Tech & internetCulture

Les responsables du piratage de Sony sont des cyberterroristes

David Auerbach, traduit par Peggy Sastre, mis à jour le 19.12.2014 à 7 h 39

C'est la première fois que nous assistons à une cyberattaque d'une telle ampleur, et c'est pourquoi elle est si terrifiante.

REUTERS/Pawel Kopczynski.

REUTERS/Pawel Kopczynski.

Dans une succession de cyberattaques, détectées pour la première fois le 24 novembre, un mystérieux groupe se faisant appeler les «Gardiens de la paix» a volé puis divulgué les informations personnelles et médicales de tous les employés de Sony Pictures, révélé une somme de documents internes et confidentiels, laissé l'entreprise dans un état de paralysie technologique et fait état de vagues revendications voulant que «[sa] demande soit satisfaite».

Une «demande» qui semble de plus en plus se focaliser sur le film The Interview, une comédie de James Franco et Seth Rogen dans laquelle le leader nord-coréen Kim Jong-un se fait assassiner. Sony a d'abord réagi en donnant aux salles de cinéma le choix de diffuser ou non le film, puis, voyant que les quatre plus grandes chaînes d'exploitants préféraient s'abstenir, a finalement décidé d'en annuler tout bonnement la sortie, initialement prévue pour le 25 décembre aux États-Unis. Si l'origine des attaques a pu au départ être floue, le New York Times vient d'annoncer que «des responsables du renseignement américain ont conclu que le gouvernement nord-coréen était "impliqué de manière centrale" dans les récentes attaques». Mais une chose est absolument certaine: il s'agit d'un signal d'alarme auquel nous aurions dû tendre l'oreille depuis déjà bien longtemps.

L'ampleur des destructions est impressionnante

L'importance du piratage de Sony ne vient pas de sa sophistication technologique, qui est certes impressionnante, sans être pour autant particulièrement innovante. Pour le moment, ni Sony ni le FBI n'en ont révélé les détails exacts, mais rien ne permet de dire que la manœuvre soit aussi inédite que brillante, comme a pu l'être par exemple StuxNet, l'extraordinaire virus conçu par la NSA, qui avait réussi à se faufiler dans des installations nucléaires iraniennes isolées pour les saboter. Par contre, l'ampleur des destructions qu'ont dû subir Sony et ses employés en font un événement des plus remarquables. Il s'agit sans doute de la première fois qu'une entreprise américaine d'une telle envergure pâtit réellement d'une cyberattaque aussi effroyable.

Pour avoir subi et vilipendé l'hystérie post-11 Septembre, j'aimerais souligner que la majorité des hackers, des script kiddies aux Anonymous les plus chevronnés, ne sont pas des terroristes. Concernant les Gardiens de la Paix, les choses sont différentes. Vu la violence de leurs menaces contre les cinémas diffusant The Interview«Le monde sera rempli de peur. Souvenez-vous du 11 septembre 2011»–, je ne sais pas comment les qualifier autrement.

Comparez avec les piratages les plus retentissants de ces dernières années, que ce soit le vol de millions de numéros de cartes de crédit dans les ordinateurs des magasins Target, le Fappening et ses photos de célébrités nues dérobées dans les comptes Apple ou, là aussi chez Sony, le vol des données de 77 millions de comptes PlayStation en 2011. On a affaire à de coûteux et dommageables vols d'informations privées, mais il ne s'agit que de cela: des vols. Ce qui n'est pas le cas aujourd'hui. La presse a beau saliver des ragots d'Hollywood dévoilés dans la manœuvre, et Aaron Sorkin a beau nourrir la polémique sur la responsabilité des journalistes utilisant des données volées, ces pirates-là, qu'importe leur identité, méritent réellement d'être qualifiés de cyberterroristes.

«Rien de bien exceptionnel, si nous étions en 2002»

La plupart des piratages visent un gain financier ou la révélation d'informations stratégiques ou graveleuses. Ce dernier élément entre ici en ligne de compte, mais le but premier et fondamental de ce piratage semble avoir été de nuire à Sony Pictures et à ses employés, et de le faire à un point tel qu'ils ne puissent quasiment plus fonctionner et travailler normalement. A ma connaissance, nous n'avons jamais assisté à un piratage d'une telle ampleur. Les Gardiens de la Paix ne se sont pas contentés de voler 100 TB de données sensibles (une quantité en elle-même invraisemblable), ils se sont aussi servis d'une sorte de «virus nettoyeur» pour détruire les systèmes internes de Sony et laisser toute son infrastructure dans un état de paralysie plus ou moins totale. Voyez ce que précise Kevin Roose de Fusion:

«Le réseau de Sony Pictures est ensuite resté HS pendant deux jours, obligeant les employés à se servir de leurs mails personnels, à travailler de chez eux et, dans certains cas, à revenir au papier et au crayon [...] "Rien de bien exceptionnel, si nous étions en 2002", m'a écrit un employé de Sony TV dans un message Facebook. "On voit plein d'assistants courir les bureaux avec des clés USB ou aller remettre en main propre des versions papier de documents ou de scénarios".»

Ou encore cette autre source interrogée par The Wrap:

«Tous les ordinateurs de l'entreprise sont bons à jeter et les données qu'ils contenaient ont été soit volées, soit détruites soit rendues inaccessibles. […] Le service informatique est complètement désemparé.»

Vu que le «département» sécurité de Sony ressemble visiblement à la somme des Trois Mousquetaires et de quelques frais de gestion –«trois analystes de sécurité supervisés par trois managers, trois directeurs, un directeur exécutif et un directeur général adjoint», selon Fusion– je ne leur en veux pas, même si j'en veux à Sony Pictures. La fiabilité de sa sécurité semble à peu près aussi mauvaise que celle de la Playstation en 2011, si ce n'est même pire.

Spectre d'actes authentiquement cyberterroristes

Et voilà ce qu'il y a à retenir dans cette histoire. Les systèmes de Sony Pictures n'ont pas uniquement été compromis, ils ont été anéantis, avec une entreprise aujourd'hui renvoyée à l'équivalent technologique de l'Âge de pierre. Vu comment la moindre fonction de l'entreprise repose sur cette infrastructure informatique, il n'est même pas évident que Sony soit actuellement en mesure de rémunérer ses employés normalement, car son système de paie semble aussi avoir été détruit. A ce titre, l'attaque pourrait avoir deux équivalents, comme le précise Kurt Baumgartner de Kaspersky: le virus «Shamoon», dont avait été victime en 2012 la compagnie pétrolière Saudi Aramco et, en 2013, les attaques «DarkSeoul», qui avaient ciblé des banques et des médias sud-coréens. Des événements qui ont frôlé les frontières du cyberterrorisme, sans vraiment les franchir.

En outre, si ce piratage est particulièrement dommageable pour la hiérarchie et les fichiers de Sony, en lui-même, il ne met en danger aucune vie ni aucune infrastructure critique. Mais en instaurant un climat de peur d'une manière si efficace et en lançant des menaces d'une violence si réelle, les Gardiens de la Paix font surgir le spectre d'actes authentiquement cyberterroristes. De tels actes ne sont pas effrayants parce qu'ils sont ingénieux, mais parce que quiconque disposant des bonnes ressources et d'une malveillance adéquate peut facilement les imiter.

A l'inverse, Sony a voulu insister sur la sophistication technique de ce piratage, ce qui relève à la fois de l'exagération et d'un moyen de détourner l'attention. Selon le Directeur adjoint du FBI, James Demarest, 90% des systèmes informatiques actuels n'auraient pu survivre à l'attaque des Gardiens de la Paix. Mais cela ne veut pas dire grand chose.

Les entreprises d'une sécurité «moyenne» sont menacées

Comme nous l'avons vu à de nombreuses reprises, le niveau moyen de la cybersécurité est plutôt faible. J'interprète les chiffres de Demarest ainsi: Google, Apple, Microsoft, le gouvernement fédéral et autres entreprises et institutions jouissant d'une sérieuse expertise en matière de sécurité informatique auraient pu facilement résister à l'attaque, mais celles qui sont plus proches de la moyenne ne peuvent pas encore parer aux quelconques ficelles que les Gardiens de la Paix ont tiré pour toucher Sony. Ce qui est particulièrement effrayant: en termes de sécurité, Sony Pictures n'était pas nulle, mais moyenne. Il est très probable que, via les mêmes vecteurs d'attaque, le même niveau de dégâts ait été infligé à un grand nombre d'entreprises. 

Pour autant, cela ne veut pas dire que nous devrions céder à la panique. Je répète: un bon système de sécurité aurait pu résister à cette attaque, mais, comparé aux piratages passés, les règles du jeu ont complètement changé. Il n'est pas question d'argent ou d'humiliation. Il est question de peur et de destruction gratuite, avec peut-être l'intention que Sony et d'autres accèdent à la demande «d'arrêter immédiatement de montrer ce film terroriste».

La menace des Gardiens de la Paix est réelle et sérieuse et présage d'un monde où les failles de sécurité ne signifient pas uniquement une perte de revenus ou de confiance de la part des utilisateurs d'une entreprise, mais son annihilation dans sa capacité même de fonctionner. Dès lors, tandis que les médias larmoient et que Sony s'embrase, englué dans des emails volés et des têtes à faire tomber, nous avons tous bien davantage à en apprendre sur nos propres vulnérabilités et nos sempiternelles défaillances. Et nous devons le faire sur le champ.

David Auerbach
David Auerbach (9 articles)
Auteur et ingénieur logiciel
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte