Publié par : Memento Mouloud | décembre 22, 2014

Sony, les services et la Corée du Nord

corea

Dans le passé, des systèmes du groupe Sony furent la cible d’attaques (par exemple, de son Playstation Network par des membres de LulzSec) démontrant la vulnérabilité du groupe. Le lundi 24 novembre, des salariés avaient eu la surprise en rentrant de week-end de voir s’afficher, en allumant leur ordinateur, un message endossé par les mystérieux #GOP : « Nous avons obtenu toutes vos données internes, incluant vos secrets et vos mots de passe. (…) Ce n’est que le début. Si vous ne nous obéissez pas, nous publierons ces données pour les montrer au monde entier. »

L’ensemble du système informatique mondial du groupe aurait été infiltré et en partie saccagé lors de l’intrusion. « On n’a plus accès aux emails internes et à l’internet. En attendant, on compile les données à la main », racontait ainsi au Monde, sept jours après l’attaque, le directeur de Sony Picture France, Éric Brune.

L’attaque aurait effacé de nombreuses données clés sur des serveurs et des disques durs, empêchant une réparation rapide des dégâts. La remise en route du réseau dépend également des enquêtes en cours, menée ces derniers jours par la société FireEye et le FBI. Dans un mémorandum interne consulté par Reuters et le site Vulture, le 2 décembre, des responsables de Sony Pictures ont admis auprès de leurs équipes qu’une « vaste somme de données confidentielles » avaient été « volées par les pirates informatiques, incluant des informations personnelles et des documents de travail ». Quelques jours après cette attaque, les pirates avaient annoncé avoir dérobé 11 teraoctets de données à l’entreprise américaine, soit l’équivalent de près de 3 000 DVD.

Le 1er décembre, des anonymes mirent en ligne un document sur le site Pastebin (depuis inaccessible) fournissant des liens permettant de télécharger 25,9 gigaoctets de documents (plus de 38 000 fichiers) provenant de l’entreprise. Ils contenaient de nombreuses informations sur la vie de Sony Pictures Entertainement et de plusieurs de ses services (marketing, ressources humaines, ventes, etc.).

On y trouvait un document Word non protégé, repéré par le site d’information Mashable. Appelé « password.doc » et daté de mars 2011, il affichait les informations personnelles d’un salarié de Sony Pictures, avec son mot de passe, son nom d’utilisateur et même son numéro de carte de crédit. Contacté par Mashable, Sony n’a pas souhaité commenter la divulgation de ce fichier, et le manque flagrant de sécurité informatique dont il semble être la preuve.

Le 1er décembre, le site d’information Fusion avait aussi affirmé être en possession de plusieurs documents confidentiels issus du piratage. L’un d’entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an.

Plusieurs personnes se réclamant de l’équipe « Guardian of Peace » ont communiqué avec les médias. A travers des adresses électroniques anonymes et temporaires (diffusées par exemple en même temps qu’une liste dressant l’inventaire des informations potentiellement dérobées à Sony), ils donnent des documents à des sites d’information et transmettent des précisions au compte-goutte, dans ce qui ressemble à un calendrier bien établi. « De toute évidence, cette attaque est très structurée »,  commente Thierry Karsenti, directeur technique de Check Point Software Europe, spécialisé dans la sécurité des réseaux informatiques : « D’abord, les pirates ont agi sous le radar, ont pris du temps pour se propager dans le réseau de Sony Pictures, en prendre le contrôle et en dérober des données. Puis, après le jour J, les pirates ont mis Sony dos au mur. Ils ont publié des films, puis commencé à dévoiler des données sensibles. C’est un schéma classique pour faire pression dans le cadre d’une demande de rançon, ou de représailles ciblées. »

En mars 2013, une cyberattaque de Pyongyang contre la Corée du Sud avait paralysé, en totalité ou en partie, les réseaux informatiques de plusieurs médias et établissements bancaires. Or, le FBI, qui enquête sur le piratage de Sony Pictures, a expliqué le 1er décembre avoir retrouvé des lignes de code malveillant dans le système informatique de Sony, similaires à celui utilisé contre la Corée du Sud à l’époque. Interrogée sur la responsabilité éventuelle de Pyongyang dans les dégâts causés à Sony, un porte-parole du gouvernement nord-coréen n’a par ailleurs pas démenti, déclarant simplement : « Attendez de voir ce qu’il en est. »

« En terme de cybersécurité, il n’y a pas vraiment de frontières, tient toutefois à rappeler Thierry Karsenti. C’est juste une question de moyens. Pour quelques centaines de milliers de dollars sur le marché noir, vous pouvez financer des personnes capables d’exploiter des failles dans les lignes de code de grandes entreprises. Tous types de cybercriminels auraient des avantages à tirer en réussissant à dérober des informations à Sony, ne serait-ce qu’en terme financier, et sans qu’ils ne travaillent vraiment pour un Etat. »

Des experts soulignent que des hackers font généralement tout pour effacer leurs traces et que celles laissées par les GOP sont peut-être un peu trop visibles. En outre, jusqu’au dernier communiqué menaçant d’attentat, le groupe était resté très vague sur ses revendications et aurait même envoyé, le 21 novembre, soit trois jours avant l’attaque, un mail aux dirigeants de Sony Pictures pour demander « une compensation financière ». Depuis, la Corée du Nord a officiellement, et cette fois clairement, démenti être à l’origine de l’attaque, même si elle continue à saluer une action « juste » de « supporteurs et sympathisants » visant à « mettre fin à l’impérialisme américain ».

Beaucoup d’experts en sécurité émettent des doutes sur l’identité des assaillants. Pour le hacker Marc Rogers, expert en sécurité pour CloudFlare, il est peu probable que la Corée du Nord se cache derrière cette attaque. Dans une note de blog, il estime que les erreurs d’anglais dans la communication de « Guardians of Peace » sonnent faux, comme si elles étaient fabriquées de toutes pièces. Les éléments de langage coréen trouvés dans le code ne constituent pas non plus une preuve : il suffit de changer le paramétrage de la langue sur un PC avant compilation pour introduire ce type de faux indices dans un logiciel.

Pour sa part, Marc Rogers pense qu’il faudrait chercher l’origine de l’attaque plutôt du côté des (ex-) salariés de Sony Pictures. Cela expliquerait non seulement le côté revanchard de l’attaque, mais aussi comment l’attaquant a pu disposer d’informations aussi précises sur l’infrastructure informatique. En effet, le malware est truffé de chemins réseaux et d’identifiants codés « en dur ». A moins d’effectuer un important travail de reconnaissance préalable, seule une source interne pouvait collecter ces informations.

Néanmoins l’attaque ne nécessitait pas un grand degré de sophistication. Interrogé par Bloomberg, Masayoshi Someya, un expert de Trend Micro, explique que le malware utilisé est disponible sur le marché parallèle et peut être utilisé par un quidam. Il suffit de l’adapter à l’environnement informatique de l’entreprise visée. Inutile donc de faire appel à un commando de guerriers de l’espace virtuel ou à une unité secrète. De simples mercenaires suffisent.

En fouillant quelque peu, la main secrète des services se perd dans le tissu conjonctif du spectacle et se déplace du continent asiatique vers le continent américain.

En effet, le site The Daily Beast a mis la main sur une série d’emails tirés de la boîte mails du PDG de Sony Pictures accréditant l’une des accusations des hackers selon laquelle The Interview serait en fait une opération de propagande du gouvernement américain. Ces documents montrent que Michael Lynton avait bien engagé comme consultant un analyste de la RAND Corporation – un think-tank travaillant pour le département de la défense –, un dénommé Bruce Bennett. Dans un mail envoyé le 25 juin, celui-ci se félicite de la fin choisie par les producteurs et dans laquelle on peut voir, au ralenti, Kim Jong-un mourir dans l’explosion de son hélicoptère.

Du point de vue de l’œil absolu, cette entreprise toujours inachevée de mise en transparence des êtres, certains salariés s’interrogent sur les données collectées par les pirates, et donc conservées par leur employeur. Le site Wired rapporte ainsi que deux ex-employés viennent de déposer une action de groupe pour non-respect de la loi sur la sécurisation des informations médicales.

Mediapart / Le Monde / 01 net


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Catégories

%d blogueurs aiment cette page :