomber, elle durcit sa sécurité informatique en affichant les mots de passe sur les murs. Quelque chose m’échappe un peu en terme de réponse incident…

Cette fois c’est vraiment prendre les gens pour des abrutis finis.

Cette blague va durer longtemps ? C’est plus drôle du tout là, c’est consternant. J’apprécie d’ordinaire beaucoup TV5 Monde, mais là avec ce genre de communication, on touche vraiment le fond.

Une fois de plus, c’est un banal piratage qui est monté en épingle par la classe politique pour crier au cyberdjihad. Les « cyberdjihadistes », rien que le mot a de quoi faire rire… La presse court, la presse s’emballe, tout le monde y va de sa théorie non argumentée, sans aucun élément tangible… mais le résultat est là, ce piratage de TV5Monde fait bien plus de bruit que le massacre de 148 personnes à l’Université de Garissa au Kenya, c’est consternant, c’est 2.0, c’est du djihad terroriste avec du cyber dedans, même les partis politiques relaient allègrement cette première attaque terroriste avec du cyber dedans d’une ampleur sans précédent.

Rappelons à toutes fins utiles qu’à notre connaissance, aucun routeur n’a explosé, aucune perte n’est a déplorer, en dehors d’un membre de la rédaction qui nous a confié avoir perdu une gomme qui trainait sur son bureau… et un autre qui nous signale avoir perdu le post-it avec le mot de passe de sa machine qui était collé à son écran.

Expliquer le piratage de TV5Monde

Cet article ne vise pas à vous faire un énième forensic sur du vent, car des éléments, personne ne semble en avoir à se mettre sous la dent, seule l’ANSSI qui a géré la résolution de l’incident et la reprise des services de la chaine en a. L’ANSSI n’est jamais très causante sur ses activités, et on peut aisément la comprendre. Donc permettez moi de douter très fortement de la fumeuse thèse de RTL qui affirme que l’attaque serait « partie de France avant de transiter par l’International ». L’attaque serait partie des locaux même d’RTL que la radio ne pourrait pas plus la pister. Notez l’absence même de conditionnel dans l’affirmation de RTL

Selon nos informations, cette attaque est partie de France, transitant par un réseau qui emploierait, d’après les services américains, une quinzaine de hackers chevronnés dans le monde.

Outre l’aberration technique « l’attaque a transité par un réseau employant une quinzaine de hackers » (WTF?!), RTL laisse entendre que ses sources, américaines, qui n’ont eu à priori pour le moment aucun accès aux données brutes de l’attaque (à moins qu’un flux permettant de corréler l’attaque n’ait été intercepté par on ne sait trop quel programme de surveillance d’Internet) auraient donc un avis vérifié sur les auteurs, leurs motivations et le déroulement de l’attaque… mouais. Autant relayer la théorie de madame Irma.

Une autre théorie sur le site breaking3.0 est plus troublante. Par delà les approximations et les extrapolations qui laissent clairement entendre que l’article a été écrit par un non technicien essayant de vulgariser les propos d’une personne plus pointue pour des encore moins techniciens, on a des choses intéressantes sur la chronologie de l’attaque. Dommage que la démonstration soit gâchée par ces approximations qui ont été reprises en coeur par de gros médias du genre « ils sont passés par Skype pour voler une adresse ip » ou le coup du « script HTML  ».  C’est un avis très personnel, mais j’ai un peu de mal à valider la thèse d’une compromission via Skype (bien que ceci soit techniquement parfaitement concevable), et même si c’était le cas, ceci ne serait qu’un vecteur anecdotique et insignifiant de l’attaque. L’information essentielle, qui ne transparaît pas dans l’article de Breaking3.0, c’est que l’intrusion a mené à une compromission du système de diffusion satellite de la chaine.

Breaking3.0 avance surtout que le code malveillant de l’attaque, un VBS a été en sa possession (ou celle de sa source), que le code malveillant, chiffré, a été cassé, et que ceci aurait permis au site de remonter jusqu’aux hackers d’origine algérienne, dont un serait en Irak. Ce serait quand même un peu plus tangible si on pouvait justement examiner ce code. Je suis par exemple curieux de comprendre la méthode de désanonymisation du flux puisque le site souligne qu’ils utilisaient un VPN, mais ce ne serait pas la première fois qu’on verrait inscrit en dur dans un code malveillant l’IP du puppet master.

Passons maintenant aux questions qui font mal

Comment, depuis l’extérieur, un attaquant peut accéder à l’infrastructure de diffusion satellite d’une chaine de télévision ?

Là, j’ai beau retourner le truc dans tous les sens, soit il y a une personne en interne qui a été complice, soit il y une clé USB infectée qui s’est baladée là où il ne fallait pas, soit les pirates ont réussi à dérober des fichiers de configuration d’un VPN les menant à l’infrastructure de diffusion, soit il y a un énorme problème d’architecture dans le système d’information pourtant tout neuf de TV5Monde… ou un trou béant dans le « firewall quasi neuf ».

Reprenons ces 4 thèses et tentons de les étayer

La complicité en interne : un complice aurait inoculé le code malveillant pour permettre aux assaillants de prendre le contrôle du système de diffusion. Ce complice doit avoir quelques solides notions d’admin et des accès privilégiés pour permettre aux pirates d’accéder à l’interface de C&C… hypothèse peu probable.

La clé USB ou le périphérique infecté : encore moins probable que la première hypothèse puisqu’il faudrait un code d’attaque sacrément élaboré pour que ce dernier vise un système peu connu du grand public, en exploite les vulnérabilités et se crée lui même un accès entrant et sortant en allant brancher avec ses petits bras musclés un RJ45 entre deux réseaux que n’importe quel DSI aurait, évidemment, pris soin d’isoler… Oh wait !

Le vol d’un accès VPN au réseau privé de diffusion : là on commence à se dire qu’on est dans le domaine du possible. En volant un téléphone portable, ou un ordinateur, ou par simple phishing, les pirates parviennent à récupérer des fichiers de configuration d’un VPN donnant un accès « royal au bar » au système de diffusion satellite, situé sur un réseau privé ne communiquant pas avec le monde extérieur (c’est un peu le concept d’un VPN).

La boulette du bidule qui n’aurait jamais du être interconnecté avec le monde extérieur : impossible donc de ne pas penser à une énorme boulette d’architecture ayant conduit, pour une raison ou pour une autre (forcément une mauvaise raison), à interconnecter de manière un peu trop ouverte un réseau par exemple accessible à la rédaction, à l’environnement de prod ou de pré-prod de diffusion des programmes. Selon un technicien, c’est la plateforme d’encodage des programmes qui a été attaquée, (source :  cette vidéo à 3’25). Et là, on peut coller des supers firewalls tout neufs, tout un cluster OpenOffice…. l’erreur est grossière et réduira à néant les bienfaits des boiboites vendues comme magiques mais qui ne patchent pas les erreurs humaines.

Cependant, une compromission est rarement le fait d’un seul paramètre, il faut souvent une somme de petites choses pour mener à une grosse catastrophe… et c’est à ce moment précis que vous pouvez sortir le popcorn.

Opération pieds nickelés in progress….

Les premières interviews « à la rédac » de TV5Monde font peur. Penth0tal sur son compte twitter lève le lièvre qui tue, et nous voilà la risée des USA, via l’article d’ArsTechnica, un article malheureusement tombant sur sa fin un peu à l’eau puisqu’il conclue sur la théorie d’un site satirique qui a publié cet article potache sur un expert russe qui aurait révélé que le mot de passe craqué à TV5Monde était « azerty12345 »… c’est évidemment un hoax, une phrase m’avait d’ailleurs mis la puce l’oreille :

Il y avait déjà peu de doute sur le fait que TV5Monde observe de mauvaises pratiques en matière de sécurité, mais de là à afficher ses mots de passe sur des post-it collés au mur, pil poil derrière le journaliste interviewé, sous le nez des caméras, on tombe dans le pathétique.

Un zoom sur les post-it vous donne le mot de passe Youtube de la chaine, qui est, tenez vous bien « lemotdepasseyoutube » … le truc nécessaire de coller partout dans les locaux dès fois que toute la rédaction soit soudainement frappée d’amnésie. Partant de là, on se demande si le mot de passe Twitter n’est pas le « lemotdepassetwitter »  et le mot de passe root du serveur web « lemotdepasserootduserverweb » … ne riez pas, on en est là.

Arrêt sur image a donc appuyé là où ça piquotte.

La réalité n’est donc pas glorieuse. TV5Monde s’est vue signaler à maintes reprises des vulnérabilités sur son site web (que ce soit par Zataz, votre serviteur, et surement bien d’autres), vulnérabilités qui ne sont d’ailleurs toujours pas corrigées au moment où nous écrivons ces lignes.

Un autre élément qui me fait tiquer, toujours sur cette vidéo, c’est quand le DSI de TV5Monde confesse qu’il y a deux semaines, il a été notifié d’un incident (probablement par l’ANSSI), et que 2 semaines plus tard, aucun audit n’a été mené, aucun forensic… des mecs se sont baladés sur son réseau et deux semaines après, il ne sait toujours pas ce qu’ils ont bien pu y faire… dites moi que c’est une blague… pitié.

Résumons

Des trous sur le frontal, une rédaction pas forcément éveillée aux problématiques de sécurité informatique, des mots de passe faibles collés aux murs devant les caméras de télévision pendant les interviews, un réseau critique non isolé, un délai de réaction à J+15 en réponse à un incident… nous avons tous les ingrédients pour une monumentale cyberboulette qui fait quand même bien plus rigoler que du « cyberdjihad ». Et pourtant, l’infrastructure de TV5Monde n’est pas des plus dégueulasses, elle a été rénovée il y a un peu plus d’un an, le DSI nous confie que le média se situe « dans la moyenne haute » en terme de sécurité… avec ce que nous venons de voir, il y a de quoi avoir la trouille pour les autres chaînes si ce qu’il dit est vrai, et d’ailleurs sa boite noire pour arrêter les cyberdjihadistes était quasi neuve :

Jean-Pierre Verines, précise que son« système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire », soulignant même avoir un « firewall quasi neuf ». 

Mais revenons aux autres boites noires, celles que le gouvernement propose de placer chez les fournisseurs d’accès Internet…

La surenchère sécuritaire ministérielle

On aborde maintenant le volet le plus nauséabond de cette histoire, les réactions politiques. Il y a quand même de fortes chances qu’on soit face à une bande pieds nickelés un peu opportunistes, ayant employé des techniques peu élaborées, pour tenter de diffuser de la propagande et s’étant cassé les dents sur une application métier dont ils n’ont pas compris le fonctionnement et le workflow de publication. Ne croyez pas qu’il suffit de remplacer une vidéo par une autre et d’appuyer sur le bouton play pour que Daech abreuve toute la TNT de sa propagande… c’est un poil plus complexe. Les applications destinées aux plateformes de diffusion, c’est pas non plus Disneyland.

Mais peu importe, l’occasion est trop belle pour que pas moins de 3 ministres se donnent rendez-vous sur place pour sur-vendre leur projet de loi sur le renseignement. La manipulation est grossière.

Des pirates opportunistes, des ministres opportunistes, voici deux ingrédients détonnants qui dicteront un vote émotif du Parlement, sur un texte qui surveillera bien plus ses concitoyens que les djihadistes.

Sur ce genre de malentendu… aucun doute, ils ont tous réussi leur coup.

Putain de post-it…