PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Piratage de TV5 Monde (Acte 3) : grosses boites noires et sentiment de sécurité

samedi 11 avril 2015 à 16:26

cisco-untrustDepuis le début de cette affaire, une question nous taraude : comment des pirates ont pu avoir accès à la plateforme de diffusion des programmes pour mettre dans le noir pas moins de 11 chaînes ? Si la compromission initiale n’est pas inintéressante, ce n’est pas elle qui éveille le plus notre curiosité, mais bien ce qui est venu dans un second temps et qui a conduit à la coupure des programmes. Vu la communication bien mais pas top de TV5 Monde sur l’incident, il va falloir aller chercher les informations soi$même pour comprendre ce qui a bien pu se produire. Et au point où nous en sommes actuellement de nos recherches, le scénario d’un problème d’architecture reste la piste la plus probable : la plateforme d’encodage et de multiplexage n’aurait jamais dû être accessible aux pirates.

Même si on est peu familier avec les équipements spécifiques à une chaîne de télévision, et après de multiples visionnages du reportage de France 2, on peut commencer à songer à d’autres pistes de réflexions que celles évoquées jusque là par Breaking3.0 et Bluecoat et portant sur l’intrusion initiale.

Regardons attentivement ce passage du reportage, où on nous explique quel matériel a permis de compromettre ce qu’il identifie lui même comme « la plateforme d’encodage ». On aperçoit distinctement l’armoire qui accueille les équipements réseaux. Sur la gauche, de l’armoire, on voit des grilles de ce qui ressemble à s’y méprendre à celle d’un firewall Cisco Systems.

« C’est par là que sont passés les pirates pour infecter la plateforme d’encodage » 

Il s’agit en fait pour être précis de la plateforme d’encodage et de multiplexage. C’est dans cet article qui explique dans le détail l’infrastructure que l’on a le détail du « Network Operation Center » (NOC) :

Le NOC : Network Operations Center

L’un des éléments importants du projet concerne le NOC, installé dans un local où, au milieu de moniteurs vidéo et informatiques, six écrans 65 pouces affichent des synoptiques complets des infrastructures avec retour en temps réel de toutes les données récupérées par le SYGEPS. L’un est affecté aux réseaux informatiques (12 routeurs, 63 switchs et 150 Vlans), le second à une carte mondiale des points de réception réels de TV5 Monde avec l’état des signaux renvoyés grâce à des sondes Miranda, et le troisième à la supervision des équipements de la salle technique (600 points de mesure et 5 000 services supervisés). Les autres affichent les états des différents sous ensembles : post-production, machines virtuelles, plateforme d’encodage et de multiplexage, chaînes de traitement et serveurs de base de données. Un premier NOC est installé au siège à Paris tandis qu’un second se trouve à Hong Kong.

Cette plateforme d’encodage et de multiplexage a fait l’objet d’un appel d’offres en 2013 (TV5Monde-AO – PDF 211 ko) qui nous en dit beaucoup sur les options qui se présentaient à TV5 Monde.

Et d’après la vidéo de France 2, on commence à comprendre celle qui a été retenue puisqu’on retrouve des équipements qui ressemblent assez fortement à ceux qui sont décrits dans cet appel d’offres…

tv5-options

tv5-options-2

Ici, on voit que des durées de contrats sont affectées aux équipements couvrant probablement une maintenance. C’est une pratique courante en entreprise de déléguer aux équipementiers ce genre de compétences que l’on souhaiterait pourtant peut être avoir en interne.

Le lot 3 portant sur le stockage et les sauvegardes est lui aussi intéressant

lot3

Le Cisco Fabric Interconnect c’est un gros switch 96 ports que l’on voit en haut à droite sur lequel tous les câbles sont branchés.

Le lot 4 porte sur le système de gestion de bases de données

lot 4

Vous avez donc maintenant sous les yeux le ou les équipements qui ont été attaqués, attaque ayant conduit à la compromission de la diffusion des chaînes de TV5Monde, et toute une somme d’éléments qui commence à expliquer qu’il y a probablement une approche à revoir en matière de sécurité informatique. Jamais les pirates n’auraient dû être en mesure d’arriver sur cette plateforme de multiplexage et d’encodage.

Rappel : 

Lâcher un gros paquet de pognon pour des grosses boites noires et des technico commerciaux en costard à 5000 euros n’a jamais sécurisé quoi que ce soit, au mieux, ça donne un sentiment de sécurité et dans le pire des cas, ça donne un sentiment de sécurité. Le problème c’est qu’en pratique, la sécurité n’a que faire des sentiments.

DSI, c’est à vous de faire du sentiment : investissez dans l’humain et non dans de grosses boites noires, investissez dans les compétences humaines et non dans la quincaillerie.

Edit 12/04/2015 : Une très bonne analyse de l’infrastructure de TV5 Monde

Piratage de TV5 Monde (acte 2) : cette fois il y a des baffes qui se perdent

vendredi 10 avril 2015 à 23:49

fail at failingOn croit rêver. Naïvement, vous pensiez peut-être comme nous que le piratage de TV5 Monde que nous avons pris le temps d’évoquer ici en détail allait provoquer un électrochoc conduisant à la mise en place de bonnes pratiques en matière de sécurité informatique. Dans cet article, 20Minutes nous révèle l’impensable. TV5 Monde confie avoir bien affiché des mots de passe sur des post-it, mais que cette pratique n’était pas en place avant l’incident… non ils auraient commencé à le faire suite à l’incident.

«On ne fait pas fi du fait que c’est une bourde», a déclaré à l’AFP Yves Bigot, directeur général de la chaîne, soulignant que «les codes n’étaient pas affichés avant» la cyberattaque survenue dans la nuit de mercredi à jeudi et «n’ont rien à voir avec».

Après s’être un peu ridiculisé sur Twitter face à Arrêt sur Image en affirmant qu’il s’agissait de vieux mots de passe (puis la démonstration qui démontrait que le mot de passe Youtube en question venait tout juste d’être changé a fini par effacer son tweet), voilà maintenant que la chaine affirme que juste après s’être fait plomber, elle durcit sa sécurité informatique en affichant les mots de passe sur les murs. Quelque chose m’échappe un peu en terme de réponse incident…

Cette fois c’est vraiment prendre les gens pour des abrutis finis.

Le mot de passe a été fraichement changé

Le mot de passe a été fraichement changé

Cette blague va durer longtemps ? C’est plus drôle du tout là, c’est consternant. J’apprécie d’ordinaire beaucoup TV5 Monde, mais là avec ce genre de communication, on touche vraiment le fond.

Piratage de #TV5Monde : l’opération cyber pieds nickelés

vendredi 10 avril 2015 à 13:56

je-suis-tv5mondeUne fois de plus, c’est un banal piratage qui est monté en épingle par la classe politique pour crier au cyberdjihad. Les « cyberdjihadistes », rien que le mot a de quoi faire rire… La presse court, la presse s’emballe, tout le monde y va de sa théorie non argumentée, sans aucun élément tangible… mais le résultat est là, ce piratage de TV5Monde fait bien plus de bruit que le massacre de 148 personnes à l’Université de Garissa au Kenya, c’est consternant, c’est 2.0, c’est du djihad terroriste avec du cyber dedans, même les partis politiques relaient allègrement cette première attaque terroriste avec du cyber dedans d’une ampleur sans précédent.

Rappelons à toutes fins utiles qu’à notre connaissance, aucun routeur n’a explosé, aucune perte n’est a déplorer, en dehors d’un membre de la rédaction qui nous a confié avoir perdu une gomme qui trainait sur son bureau… et un autre qui nous signale avoir perdu le post-it avec le mot de passe de sa machine qui était collé à son écran.

CCKgoRMWMAAUyeO

Mises à jour

Edit 19H00 : Bluecoat Lab a fourni une intéressante analyse d’une variante du worm supposé avoir été utilisé pour l’attaque de TV5Monde

Edit 15H50 : Le ministère de la défense dément la confidentialité des documents publiés par les pirates

La thèse de l’attaque de haute volée avec la publication de documents confidentiels relatifs à l’identité de militaires est en train de faire psshhhhiiiiit (étonnant non ?). Le ministère de la défense dément catégoriquement que les documents publiés par les pirates étaient confidentiels.

mindef

Expliquer le piratage de TV5Monde

Cet article ne vise pas à vous faire un énième forensic sur du vent, car des éléments, personne ne semble en avoir à se mettre sous la dent, seule l’ANSSI qui a géré la résolution de l’incident et la reprise des services de la chaine en a. L’ANSSI n’est jamais très causante sur ses activités, et on peut aisément la comprendre. Donc permettez moi de douter très fortement de la fumeuse thèse de RTL qui affirme que l’attaque serait « partie de France avant de transiter par l’International ». L’attaque serait partie des locaux même d’RTL que la radio ne pourrait pas plus la pister. Notez l’absence même de conditionnel dans l’affirmation de RTL

Selon nos informations, cette attaque est partie de France, transitant par un réseau qui emploierait, d’après les services américains, une quinzaine de hackers chevronnés dans le monde.

Outre l’aberration technique « l’attaque a transité par un réseau employant une quinzaine de hackers » (WTF?!), RTL laisse entendre que ses sources, américaines, qui n’ont eu à priori pour le moment aucun accès aux données brutes de l’attaque (à moins qu’un flux permettant de corréler l’attaque n’ait été intercepté par on ne sait trop quel programme de surveillance d’Internet) auraient donc un avis vérifié sur les auteurs, leurs motivations et le déroulement de l’attaque… mouais. Autant relayer la théorie de madame Irma.

Une autre théorie sur le site breaking3.0 est plus troublante. Par delà les approximations et les extrapolations qui laissent clairement entendre que l’article a été écrit par un non technicien essayant de vulgariser les propos d’une personne plus pointue pour des encore moins techniciens, on a des choses intéressantes sur la chronologie de l’attaque. Dommage que la démonstration soit gâchée par ces approximations qui ont été reprises en coeur par de gros médias du genre « ils sont passés par Skype pour voler une adresse ip » ou le coup du « script HTML  ».  C’est un avis très personnel, mais j’ai un peu de mal à valider la thèse d’une compromission via Skype (bien que ceci soit techniquement parfaitement concevable), et même si c’était le cas, ceci ne serait qu’un vecteur anecdotique et insignifiant de l’attaque. L’information essentielle, qui ne transparaît pas dans l’article de Breaking3.0, c’est que l’intrusion a mené à une compromission du système de diffusion satellite de la chaine.

Breaking3.0 avance surtout que le code malveillant de l’attaque, un VBS a été en sa possession (ou celle de sa source), que le code malveillant, chiffré, a été cassé, et que ceci aurait permis au site de remonter jusqu’aux hackers d’origine algérienne, dont un serait en Irak. Ce serait quand même un peu plus tangible si on pouvait justement examiner ce code. Je suis par exemple curieux de comprendre la méthode de désanonymisation du flux puisque le site souligne qu’ils utilisaient un VPN, mais ce ne serait pas la première fois qu’on verrait inscrit en dur dans un code malveillant l’IP du puppet master.

Passons maintenant aux questions qui font mal

Comment, depuis l’extérieur, un attaquant peut accéder à l’infrastructure de diffusion satellite d’une chaine de télévision ?

Là, j’ai beau retourner le truc dans tous les sens, soit il y a une personne en interne qui a été complice, soit il y une clé USB infectée qui s’est baladée là où il ne fallait pas, soit les pirates ont réussi à dérober des fichiers de configuration d’un VPN les menant à l’infrastructure de diffusion, soit il y a un énorme problème d’architecture dans le système d’information pourtant tout neuf de TV5Monde… ou un trou béant dans le « firewall quasi neuf ».

Reprenons ces 4 thèses et tentons de les étayer

La complicité en interne : un complice aurait inoculé le code malveillant pour permettre aux assaillants de prendre le contrôle du système de diffusion. Ce complice doit avoir quelques solides notions d’admin et des accès privilégiés pour permettre aux pirates d’accéder à l’interface de C&C… hypothèse peu probable.

La clé USB ou le périphérique infecté : encore moins probable que la première hypothèse puisqu’il faudrait un code d’attaque sacrément élaboré pour que ce dernier vise un système peu connu du grand public, en exploite les vulnérabilités et se crée lui même un accès entrant et sortant en allant brancher avec ses petits bras musclés un RJ45 entre deux réseaux que n’importe quel DSI aurait, évidemment, pris soin d’isoler… Oh wait !

Le vol d’un accès VPN au réseau privé de diffusion : là on commence à se dire qu’on est dans le domaine du possible. En volant un téléphone portable, ou un ordinateur, ou par simple phishing, les pirates parviennent à récupérer des fichiers de configuration d’un VPN donnant un accès « royal au bar » au système de diffusion satellite, situé sur un réseau privé ne communiquant pas avec le monde extérieur (c’est un peu le concept d’un VPN).

La boulette du bidule qui n’aurait jamais du être interconnecté avec le monde extérieur : impossible donc de ne pas penser à une énorme boulette d’architecture ayant conduit, pour une raison ou pour une autre (forcément une mauvaise raison), à interconnecter de manière un peu trop ouverte un réseau par exemple accessible à la rédaction, à l’environnement de prod ou de pré-prod de diffusion des programmes. Selon un technicien, c’est la plateforme d’encodage des programmes qui a été attaquée, (source :  cette vidéo à 3’25). Et là, on peut coller des supers firewalls tout neufs, tout un cluster OpenOffice…. l’erreur est grossière et réduira à néant les bienfaits des boiboites vendues comme magiques mais qui ne patchent pas les erreurs humaines.

Cependant, une compromission est rarement le fait d’un seul paramètre, il faut souvent une somme de petites choses pour mener à une grosse catastrophe… et c’est à ce moment précis que vous pouvez sortir le popcorn.

Opération pieds nickelés in progress….

Les premières interviews « à la rédac » de TV5Monde font peur. Penth0tal sur son compte twitter lève le lièvre qui tue, et nous voilà la risée des USA, via l’article d’ArsTechnica, un article malheureusement tombant sur sa fin un peu à l’eau puisqu’il conclue sur la théorie d’un site satirique qui a publié cet article potache sur un expert russe qui aurait révélé que le mot de passe craqué à TV5Monde était « azerty12345 »… c’est évidemment un hoax, une phrase m’avait d’ailleurs mis la puce l’oreille :

estpresse

Il y avait déjà peu de doute sur le fait que TV5Monde observe de mauvaises pratiques en matière de sécurité, mais de là à afficher ses mots de passe sur des post-it collés au mur, pil poil derrière le journaliste interviewé, sous le nez des caméras, on tombe dans le pathétique.

fail

Un zoom sur les post-it vous donne le mot de passe Youtube de la chaine, qui est, tenez vous bien « lemotdepasseyoutube » … le truc nécessaire de coller partout dans les locaux dès fois que toute la rédaction soit soudainement frappée d’amnésie. Partant de là, on se demande si le mot de passe Twitter n’est pas le « lemotdepassetwitter »  et le mot de passe root du serveur web « lemotdepasserootduserverweb » … ne riez pas, on en est là.

Arrêt sur image a donc appuyé là où ça piquotte.

Le mot de passe a été fraichement changé

Le mot de passe a été fraichement changé

La réalité n’est donc pas glorieuse. TV5Monde s’est vue signaler à maintes reprises des vulnérabilités sur son site web (que ce soit par Zataz, votre serviteur, et surement bien d’autres), vulnérabilités qui ne sont d’ailleurs toujours pas corrigées au moment où nous écrivons ces lignes.

Capture_d’écran_2015-04-10_à_11_14_59

Ceci est un appel à l’injection SQL

Un autre élément qui me fait tiquer, toujours sur cette vidéo, c’est quand le DSI de TV5Monde confesse qu’il y a deux semaines, il a été notifié d’un incident (probablement par l’ANSSI), et que 2 semaines plus tard, aucun audit n’a été mené, aucun forensic… des mecs se sont baladés sur son réseau et deux semaines après, il ne sait toujours pas ce qu’ils ont bien pu y faire… dites moi que c’est une blague… pitié.

Résumons

Des trous sur le frontal, une rédaction pas forcément éveillée aux problématiques de sécurité informatique, des mots de passe faibles collés aux murs devant les caméras de télévision pendant les interviews, un réseau critique non isolé, un délai de réaction à J+15 en réponse à un incident… nous avons tous les ingrédients pour une monumentale cyberboulette qui fait quand même bien plus rigoler que du « cyberdjihad ». Et pourtant, l’infrastructure de TV5Monde n’est pas des plus dégueulasses, elle a été rénovée il y a un peu plus d’un an, le DSI nous confie que le média se situe « dans la moyenne haute » en terme de sécurité… avec ce que nous venons de voir, il y a de quoi avoir la trouille pour les autres chaînes si ce qu’il dit est vrai, et d’ailleurs sa boite noire pour arrêter les cyberdjihadistes était quasi neuve :

Jean-Pierre Verines, précise que son« système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire », soulignant même avoir un « firewall quasi neuf ». 

Mais revenons aux autres boites noires, celles que le gouvernement propose de placer chez les fournisseurs d’accès Internet…

La surenchère sécuritaire ministérielle

Collin CazeneuveOn aborde maintenant le volet le plus nauséabond de cette histoire, les réactions politiques. Il y a quand même de fortes chances qu’on soit face à une bande pieds nickelés un peu opportunistes, ayant employé des techniques peu élaborées, pour tenter de diffuser de la propagande et s’étant cassé les dents sur une application métier dont ils n’ont pas compris le fonctionnement et le workflow de publication. Ne croyez pas qu’il suffit de remplacer une vidéo par une autre et d’appuyer sur le bouton play pour que Daech abreuve toute la TNT de sa propagande… c’est un poil plus complexe. Les applications destinées aux plateformes de diffusion, c’est pas non plus Disneyland.

Mais peu importe, l’occasion est trop belle pour que pas moins de 3 ministres se donnent rendez-vous sur place pour sur-vendre leur projet de loi sur le renseignement. La manipulation est grossière.

beauvau

Des pirates opportunistes, des ministres opportunistes, voici deux ingrédients détonnants qui dicteront un vote émotif du Parlement, sur un texte qui surveillera bien plus ses concitoyens que les djihadistes.

Sur ce genre de malentendu… aucun doute, ils ont tous réussi leur coup.

fabius

Putain de post-it…

#PJLRenseignement : le pistolet qui tire dans le pied des politiques

mercredi 8 avril 2015 à 17:35
Photo Flickr : https://www.flickr.com/photos/actualitte

Photo Flickr : https://www.flickr.com/photos/actualitte

Comme nous l’évoquions hier, le pistolet à très gros canon et plein de munitions que François Hollande et Manuel Valls sont en train de s’acheter, le projet de Loi sur le renseignement, est aussi une arme défectueuse. Elle finit toujours par tirer dans le pied de ceux qui s’en servent.

Bien entendu, on peut estimer que nous sommes dans un régime politique différent de ceux cités dans le papier publié hier, que les opposants au pouvoir en place en France, quel qu’il soit, ne subiront jamais les mêmes persécutions que ceux des pays dictatoriaux. Ce serait faire peu de cas de la nature humaine et de l’Histoire récente.

Donnez à un être humain le moyen de tout savoir sur les autres, il est peu probable qu’il ne s’en serve pas. La lecture du Livre de la Voie et de la Vertu est un bon départ pour comprendre combien les dix-mille êtres sont faibles sur ce point (et sur d’autres). Quant aux hommes politiques, ils ont une fâcheuse tendance à prendre des libertés avec les règles établies par le contrat social qui nous unit. Les rapports entre Bernard Squarcini, l’ancien patron de la DGSI et Nicolas Sarkozy sont là pour le démontrer. Lorsque les révélations du Monde sur l’affaire Woerth-Bettencourt deviennent gênantes pour le pouvoir en place, l’équipe de Nicolas Sarkozy, alors président, demande au patron du renseignement intérieur d’identifier la source du Monde. Sans procédure judiciaire, les services vont se procurer les fadettes (les listes détaillées des appels téléphoniques) des journalistes du quotidien du soir.

Illégal.

L’affaire est jugée et Bernard Squarcini, condamné pour cela.

Zoophile, tendance teckels morts

Et demain, avec des grosses « boites noires » bardées d’algorithmes et de deep packet inspection placées chez les FAI, que va-t-il se passer ? Rappelons que pour fonctionner, les algorithmes prédictifs des services de renseignement devront analyser les données. Ces données, ce sont tous nos échanges opérés via les réseaux des fournisseurs d’accès à Internet en France. Ce qui va se passer, c’est que très probablement, l’exécutif aura a sa discrétion un outil lui permettant de tout savoir sur à peu près n’importe qui.

Massif ou pas, chalut ou harpon, peu importe. L’outil est là et peut cibler telle ou telle personne avec une précision chirurgicale et une efficacité totale.

Un élu qui enquiquine le pouvoir ? On lui demandera de ne pas se représenter car un certain dossier révélant ses tendances zoophiles sur des teckels morts pourrait se retrouver sur le bureau d’un journaliste. Un journaliste qui enquête un peu trop sur le pouvoir ? On lui fera savoir que certaines recherches qu’il a effectuées sur Google pourraient bien devenir publiques. Un juge « rouge » qui ennuie le pouvoir (les juges qui ennuient le pouvoir sont souvent qualifiés de « rouges », surtout quand la droite est au pouvoir), hop, on lui explique que ses échanges de selfies dénudés avec sa maitresse pourraient bien être diffusés sur Internet.  Etc.

Bien entendu, nous ne sommes pas dans une dictature et les « opposants » ne finiront pas torturés dans un cachot humide et sombre. Mais le résultat ne sera pas très différent en cela que l’opposition au pouvoir exécutif deviendra une activité à haut risque.

Balle dans le pied

Ce que ne veulent pas comprendre, par manque d’imagination – ou par peur d’être catalogués comme ayant refusé de voter les « outils nécessaires au monde du renseignement alors qu’un nouvel attentat a eu lieu et qu’il aurait pu être évité si seulement ces irresponsables de parlementaires avaient voté pour… »,  les députés et sénateurs, c’est que cet outil va se retourner contre eux. Même punition pour François Hollande et Manuel Valls.

Lorsque l’alternance aura joué, les responsables de l’opposition seront à la merci d’un nouvel exécutif et de ses boites noires. Bien entendu, on a peu de mal à entrevoir ce que ferait le Front National avec un tel outil. Mais il ne faut pas non plus beaucoup d’imagination pour évaluer ce qu’en feraient des animaux politiques comme Nicolas Sarkozy, Claude Guéant ou Brice Hortefeux…

Marc Trévidic, un ex juge anti-terroriste s’alarme du #PJLrenseignement

mercredi 8 avril 2015 à 15:00

marc-trevidic-invite-de-rtl-le-7-avril-2015

Et oui, c’est étonnant, mais c’est Yves Calvi sur RTL, hier, le 07 avril 2015, qui interview Marc Trévidic, un juge qui ne mâche pas ses mots sur les dangers du projet de loi sur le renseignement — que le gouvernement socialiste veut faire voter. Le juge s’inquiète de l’aspect éminemment politique de la lutte anti-terroriste, ayant été au premier chef concerné par l’aspect parfaitement subjectif du concept. Si le projet est voté, c’est une nouvelle ère qui débute. Vraiment. Et il le dit.