Piratage de TV5 Monde : qui se cache derrière Cyber Caliphate ?

Une attaque de grande envergure a paralysé la chaîne francophone et son site web durant plusieurs heures, mercredi 8 et jeudi 9 avril. Mais les hackers qui la revendiquent sont difficiles à identifier.

Une capture d\'écran du compte Facebook de TV5 Monde piraté le 9 avril 2015, montre la signature de Cyber Caliphate, un groupe de hackers se disant affilié à l\'Etat islamique.
Une capture d'écran du compte Facebook de TV5 Monde piraté le 9 avril 2015, montre la signature de Cyber Caliphate, un groupe de hackers se disant affilié à l'Etat islamique. (AFP PHOTO / TV5MONDE)

"Je suis ISIS." Cette phrase, en référence au slogan "Je suis Charlie" qui a émergé après l'attentat à l'hebdomadaire, en janvier, à Paris, est apparue en tête du compte Facebook de TV5 Monde, mercredi 8 avril. Un message identique avait déjà été affiché sur les comptes Twitter de plusieurs médias américains, piratés par des cyberjihadistes au début de l'année. A chaque fois, l'attaque portait la signature de "Cyber Caliphate".

Le groupe affirme être affilié à l'Etat islamique (EI), Isis étant l'acronyme anglais du mouvement jihadiste. Pourtant, il est difficile d'identifier avec certitude les auteurs de ces piratages. Alors qui sont vraiment les hackers responsables de l'attaque de TV5 Monde ? Francetv info revient sur ce que l'on sait du groupe Cyber Caliphate.

La signature d'attaques informatiques d'envergure

Le piratage de TV5 Monde est la première attaque de grande ampleur revendiquée par Cyber Caliphate. "[Elle] a commencé peu après 22 heures sur les réseaux sociaux, et très vite, notre système informatique interne est tombé, comme toutes nos antennes mondiales", a expliqué Hélène Zemmour, directrice du numérique de la chaîne. Une attaque qui a nécessité "plusieurs semaines de préparation", selon Gérôme Billois, expert en sécurité informatique au cabinet Solucom, contacté par francetv info. 

"Les pirates ont paralysé en même temps le site web, les pages Twitter et Facebook et le réseau de diffusion de TV5 Monde. Cela revient à synchroniser quatre attaques, menées en parallèle", poursuit le spécialiste. Selon le scénario le plus probable, les hackers auraient profité d'une faille de sécurité pour entrer dans le système interne de la chaîne. Ils auraient ensuite attendu, sans se faire détecter, afin d'accumuler suffisamment d'informations pour réussir à le paralyser complètement.

Une opération "plus complexe" que leurs précédentes attaques, souligne Gérôme Billois. La signature des hackers est apparue pour la première fois début janvier, sur les comptes Twitter de plusieurs médias américains du Maryland et du Nouveau-Mexique. Une semaine plus tard, lundi 12 janvier, Cyber Caliphate revendiquait le piratage de la page du Commandement de l'armée américaine au Moyen-Orient et en Asie centrale (Centcom). 

Capture d\'écran du compte Twitter du commandement de l\'armée américaine au Moyen-Orient piraté le lundi 12 janvier 2015.
Capture d'écran du compte Twitter du commandement de l'armée américaine au Moyen-Orient piraté le lundi 12 janvier 2015. (TWITTER / FRANCETV INFO)

Même scénario le 10 février : cette fois, les cyberjihadistes prennent le contrôle de la page du magazine Newsweek, pour y publier des messages de propagande et des menaces à l'encontre de la famille Obama, selon le Washington Post (en anglais)"Ces attaques sont plus faciles à réaliser que celle de TV5 Monde : pour prendre le contrôle d'un compte Twitter, il suffit de récupérer le mot de passe", précise Gérôme Billois, soit qu'un employé l'ait laissé apparaître quelque part, soit que les pirates réussissent à le dérober.

Capture d\'écran du compte Twitter du magazine américain \"Newsweek\", piraté par Cyber Califate, le 10 février 2015.
Capture d'écran du compte Twitter du magazine américain "Newsweek", piraté par Cyber Califate, le 10 février 2015. (TWITTER / WASHINGTON POST)

Des cyberjihadistes affiliés à l'Etat islamique ?

"Au nom d'Allah le tout Clément, le très Miséricordieux, le Cyber Caliphate continue à mener son cyberjihad contre les ennemis de l'Etat islamique", affirmait le message de propagande posté sur les comptes de TV5 Monde, mercredi 8 avril. Depuis son apparition il y a trois mois, le groupe de hackers dit agir au nom du groupe terroriste qui a pris le contrôle d'une partie de la Syrie et de l'Irak.

Une affiliation qui semble possible. En septembre dernier, l'EI avait en effet annoncé sur les réseaux sociaux la création d'un "cyber califat", constitué d'islamistes maîtrisant l'informatique, selon Fox News (en anglais). "Protégé par un programme de chiffrement développé par des jihadistes, [il leur permettrait] de préparer des cyberattaques et des piratages catastrophiques pour les Etats-Unis et l'Occident", rapporte la chaîne américaine. Une description qui rappelle fortement les méthodes de Cyber Caliphate.

"Il est très difficile d'identifier les hackers, qui ont recours à des systèmes d'anonymisation", explique Gérôme Billois. Mais il est "probable qu'il s'agisse d'un groupe de personnes qui partagent effectivement l'idéologie de l'EI", selon l'expert en cybersécurité. "Ces hackers sont de toute évidence déterminés, car l'effort technique déployé [contre TV5 Monde] est important, poursuit Gérôme Billois. Il peut toutefois s'agir d'individus qui revendiquent cette affiliation sans avoir été adoubés par le groupe terroriste."

Des pirates opportunistes ?

Ces attaques pourraient en effet ne pas avoir été commanditées par l'EI. Le 26 janvier dernier, le site de Malaysia Airlines, dont un des avions a disparu en mars 2014, a subi un "défacement" : sa page d'accueil a été remplacée par le message "404 avion non trouvé - piraté par Cyber Caliphate", rappelle le Wall Street Journal (en anglais). Mais, quelques heures plus tard, l'image d'un lézard à monocle apparaissait, suivi de la signature "Lizard Squad - Cyber Caliphate Officiel", beaucoup moins dans le ton de l'EI.

Capture d\'écran du site de Malaysia Airlines, dont le piratage a été revendiqué par le groupe de hackers Lizard Squad, le 26 janvier 2015.
Capture d'écran du site de Malaysia Airlines, dont le piratage a été revendiqué par le groupe de hackers Lizard Squad, le 26 janvier 2015. ( REUTERS)

Lizard Squad est le groupe de hackers qui a revendiqué une attaque contre les serveurs de Playstation, en août 2014, rappelle l'International Business Times (en anglais). S'ils avaient déjà affirmé agir au nom de l'EI à l'époque, il n'existerait aucun lien entre les jihadistes et les pirates, excepté "la volonté de ces derniers d'exploiter l'intérêt des médias pour le groupe terroriste", note le site américain.

Le Daily Beast (en anglais) relevait d'ailleurs, après l'attaque du Centcom, un détail troublant : Cyber Caliphate dit soutenir "ISIS". Mais cet acronyme, qui se traduit par "Etat islamique en Irak et au Levant", est utilisé par les Occidentaux et non par les jihadistes. "Si des soutiens de l'EI étaient derrière ce piratage, ils étaient soit tellement peu familiers avec le groupe qu'ils se sont trompé de nom, soit ils ont prévu cette erreur pour ressembler à des amateurs", estime le site américain.

D'autres cyberattaques ont été menées au nom du groupe islamiste depuis janvier, notamment par la "division de piratage de l'Etat islamique", selon le Daily Beast (en anglais). Ces hackers sont-ils liés à Cyber Caliphate ? S'agit-il à chaque fois de pirates indépendants qui soutiennent l'Etat islamique, sans y être affiliés ? Difficile de le savoir. Selon le journaliste David Thomson, il existe en tout cas une certitude : Cyber Califate ne figure pas parmi les "organes officiels" de l'EI.