Partager cet article

L'attaque de Sony Pictures illustre le nouvel âge de la cyberguerre

Un agent de sécurité devant l'affiche de «The Interview» lors d'une avant-première à Los Angeles le 11 decmbre 2014. REUTERS/Kevork Djansezian (

Un agent de sécurité devant l'affiche de «The Interview» lors d'une avant-première à Los Angeles le 11 decmbre 2014. REUTERS/Kevork Djansezian (

Le piratage de la société américaine n’est pas le premier exemple de ce nouveau phénomène. Il ne sera pas le dernier non plus.

Le piratage des fichiers informatiques de Sony Pictures, semble-t-il en représailles contre un film ayant pour sujet un projet d’assassinat loufoque contre le leader nord-coréen Kim Jong-un, marque une nouvelle étape dans l’histoire de la cybersécurité, de la cybercriminalité et de la cyberguerre.

Jusqu’alors, la plupart des attaques informatiques (qu’elles aient été menées par la Chine, la Russie, l’Iran, la Syrie, la Corée du Nord, Israël, les Etats-Unis ou une dizaine d’autres pays, sans compter les mafias diverses ou les simples fauteurs de troubles) avaient pour but de voler de l’argent, des secrets industriels, des numéros de cartes de crédit ou des secrets touchant à la sécurité nationale.

Mais ceux qui ont piraté Sony Pictures (sans doute les services secrets nord-coréens ou des pirates à leur service) l’ont fait pour porter atteinte à la liberté d’expression, en l’occurrence en s’attaquant à la culture populaire américaine et à ses droits constitutionnels.

Matt Devost, président et PDG de FusionX LLC, l’une des plus importantes sociétés de sécurité informatique de la banlieue de Washington, m’a dit dans un e-mail mercredi matin:

«C’est le début d’une nouvelle ère. Désormais, outre le vol d’argent et les atteintes à la propriété intellectuelle, il va falloir se méfier des attaques destinées à être le plus dévastatrices possible… et à influencer notre comportement.»

Bob Gourley, co-fondateur et associé de Cognitio, une société similaire, est d’accord.

«Je suis dans le domaine de la sécurité informatique depuis décembre 1998 et je n’avais jamais rien vu de tel. Ça trouve sans doute son origine dans les premières humiliations du Web, faites à des fins de propagande (généralement le fait d’activistes pacifistes ou pour la défense des animaux). Mais c’était de la pacotille, surtout destinée à se faire de la publicité. Là, une ligne a clairement été franchie.»

Le pire est que l’attaque a eu les résultats escomptés.

Sony Pictures a annulé la sortie prévue du film en raison de menaces terroristes contre les salles qui le passeraient (même si aucun lien véritable n’a pu, pour l’instant, être établi entre les menaces d’attentats et les pirates). Si une comédie de Seth Rogen constitue une cause assez incongrue à défendre, on peut en revanche s’émouvoir de voir Sony se soumettre ainsi à des pressions politiques –surtout si ces pressions émanent de l’étranger et en particulier de Kim Jong-un.

Les pirates vont-ils désormais menacer d’autres studios si leurs dirigeants refusent d’annuler la diffusion d’un film?

Cette situation crée un précédent pour le moins problématique. Des milliers, si ce n’est des dizaines de milliers de personnes à travers le monde (allant des spécialistes militaires aux petits génies adolescents du piratage) ont la capacité de s’introduire dans les ordinateurs des grosses sociétés, notamment celles des secteurs de la culture et du divertissement, qui n’auraient jamais pensé devenir ainsi la cible de cyberattaques et n’ont donc jamais pris que des précautions très basiques pour s’en protéger. Les pirates vont-ils désormais s’attaquer à d’autres studios, ou encore à des éditeurs, à des musées, à des maisons de disques si leurs dirigeants refusent d’annuler tel film, tel livre, telle exposition ou tel album?

Le cas des casinos cible des Iraniens

Le piratage de Sony Pictures n’est pas le premier exemple de ce nouveau phénomène.

En février 2014, la société Las Vegas Sands Corp. (propriétaire des hôtels-casinos Sands, Venetian et Palazzo) a été la cible de hackers iraniens qui protestaient contre un discours de son PDG, Sheldon Adelson, qui avait appelé à larguer une bombe atomique sur l’Iran.

Sheldon Adelson a beau être un personnage détestable, il a le droit d’exprimer son point de vue sans avoir à craindre qu’un techie anonyme ne fasse intrusion dans les serveurs de sa société depuis l’étranger, engendrant pour quelque 40 millions de dollars de dégâts (pour l’instant, on estime que les dégâts engendrés par le piratage de Sony pourraient atteindre les 100 millions de dollars).

Et il y a sans doute eu d’autres attaques de ce type contre on ne sait combien d’autres sociétés. Adelson avait caché la véritable ampleur et la nature des attaques contre sa société jusqu’à ce qu’un article de ce mois-ci dans Bloomberg Business Week n’en révèle tous les détails. Dell SecureWorks, la société embauchée par Adelson pour remonter la piste de l’intrusion, a conclu que l’attaque «était une réponse aux propos du PDG sur l’Iran». Adelson avait fait retirer cette phrase du rapport avant de le rendre public.

FireEye, l’une des entreprises leaders de l’investigation informatique, a analysé les attaques dont a été victime Sony Pictures et en a conclu qu’elles avaient été menées par une entité baptisée DarkSeoul, un collaborateur régulier de la Corée du Nord, qui opère depuis le réseau wi-fi de l’hôtel St. Regis à Bangkok (la Corée du Nord, qui dispose de peu de moyens à domicile pour mener des opérations informatiques de grande envergure, emploierait des cybermercenaires basés en Chine, en Thaïlande, à Singapour et en Syrie).

Que peut faire le gouvernement?

Faut-il que le gouvernement américain s’en mêle en protestant officiellement, en prenant des mesures de représailles ou en appuyant la prévention, le traçage et la défense contre de telles attaques à l’avenir?

Pour le dire autrement, est-ce une affaire qui touche seulement les entreprises privées affectées ou a-t-on franchi une ligne en matière de diplomatie, de sécurité nationale ou (dans le cas de Sony) de défense de certaines valeurs?

Le gouvernement américain et le secteur privé (en particulier dans les secteurs de l’informatique et des télécommunications) parlementent autour de ces questions depuis trente ans. Le débat a été particulièrement vif sous le mandat de Bill Clinton. Le conseiller de Clinton en matière de contre-terrorisme et de protection des infrastructures, Richard Clarke (qui allait plus tard créer une société de consulting en sécurité informatique et écrire un livre intitulé Cyber War), souhaitait imposer des mesures de sécurité obligatoires aux entreprises. Mais les conseillers économiques de Clinton, appuyés par plusieurs PDG, s’y opposèrent farouchement.

A partir de quand un risque commercial devient-il une question de défense nationale?

 

Afin de trouver un compromis, Clinton créa les ISAC, «Information sharing and analysis centers» (centres de partage et d’analyse de l’information), à travers lesquels les institutions gouvernementales pouvaient aider les entreprises à sécuriser leurs serveurs et leurs réseaux. Bush et Obama ont renforcé ces centres, mais la participation des entreprises reste basée sur le principe du volontariat après les demandes insistantes du secteur privé et de plusieurs associations de défense des libertés civiles, qui voient d’un mauvais œil toute forme d’intrusion des autorités dans le fonctionnement d’Internet.

Ces débats impliquaient en majeure partie les dirigeants d’entreprises «d’infrastructures critiques» (banques, télécommunications, énergies, transports…), ainsi que ceux des principales sociétés d’informatique. Il s’agissait bien entendu des entités les plus susceptibles d’être piratées (et surtout de celles dont un piratage, s’il était d’envergure, pourrait affecter l’économie et la sécurité du pays tout entier).

Lors de certains de ces débats, la question d’une «ligne rouge» avait été évoquée sans toutefois être jamais vraiment définie. Si une banque est attaquée, c’est le problème de la banque, tout le monde semble s’entendre sur ce point. Mais que se passerait-il si deux, trois, quatre ou une dizaine de banques étaient victimes d’un piratage conséquent? A partir de quand un risque commercial devient-il une question de défense nationale?

A qui attribuer l'attaque?

Un autre problème que pose l’élaboration d’une politique nationale à ce sujet est la question de l'«attribution». Si un missile atterrit sur le sol américain, sa trajectoire peut être retracée jusqu’à la rampe de lancement. Si un serveur ou un réseau est attaqué, la signature du hacker peut être retrouvée, mais il est courant pour les hackers de pirater d’autres serveurs, ou d’utiliser plusieurs plateformes comme tremplins. Des analystes très compétents, que ce soit à la CIA, à la NSA ou dans des sociétés informatiques privées de plus en plus nombreuses, peuvent habituellement retrouver la provenance de l’attaque, mais ce n’est pas une science exacte. Les porte-parole nord-coréens ont applaudi le piratage de Sony, mais ont nié toute implication dans cette action. Même si Barack Obama avait l’intention de réagir d’une manière ou d’une autre, pourrait-il le faire sans aucune preuve que le régime de Kim Jong-un est réellement à l’origine des attaques?

Mais que va-t-il se passer maintenant qu’il devient évident, après le piratage d’un des principaux studios cinématographiques et d’une chaîne d’hôtels-casinos, que n’importe quelle entreprise américaine peut être la cible de hackers étrangers –et que non seulement leurs biens, mais également leurs croyances et leurs idées peuvent devenir l’objet de ces attaques? (Si l’on en croit Bloomberg Business Week, la chaîne d’hôtels-casinos d’Adelson employait cinq informaticiens pour protéger 25.000 ordinateurs.)

Les entreprises privées vont-elles commencer à demander de l’aide au gouvernement? Les autorités doivent-elles prendre en charge la sécurité des entreprises et, si oui, de quelle manière?

Nous sommes peut-être à l’aube d’une nouvelle ère, mais cela fait des décennies que les lueurs de cette aube ont commencé à poindre. Tous ceux qui avaient les ressources et le pouvoir d’affronter les défis de cette nouvelle ère ont soit fui leurs responsabilités, soit vu leurs efforts entravés. Il n’y a jamais eu de vrai débat sur les coûts, les risques, les avantages et les complexités de cette question. Peut-être l’improbable duo Sony Pictures-Sheldon Adelson aidera-t-il le débat à avoir enfin lieu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte