Le vol de données qui a visé Sony Pictures est un cadeau approprié pour cette époque de l’année. Et si la version officielle reflète la réalité, c’est le film « The Interview » qui est à l’origine de ce désastre. L’intrigue de ce film se base sur l’histoire de deux journalistes qui ont réussi à obtenir une interview exclusive du dirigeant de la Corée du Nord, Kim Jong-Un et échafaudent un plan pour assassiner le despote qui règne sur le Royaume ermite.
Sony, qui semble n’avoir tiré aucune leçon des attaques dont elle a été victime par le passé, comme le piratage du PlayStation Network au printemps 2011, se retrouve à nouveau au centre d’un scandale de sécurité informatique.
Retraçons un peu les faits :
D’abord, Sony Pictures Entertainment s’est fait piraté par un groupe soupçonné d’être partisan de la République populaire démocratique de Corée. Puis, les pirates ont commencé à diffuser une grande partie des données qu’ils avaient volé, comme des films, des scénarios de films inédits, des données sensibles concernant la santé des employés et des spools internes. Ensuite les pirates ont menacé d’attaquer des salles de cinéma lors de la sortie de « The Interview », Regal Cinemas, l’un des principaux exploitants de salles de cinéma, a annoncé qu’il ne diffuserait pas le film et Sony a récemment décidé de retarder sa sortie.
Tout le monde soupçonne la Corée du Nord d’avoir ordonné ces attaques. Cependant, cette hypothèse en a laissé certains sceptiques, et non sans raison. En général, quand un Etat-Nation commandite une attaque avec un groupe de hackers, il essaie de le faire aussi discrètement que possible. Après l’attaque d’une campagne ou d’un groupe d’APT (advanced persistent threat), il est commun de dire qu’un pays est probablement derrière tout ça. Mais en temps normal, l’attaquant essaie de brouiller les pistes pour ne pas se faire prendre. De plus, il est très facile de dissimuler sa véritable identité quand on utilise Internet.
Dans ce cas, le groupe qui a revendiqué l’attaque aurait posté le dessin, peu discret et assez ridicule, d’un squelette sur plusieurs ordinateurs du réseau Sony. La plupart des groupes APT n’ont pas pour habitude d’annoncer leur présence sur un réseau compromis. Le groupe Guardian of Peace a, depuis, sérieusement menacé Sony, les spectateurs et une grande partie du public américain.
Mais une question persiste : La Corée du Nord a-t-elle quelque chose à voir avec l’attaque de Sony ? Threatpost et des vingtaines d’autres organes de presse reprennent la théorie du gouvernement américain et affirment que la Corée du Nord a joué un rôle clé dans cette attaque. Bien qu’il y ait peu de détails dans les journaux concernant les informations détenues par le gouvernement américain, la Maison Blanche a annoncé qu’une intervention sur le sujet aurait lieu dans le courant de la journée.
D’un autre côté, Wired campe sur ses positions et continue d’affirmer que les preuves reliant la Corée du Nord au piratage de Sony sont faibles. Wired ainsi que Sony et le FBI, affirment qu’il est difficile de déterminer le coupable. Ces deux derniers ont d’ailleurs déclaré publiquement qu’il n’y a aucune preuve tangible de l’implication de la Corée dans cette attaque. La théorie de Wired est difficile à réfuter. Un gouvernement prendrait-il vraiment le risque d’attaquer publiquement une multinationale étrangère pour un simple film ?
Plusieurs raisons pourraient en fait justifier cela.
The Sony hack is extremely worrying. Hackers using real-world terror threats and achieving their goal is really bad for everyone
— Eugene Kaspersky (@e_kaspersky) December 18, 2014
Certains observateurs pensent que la sortie de « The Interview » est une excuse utilisée par la Corée du Nord pour échauffer ses cybermuscles : « Cela n’a rien à voir avec le film ni avec Sony » a déclaré, Dave Aitel, PDG de Immunity et ancien chercheur de la NSA, dans sa newsletter Daily Dave. Quand vous élaborez un programme nucléaire, vous devez faire exploser au moins une tête nucléaire, afin de prouver aux autres pays que vous pouvez le faire. Avec Internet, c’est la même chose. »
Comme l’a déclaré Threatpost ce matin, Aitel était l’un des premiers à soutenir publiquement l’hypothèse que la Corée du Nord était à l’origine du piratage de Sony et l’a comparé à l’implication de l’Iran dans l’attaque du Shamoon en 2012, qui a détruit 30 000 postes de travail chez Saudi Aramco, la compagnie nationale saoudienne d’hydrocarbures.
« Pour l’Iran, l’attaque presque mortelle du Saudi Aramco est une manière de démontrer que s’ils veulent, ils sont capables de le faire » affirme Aitel. C’est exactement ce qui est arrivé à Sony.
Ces arguments, bien que spéculatifs, pourraient tout à fait expliquer pourquoi ou comment la Corée du Nord pourrait être impliquée dans une attaque de ce type. Cependant, il existe aussi de solides preuves confirmant l’implication de la Corée du Nord.
Dans un article de Securelist publié un peu plus tôt ce mois-ci, Kurt Baumgartner, expert chez Kaspersky Lab a mis en avant les nombreuses similitudes entre l’attaque de Sony et les autres attaques qui ont été attribuées à la Corée du Nord. Baumgartner a souligné que les attaquants ont brouillé les pistes en déployant un malware très puissant et destructeur, baptisé Destover, qui a effacé les données sauvegardées sur les disques durs de la compagnie. Ce même malware a été utilisé pour lancer les attaques de DarkSeoul visant la Corée du Sud, et qui ont été attribuées à leurs voisins du Nord.
Just like Shamoon, Just like DarkSeoul – lot of similarities revealed by @k_sec in Sony Picture hack samples analysis http://t.co/DJE6hdkV72
— codelancer (@codelancer) December 4, 2014
La saga Sony est loin d’être finie et de nombreuses énigmes restent encore à résoudre. Des rebondissements sont attendus dans les prochains jours et on espère en savoir plus sur ceux qui se cachent derrière cette attaque et sur leurs motivations.