La Corée du nord est ouvertement soupçonnée par les Etats-Unis d'avoir commandité le piratage de Sony Pictures, victime d'une colossale fuite d'informations confidentielles et auparavant ciblée par des menaces à peine voilées tant de la part de Pyongyang que de mystérieux hackers, incitant la firme nippone à annuler la sortie du film The Interviewqui met en scène un complot de la CIA visant à assassiner le dirigeant nord-coréen Kim Jong-un. Tout cela a l'air trop beau et trop simple.
La faute à Kim ?
L'éventuelle culpabilité de Pyongyang dans ce piratage repose sur des similitudes entre le code logiciel utilisé par les hackers (nord-coréens ?) et celui d'un autre utilisé courant 2013 contre des banques et des médias sud-coréens. À ce jour, aucun document technique - même sommaire – attribuant ce piratage à Pyongyang n'a été publiquement exposé. En réalité, le seul lien de cause à effet entre le piratage de Sony Pictures et la Corée du nord est ce sulfureux film The Interview... qui ne fut mentionné par l'obscure mouvance hacktiviste Guardians of Peace qu'après plusieurs jours de buzz médiatique. Ce long métrage n'est aucunément évoqué dans le défacement d'écran et encore moins dans la demande de compensations financières emailée à la firme nipponne peu avant la brutale intrusion dans ses serveurs.
Tout semble indiquer que les hackers aient habilement saisi le prétexte en or de la prochaine diffusion de The Interview à la volée pour commettre leur méfait. En outre, leur intrusion n'a vraiment rien d'exceptionnel – hormis son ampleur - par rapport aux multiples attaques persistantes avancées (ou APT : Advanced Persistent Threat) qui ne sont guère l'apanage de hackers gouvernementaux et ciblent des myriades d'entreprises sur de longues périodes (des mois et parfois des années) de par le monde.
Quel professionnel sérieux de la cybersécurité peut croire un instant que l'infiltration profonde des serveurs de Sony Pictures, l'identification des failles de sécurité et des niveaux de confidentialité (authentifications, privilèges, comptes et codes bancaires, éléments de propriété intellectuelle, etc) et l'exfiltration furtive de plusieurs centaines de téraoctects de données (à haute valeur ajoutée et donc vendables au plus offrant) soient le fruit d'un ponctuel coup d'éclat ? Et si la brèche de sécurité avait été ouverte et exploitée depuis belle lurette à l'insu de la victime par des anciens salariés / partenaires ou par le cybercrime organisé ? Ce filon aurait-il été ensuite transmis à des tiers plus déterminés et mus par d'autres mobiles ?
Avant de poursuivre, analysons brièvement le piratage de Sony Playstation Network afin de mieux circonscrire les turpitudes de Sony Pictures.
PSN down
Entre le 17 et le 19 avril 2011, la plate-forme de jeux vidéo PlayStation Network fut victime d'une cyberattaque spectaculaire revendiquée par la mouvance hacktiviste Anonymous, puis du vol des données personnelles de 77 millions d'utilisateurs : noms, emails, dates de naissance, adresses postales, pseudonymes, mots de passe, coordonnées bancaires, identifiants blogs, etc. Peu après l'incident, le Playstation Network fut mis hors-service pendant près d'un mois pour cause de maintenance. Des courriels frauduleux (spear fishing) imitant l'infographie et la mise en page de Sony Computer Entertainement furent envoyés à un nombre inestimable d'abonnés de Playstation Network. Craignant que certains d'entre eux soient victimes de fraudes bancaires, la société Visa recommanda de surveiller et signaler toute activité suspecte aux banques. Des commerces dépendant de Playstation Network furent menacés et s'orientèrent vers la console concurrente Xbox (Microsoft) et sa plate-forme Xbox Live pour assurer leur survie. Le cours de l'action Sony chuta de 8% à la bourse de Tokyo et La firme nippone fut traînée en justice aux Etats-Unis, au Canada et au Royaume-Uni par des utilisateurs mécontents. Au final, elle déboursa plus de deux milliards de dollars pour compenser ses abonnés, reconfigurer et mieux sécuriser sa plate-forme.
La mouvance hacktiviste Anonymous - qui n'est guère portée sur le vol de coordonnées bancaires - nia toute implication dans le piratage de Playstation Network et émit l'hypothèse de hackers solitaires, qui fit ensuite l'objet de remises en question et de furieux débats internes. Victime du plus colossal vol de données personnelles, Sony avait péniblement affronté une crise aux dimensions multiples (cybersécuritaire, opérationnelle, médiatique, juridique, financière et commerciale) et ne put jamais établir l'identité des pirates. En octobre 2011, le PSN fut une seconde fois victime de pirates inconnus qui dérobèrent les données personnelles de 93 000 utilisateurs...
L'intrusion menée par Anonymous dans le Playstation Network aurait-elle mis la puce à l'oreille de hackers plus vénaux ? Cette intrusion aurait-elle ouvert une brèche ensuite exploitée par le cybercrime organisé ? Y a-t-il eu un quelconque « passage du bâton » ou quelque échange de bons procédés entre un membre d'Anonymous (agissant en solitaire) et le cybercrime organisé ?
Peut-on envisager des scénarios similaires impliquant des hackers aux ordres de Pyongyang, des hackers solitaires et/ou de véritables cybercriminels (basés en Amérique ou en Asie), de surcroît très au fait des jeux médiatiques ? Les hackers nord-coréens auraient-ils drastiquement amélioré leurs compétences en hacktivisme et ingénierie sociale en quelques clics ? Pourquoi réclament-ils vertement des compensations financières qu'ils ne pourraient de toute façon percevoir par virement bancaire, par chèque ou par Western Union / Paypal / Bitcoin ? Il s'agit de hackers (prétendument) nord-coréens, citoyens de la nation la plus fermée et contrôlée au monde. Pas de hackers nigérians, américains, russes ou chinois.
Entre influence et diplomatie en ligne
Selon le New York Times, « senior administration officials, who would not speak on the record about the intelligence findings, said the White House was debating whether to publicly accuse North Korea of what amounts to a cyberterrorism attack. Sony capitulated after the hackers threatened additional attacks, perhaps on theaters themselves, if the movie, “The Interview,” was released. Officials said it was not clear how the White House would respond. Some within the Obama administration argue that the government of Kim Jong-un must be confronted directly. But that raises questions of what actions the administration could credibly threaten, or how much evidence to make public without revealing details of how it determined North Korea’s culpability, including the possible penetration of the North’s computer networks. »
L'attribution d'une intrusion ou d'une cyberattaque demeurant le plus épineux problème de la sécurité informatique - tant sur le plan technique que juridique, pourquoi l'administration Obama incrimine-t-elle illico la Corée du nord sans fournir le moindre élément de preuve ? Nul doute que les services de renseignement américains détiennent des indices plus solides (qu'un code logiciel, des adresses IP et une heure locale nord-coréenne aisément modifiables) que Washington se garde de communiquer... afin de mieux jauger et peut-être d'influencer Pyongyang ? Tout est bon pour "tester" cet acteur aussi mystérieux qu'imprévisible, rival et voisin immédiat de la Corée du sud, ennemi juré du Japon et allié capricieux de la Chine.
Aujourd'hui, l'Internet en général et les médias sociaux en particulier relèvent à la fois d'une arène diplomatique et d'un théâtre de l'infoguerre. Les gouvernements de tous bords n'hésitent plus à plonger dans ces eaux troubles hautement favorables à des déclarations, à des accusations et à des démonstrations à l'emporte-pièce. Il en est ainsi entre Moscou, Washington et les capitales européennes depuis les débuts de la crise ukrainienne : les hyperboles, les fausses alertes, les confusions, les réductions et les intoxications font foi; sans compter la lentille déformante et grossissante des médias.
Lorsque la sécurité (ou l'insécurité) informatique s'en mêle, les débats et les enjeux sont confinés ou érigés à des niveaux d'abstraction, d'approximation et/ou de technicité trop souvent imbuvables pour le grand public, et laissant peu de place à la précision, à la différenciation, à la nuance, au détail et donc à la preuve. Pourquoi en serait-il autrement dans la crise cybersécuritaire impliquant Sony Pictures, la Corée du Nord et les autorités américaines ?