Alors que les cyber-djihadistes avaient été soupçonnés d'être à l'origine de l'attaque massive contre TV5 Monde, c’est finalement la piste russe qui est explorée. Des représailles autour de la guerre en Ukraine couverte par la chaîne francophone ? Retour à la « guerre froide» ?

Selon la société de sécurité FireEye, l’attaque qui avait complètement bloqué la chaine TV5 en avril dernier aurait été attribuée à tort à la mouvance djihadiste.

Le groupuscule ATP28 Russia (aussi connu sous le nom de Pawn Storm, Tsar Team, Fancy Bear ou encore Sednit) a peut-être utilisé le nom d'ISIS afin de brouiller les pistes.

Les experts de la société de sécurité semblent en effet remarqué un certain nombre de similitudes entre les attaques TTP utilisées par le groupe russe et celles qui a bloqué TV5 Monde.

Pour  Jen Weedon, directeur technique chez FireEye, « Il y a un certain nombre de points communs » :

« Le site Cyber Caliphate où ont été publiées les données sur le piratage de TV5 Monde était hébergé sur un bloc d'IP qui est le même bloc d'IP que des infrastructures connues d’APT28, et utilise le même serveur et bureau d'enregistrement que celui utilisé par APT28 dans le passé ».

Jen Weedon a confirmé qu’au moment de l'attaque contre TV5Monde, d'autres journalistes ont été ciblés par le groupe d’APT28 et les attaques ont été coordonnées par la même infrastructure de piratage utilisée par l'équipe russe.

Les experts de FireEye avaient  publié en octobre 2014un rapport détaillé sur ATP28, indiquant que le groupe est composé par de cyber-pirates parrainés par un État afin de lancer des campagnes d’espionnage sur de très longues périodes contre les intérêts des États-Unis, des organisations de sécurité européennes et des entités gouvernementales d’Europe de l'Est.

Les pirates ont également visé les participants d'expositions européennes de défense, notamment l'Euro naval 2014, l’Euro Satory 2014, le Counter Terror Expo et le Salon aéronautique de Farnborough 2014.

(1)           Voir précédents articles :