vendredi 19 décembre 2014

Le piratage de Sony Pictures: du ridicule… et des inquiétudes

Dire que l’affaire fait grand bruit serait un euphémisme… L’un des plus grands studios de cinéma au monde, Sony Pictures, a annoncé aujourd’hui l’annulation de la sortie au cinéma d’une comédie, « The Interview », qui traite avec dérision du régime Nord-coréen, suite aux menaces (floues en vérité) d’un groupe de hackers affirmant s’en prendre à tous ceux qui iront voir le film qui sort à Noël.  Comment en est-on arrivé à pareille situation ? Comment expliquer qu’une entreprise si puissante ait en fin de compte céder au chantage d’un groupe de hackers ? 
Quelques éléments de mise en contexte s’imposent pour voir en quoi cette histoire risque de marquer un tournant dans l’histoire du cyberespace du point de vue des entreprises. 

Tout commence avec un événement pour le moins banal, à savoir l’annonce avant l’été dernier de la sortie d’un film tournant en dérision le régime nord-coréen. Ce dernier a réagi dans la foulée, écrivant à l’ONU pour dénoncer un « acte de terrorisme et de guerre ». Passé la réaction aussi bien exagérée que ridicule pour un simple film, l’affaire aurait pu s’arrêter là, mais elle va devenir un événement aux répercussions massives en novembre avec le piratage des studios Sony par un groupe de hachers. 

Ce dernier, qui se fait appeler GOP pour Guardian of Peace, a réussi à conduire une cyberattaque de très haut niveau contre les infrastructures numériques de Sony Pictures. Deux remarques viennent à l’esprit : 
1. Les auteurs de la cyberattaque sont à la fois organisés et compétents pour réussir à toucher tant d’ordinateurs avec un niveau d’intrusion rarement atteint. Des milliers de courriels, d’informations sensibles sont ainsi dérobés et mis en ligne sur Internet. Cela va du « people » avec les commentaires sur tel ou tel acteur à des informations beaucoup plus sensibles sur les stratégies économiques du groupe. 
2. Cette cyberattaque montre aussi, et sans doute avant tout, les failles béantes et pour le moins surprenantes des systèmes informatiques de Sony Pictures. Selon les informations parues dans la presse, peu de procédures de sécurité de base ont été mises en place, le cryptage des documents sensibles ne semblait pas être une habitude et les mots de passe étaient stockés dans des dossiers « mot de passe ». Bref, tout ce que l’on apprend à ne surtout pas faire dans n’importe quel cursus en sécurité informatique ! 

La cyberattaque a atteint un second niveau avec la diffusion le 1er décembre par les hackers de cinq films qui ne sont pas encore sortis au cinéma. Les pertes financières sont évidemment la première conséquence à laquelle on pense, mais il ne faut pas négliger l’impact médiatique d’une telle action : l’entreprise semble totalement désemparée face à un groupe de hackers qui dicte son agenda et met ses menaces à exécution. Pourtant, le groupe Sony a une certaine expérience en matière de piratage avec les initiatives des Anonymous de 2011 qui s’en étaient pris à une des divisions du groupe. A croire que le groupe n’a pas tiré les enseignements du passé…

Sony Pictures s’est tourné vers une société de sécurité informatique, Mandiant (dont nous avions déjà parlé dans une précédent chronique sur le conflit USA / Chine en matière cyber), en collaboration avec le FBI pour mener l’enquête. Celle-ci s’annonce longue et compliquée, et la prudence doit être de mise ; en effet, accuser, comme certains l’ont fait, la Corée du Nord sans preuve est clairement contre-productif. La piste nord-coréenne ne doit pas être exclue, mais elle ne saurait être la seule à explorer. Des Etats ou des entreprises concurrentes pourraient très bien être à la manœuvre afin de fragiliser le groupe Sony. Vu le niveau du malware employé, il est peu probable qu’il s’agisse d’une initiative de quelques hackers compétents associés pour l’événement. On peut légitimement penser que cette cyberattaque a nécessité des mois de préparation et des moyens humains et financiers conséquents. 

Sony Pictures, déjà affaibli médiatiquement par cette cyberattaque, a pris une initiative pour le moins choquante : mener par des intermédiaires des cyberattaques contre les sites diffusant illégalement les films du groupe. Est-ce le bon moyen de mettre un terme à la situation de crise que traverse le groupe ? Sûrement pas. 

Et la suite des événements semble le montrer puisque l’on est encore monté d’un cran dans cette crise avec la menace par le GOP d’un « destin funeste » pour tous ceux qui iraient voir le film au cinéma. Les hackers du groupe maitrisent parfaitement les codes de la communication, car en faisant référence aux attentats du 11 septembre 2001, ils jouent sur la peur d’attentats, alors qu’en réalité, la menace est pour le moins floue, voire peu probable. Comme l’a évoqué un officiel de sécurité américain, si la Corée du Nord est derrière cette cyberattaque, elle ne semble pas disposer des moyens de perpétrer des attentats sur le sol américain. 

Pourtant, et c’est en cela que la stratégie de Sony Pictures est hautement critiquable, le groupe média a cédé aux pirates en renonçant pour l’instant à sortir le film au cinéma. Les réactions du milieu du cinéma ne se sont pas faites attendre, et la plupart vont dans le même sens : c’est un très mauvais message qu’envoie Sony Pictures. En cédant, il encourage d’autres groupes comme le GOP à attaquer des groupes audiovisuels. Que va-t-il advenir de la liberté d’expression si les studios de cinéma deviennent frileux à produire des films se moquant de tel ou tel pays ? 

Dans cette affaire pour le moins complexe et obscure, Sony Pictures a joué une très mauvaise partition. Le groupe aurait pu limiter les dégâts en diffusant gratuitement le film « The Interview », répondant ainsi par une voie détournée à la provocation du GOP et en se donnant une image de promoteur de la liberté d’expression. Mais sa stratégie à court terme, si l’on peut parler de stratégie, n’est jusqu’à présent qu’une suite d’erreurs qui traduisent un problème plus profond : aujourd’hui, dans le cyberespace, malgré les mises en garde chaque année des acteurs de la sécurité informatique, des entreprises employant des milliers de personnes, dégageant des bénéfices colossaux, ne prennent pas la mesure du danger auquel elles s’exposent en ne se protégeant pas correctement. 

Certes, le malware employé était d’un tel niveau qu’il serait passé dans tous les cas outre les antivirus de base employés par le groupe. Mais des politiques de sécurité en interne, passant par le cryptage des mails et fichiers sensibles, le cloisonnement informatique de services clés, auraient limité la portée de la cyberattaque. 

Sony Pictures est coupable de ne pas avoir mis en place les procédures de base qui auraient évité que les données personnelles d’employés du groupe et de personnalités publiques se retrouvent sur la Toile. Mais les médias qui ont diffusé les informations volées sont également coupables : ils ont été de formidables relais du GOP dans leur volonté de communiquer des informations dont l’intérêt pour le public est pour le moins faible. 

Dans cette histoire qui n’est pas encore terminée, on retiendra qu’un groupe de hackers, sans doute soutenu par un ou des Etats, a réussi à perpétrer une cyberattaque massive contre un des géants mondiaux du cinéma, le faisant chanter en le ridiculisant devant le monde entier et l’obligeant à franchir le Rubicon en lançant (faisant fi des procédures juridiques !) une cyber offensive contre ceux diffusant ses fichiers illégalement. 

Certains voient dans l’affaire Snowden une rupture stratégique dans l’histoire du cyberespace : c’est un point de vue qui peut largement être discuté. On peut cependant, dans la même perspective, voir dans cette « affaire Sony Pictures » une rupture aussi bien politique que médiatique dans l’histoire du cyberespace. 


Aucun commentaire:

Enregistrer un commentaire