L’affaire Sony Picture Entertainment (SPE) constitue probablement sinon un tournant, du moins un de ces grands marqueurs historiques qui font date, du moins dans la petite histoire de la cyberconflictualité. Pour deux raisons : la première tient à la cyberstratégie d’entreprise, puisque désormais les PDG ne pourront plus déléguer la cybersécurité à un vague sous-collaborateur du DSI. Avec Sony, chaque dirigeant prend conscience que la seule valeur de son entreprise (ou presque…) ce sont les informations. Et que le cyber, c’est d’abord une affaire d’information. La seconde raison tient à la couche géopolitique qui très rapidement fut ajoutée par le gouvernement américain, mettant en cause, de façon peu convaincante, la Corée du Nord. Ces deux caractéristiques exceptionnelles donnent à l’affaire SPE une notabilité qui restera.
Les « preuves » de l’implication nord-coréenne restent peu convaincantes, ainsi que les spécialistes de sécurité informatique l’ont tous affirmé et tout d’abord Charles Bwele. Par exemple, Fauxtribution ?, Piratage de Sony : pourquoi est-il très peu probable que la Corée du Nord soit à l’origine de l’attaque ?, The Evidence That North Korea Hacked Sony Is Flimsy par Wired ou encore le fameux analyste Bruce Schneider, Reacting to the Sony Hack. Mais cela, un analyste comme Fred Kaplan l’ignore qui affirme dans Slate que L’attaque de Sony Pictures illustre le nouvel âge de la cyberguerre. Pas totalement faux, mais avec beaucoup d’approximations.
Le virus utilisé, Festoyer, aurait déjà été employé par exemple pour l’affaire Dark Seoul en 2013 ou pour Shamoon, en 2013 également, qui visait cette fois la compagnie saoudienne Aramco (SPE victime d’un logiciel malveilla…). Selon K. Baumgartner, cité dans le billet, il s’agit à chaque fois de groupes « sans histoire ou réelle identité » qui ont « tenté de disparaître après leur acte ». Autrement dit, il semble que nous soyons en présence d’une équipe qui a récupéré un virus déjà existant, l’a un peu adapté et transformé et l’a utilisé contre Sony. Certes, il est possible que la Corée du Nord ait « commandité » l’affaire, mais ce n’est qu’une possibilité et en tout cas, on n’en a pas la preuve. Il faut ainsi distinguer le plausible du probable. De là à estimer que la Corée du Nord a fait exprès d’utiliser un maliciel simple (comme par exemple ici), c’est excessif. Ainsi, rien n’est prouvé dit avec justesse 38° nord.
Les rapports les plus récents, dont on a pris connaissance le 30 décembre, suggèrent que loin d’être commis par des pirates étatiques, le vol des données de SPE serait le fait de hackers privés, probablement nord-américains voire russes, et mettant probablement enjeu un complice, ex agent de Sony qui aurait été renvoyé au début d’année et en aurait conçu un grand ressentiment. La thèse du complice interne prend du corps, elle qui avait toujours eu une certaine faveur, tout simplement parce qu’on ne vole pas des téra-octets de données en un weekend sans être parfaitement au courant de l’architecture interne de la cible… Souvenez vous de Stuxnet : il semble probable que les auteurs avaient répliqué le SCADA de Siemens pour tester leur charge en laboratoire….
A côté de cette affaire de piratage s’est ajouté une deuxième affaire, celle du discours de la Maison Blanche et du FBI. En ce sens, si on ne peut parler de hacking d’État, il s’agit désormais d’une affaire d’État. En effet, le gouvernement américain a nommément accusé la Corée du Nord et l’a menacée de représailles. Certains voient dans les pannes à répétition de l’Internet nord-coréen la preuve de cette riposte américaine.
Les autorités américaines se sont un peu précipitées. D’une part, la désignation du coupable par le FBI a été très rapide. Or, normalement les enquêtes Forensic prennent du temps, ensuite on ne savait pas que la FBI disposait de telles capacités. D’autre part, entre avoir l’intime conviction et désigner publiquement le coupable, il y a une marge. Celle-ci a été franchie peut-être sous le coup de l’émotion, peut-être par calcul.
On imagine bien ainsi que les États-Unis ne craignent pas vraiment la Corée, croquemitaine pratique pour justifier tout un tas de programmes militaires (DAMB…). Mais en l’accusant, ils rendent service à leurs alliés régionaux (Corée du sud, Japon) et mettent la pression sur la Chine qui contrôle l’accès à l’Internet chinois. Voici pour l’extérieur. A l’intérieur, l’affaire est fort utile pour peser sur les grandes compagnies américaines qui estiment depuis fort longtemps ne pas avoir besoin de l’intervention de l’État dans leurs affaires. Le précédent Sony permettra certainement à l’administration d’avancer ses pions en faveur de la cyberprotection accrue des entreprises.
Ainsi, il y a deux affaires Sony. Une dans la couche logique, qui semble l’effet de hackers voulant soit rançonner, soit nuire à Sony : elle aura des conséquences pour la prise de conscience des déficiences des cyberstratégies d’entreprise. L’autre dans la couche sémantique, mise en œuvre par le gouvernement américain pour des objectifs principalement géopolitiques.
Constatons un dernier point : les affaires augmentent en nombre, leurs cibles se diversifient (on est passé d’entreprises de la défense, de l’énergie ou des hautes technologies à une gamme beaucoup plus large : finances, distribution, industrie culturelle), et les ripostes se durcissent (inculpation d’officiers Chinois à la suite de l’affaire Putter Panda, accusation américaine dans la présente affaire). On n’a pas fini de parler de la cybersécurité….
Nous profitons de ce billet du Nouvel an pour vous adresser tous nos vœux pour cette année 2015.
JDOK