Qui se cache derrière l’attaque de TV5 monde ? Au moment de l'attaque le 8 avril, tous les regards s'étaient tournés vers l'organisation Etat islamique. Il faut dire que la signature ("CyberCaliphate") et la photo qui accompagnait l'attaque (un visage recouvert d'un keffieh) étaient explicites. Sur les comptes Facebook et Twitter de la chaîne, des messages de propagande djihadiste avaient été diffusés. Mais deux mois plus tard, on apprend que l'enquête, ouverte par le parquet antiterroriste, s'oriente vers "un groupe de hackers russes", selon des informations de l'hebdomadaire L'Express confirmées à Europe 1.
Un groupe aguerri. Ce groupe de hackers russes est connu d'entreprises de cybersécurité sous les noms de "Sofacy group" ou "APT28". Selon un rapport publié en 2014 par la société américaine FireEye, APT28 est actif depuis 2007 au moins et aurait régulièrement lancé des attaques, notamment sur des cibles en Europe de l'Est, en Géorgie et contre des organisations telles que l'Otan ou l'OSCE. Selon un autre rapport de la société japonaise Trend Micro, publié la même année, le groupe de hackeurs a visé des dissidents russes ainsi que des intérêts américains, notamment des infrastructures militaires et des ambassades.
Des méthodes sophistiquées. Les enquêteurs ont pu remonter la trace des hackers par un "travail d'investigation sur les adresses IP des ordinateurs d'où sont parties les attaques", a indiqué une source proche du dossier. Après le violent piratage subi par la chaîne, "on nous avait rapidement communiqué que, dans ce genre d'affaires, les revendications pouvaient être de fausses pistes pour égarer les enquêteurs, voire les opinions", fait savoir à Europe 1 Yves Bigot, directeur général de TV5 Monde, qui ajoute : "On nous avait recommandés la plus grande prudence sur la piste [cyberdjihadiste], sans pour autant l'exclure".
Selon les rapports des deux sociétés de cybersécurité, la cellule utilise des méthodes très sophistiquées, notamment pour recueillir mots de passe et codes d'accès. D'après nos informations, les hackeurs seraient passés par un prestataire de la chaîne francophone pour pénétrer le système informatique de TV5 Monde et le mettre à genoux. Ils auraient notamment récupéré un fichier contenant l'ensemble des mots de passe des postes de la chaîne, qui n'avait pas pu émettre pendant plusieurs heures.
Une attaque venue du Kremlin ? Dans l'ombre d'APT 28, des entreprises de cybersécurité américaines voient la silhouette du gouvernement russe. L'ampleur des moyens déployés, les données techniques recueillies par les auteurs et le fait que cette cellule mène des attaques avec régularité témoigne, selon FireEye, du fait qu'elle est "soutenue par un gouvernement, plus précisément un gouvernement basé à Moscou". L'entreprise américaine parle d'"un groupe aguerri de développeurs et d'opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, des données qui ne pourraient être mises à profit que par" un acteur étatique. Le patron de la chaîne se "demande pourquoi TV5 Monde serait une cible pour un groupe russe, quel que soit le commanditaire". "Pourquoi s'en sont-ils pris à nous puisque le but avéré était de nous détruire ?", continue Yves Bigot. Dans un contexte diplomatique délicat avec Moscou, "rien ne permet d'impliquer les services secrets russes", répond-on côté français.