Dans un nouveau message, les pirates de Sony se moquent du FBI
La vidéo utilisée par les pirates présumés de Sony pour se moquer du FBI.
Dans un nouveau message envoyé à plusieurs journalistes grâce au canal habituellement utilisé par le groupe, le collectif « Guardians of Peace », à l'origine du piratage de Sony Pictures, se moque ouvertement du FBI.
Le service d'enquête américain a attribué vendredi la paternité du piratage à la Corée du Nord, après plusieurs jours d'enquête, se fondant notamment sur des similarités entre le code informatique utilisé pour l'attaque et ceux utilisé dans de précédentes attaques attribuées à Pyongyang. Le régime nord-coréen dément toute implication dans ce piratage massif, et a demandé l'ouverture d'une enquête conjointe avec les Etats-Unis pour prouver son innocence.
Une vidéo tirée du folklore Web
Un court message publié au nom du groupe sur Pastebin, un service de « bloc-note » en ligne, explique dans un anglais approximatif :
« Le résultat de l'enquête du FBI est tellement excellent que vous avez peut-être vu ce que nous faisons de vos propres yeux. Nous vous félicitons pour votre réussite. Vous trouverez le cadeau pour le FBI à cette adresse : https://www.youtube.com/watch?v=hiRacdl02w4 »
Le lien renvoie vers une vidéo musicale baptisée « Vous êtes un idiot ! », un remix inspiré d'un faux virus informatique du milieu des années 2000. Ce script affichait une fenêtre non sollicitée dans un navigateur, qui jouait en boucle la phrase « you are an idiot » tout en affichant des émoticônes clignotantes.
Des accusations que les autorités de la République populaire démocratique de Corée continuent de nier. Samedi, elles ont proposé aux Etats-Unis une enquête conjointe sur cette cyberattaque. « Sans aller jusqu'à recourir à la torture comme l'a fait la CIA américaine, nous avons les moyens de prouver que nous n'avons rien à voir avec cet incident », a ainsi déclaré le ministère des affaires étrangères nord-coréen.
De son côté, le journal chinois Global Times a qualifié le même jour « d'arrogance culturelle absurde » le film The Interview. Les cinéastes américains ont tort de se moquer du leader nord-coréen Kim Jong-un, a ajouté le journal, détenu par Le Quotidien du Peuple, organe officiel du Parti communiste chinois.
Ce piratage, l'un des plus importants jamais subi par une entreprise aux Etats-Unis, a dévasté le système informatique de Sony Pictures, dérobé et publié sur Internet les données confidentielles de 47 000 employés et tiers du studio, y compris de célébrités, diffusé des courriels embarrassants, et mis en ligne cinq films du studio dont certains n'étaient pas encore sortis
*************
Le piratage de la société américaine n’est pas le premier exemple de ce nouveau phénomène. Il ne sera pas le dernier non plus.
Le piratage des fichiers informatiques de Sony Pictures, semble-t-il en représailles contre un film ayant pour sujet un projet d’assassinat loufoque contre le leader nord-coréen Kim Jong-un, marque une nouvelle étape dans l’histoire de la cybersécurité, de la cybercriminalité et de la cyberguerre.
Jusqu’alors, la plupart des attaques informatiques (qu’elles aient été menées par la Chine, la Russie, l’Iran, la Syrie, la Corée du Nord, Israël, les Etats-Unis ou une dizaine d’autres pays, sans compter les mafias diverses ou les simples fauteurs de troubles) avaient pour but de voler de l’argent, des secrets industriels, des numéros de cartes de crédit ou des secrets touchant à la sécurité nationale.
Mais ceux qui ont piraté Sony Pictures (sans doute les services secrets nord-coréens ou des pirates à leur service) l’ont fait pour porter atteinte à la liberté d’expression, en l’occurrence en s’attaquant à la culture populaire américaine et à ses droits constitutionnels.
Le pire est que l’attaque a eu les résultats escomptés.
Sony Pictures a annulé la sortie prévue du film en raison de menaces terroristes contre les salles qui le passeraient (même si aucun lien véritable n’a pu, pour l’instant, être établi entre les menaces d’attentats et les pirates). Si une comédie de Seth Rogen constitue une cause assez incongrue à défendre, on peut en revanche s’émouvoir de voir Sony se soumettre ainsi à des pressions politiques –surtout si ces pressions émanent de l’étranger et en particulier de Kim Jong-un.
Les pirates vont-ils désormais menacer d’autres studios si leurs dirigeants refusent d’annuler la diffusion d’un film?
Cette situation crée un précédent pour le moins problématique. Des milliers, si ce n’est des dizaines de milliers de personnes à travers le monde (allant des spécialistes militaires aux petits génies adolescents du piratage) ont la capacité de s’introduire dans les ordinateurs des grosses sociétés, notamment celles des secteurs de la culture et du divertissement, qui n’auraient jamais pensé devenir ainsi la cible de cyberattaques et n’ont donc jamais pris que des précautions très basiques pour s’en protéger. Les pirates vont-ils désormais s’attaquer à d’autres studios, ou encore à des éditeurs, à des musées, à des maisons de disques si leurs dirigeants refusent d’annuler tel film, tel livre, telle exposition ou tel album?
Le cas des casinos cible des Iraniens
Le piratage de Sony Pictures n’est pas le premier exemple de ce nouveau phénomène.
En février 2014, la société Las Vegas Sands Corp. (propriétaire des hôtels-casinos Sands, Venetian et Palazzo) a été la cible de hackers iraniens qui protestaient contre un discours de son PDG, Sheldon Adelson, qui avait appelé à larguer une bombe atomique sur l’Iran.
Sheldon Adelson a beau être un personnage détestable, il a le droit d’exprimer son point de vue sans avoir à craindre qu’un techie anonyme ne fasse intrusion dans les serveurs de sa société depuis l’étranger, engendrant pour quelque 40 millions de dollars de dégâts (pour l’instant, on estime que les dégâts engendrés par le piratage de Sony pourraient atteindre les 100 millions de dollars).
Et il y a sans doute eu d’autres attaques de ce type contre on ne sait combien d’autres sociétés. Adelson avait caché la véritable ampleur et la nature des attaques contre sa société jusqu’à ce qu’un article de ce mois-ci dans Bloomberg Business Week n’en révèle tous les détails. Dell SecureWorks, la société embauchée par Adelson pour remonter la piste de l’intrusion, a conclu que l’attaque «était une réponse aux propos du PDG sur l’Iran». Adelson avait fait retirer cette phrase du rapport avant de le rendre public.
FireEye, l’une des entreprises leaders de l’investigation informatique, a analysé les attaques dont a été victime Sony Pictures et en a conclu qu’elles avaient été menées par une entité baptisée DarkSeoul, un collaborateur régulier de la Corée du Nord, qui opère depuis le réseau wi-fi de l’hôtel St. Regis à Bangkok (la Corée du Nord, qui dispose de peu de moyens à domicile pour mener des opérations informatiques de grande envergure, emploierait des cybermercenaires basés en Chine, en Thaïlande, à Singapour et en Syrie).
Que peut faire le gouvernement?
Faut-il que le gouvernement américain s’en mêle en protestant officiellement, en prenant des mesures de représailles ou en appuyant la prévention, le traçage et la défense contre de telles attaques à l’avenir?
Pour le dire autrement, est-ce une affaire qui touche seulement les entreprises privées affectées ou a-t-on franchi une ligne en matière de diplomatie, de sécurité nationale ou (dans le cas de Sony) de défense de certaines valeurs?
Le gouvernement américain et le secteur privé (en particulier dans les secteurs de l’informatique et des télécommunications) parlementent autour de ces questions depuis trente ans. Le débat a été particulièrement vif sous le mandat de Bill Clinton. Le conseiller de Clinton en matière de contre-terrorisme et de protection des infrastructures, Richard Clarke (qui allait plus tard créer une société de consulting en sécurité informatique et écrire un livre intitulé Cyber War), souhaitait imposer des mesures de sécurité obligatoires aux entreprises. Mais les conseillers économiques de Clinton, appuyés par plusieurs PDG, s’y opposèrent farouchement.
A partir de quand un risque commercial devient-il une question de défense nationale?
Afin de trouver un compromis, Clinton créa les ISAC, «Information sharing and analysis centers» (centres de partage et d’analyse de l’information), à travers lesquels les institutions gouvernementales pouvaient aider les entreprises à sécuriser leurs serveurs et leurs réseaux. Bush et Obama ont renforcé ces centres, mais la participation des entreprises reste basée sur le principe du volontariat après les demandes insistantes du secteur privé et de plusieurs associations de défense des libertés civiles, qui voient d’un mauvais œil toute forme d’intrusion des autorités dans le fonctionnement d’Internet.
Ces débats impliquaient en majeure partie les dirigeants d’entreprises «d’infrastructures critiques» (banques, télécommunications, énergies, transports…), ainsi que ceux des principales sociétés d’informatique. Il s’agissait bien entendu des entités les plus susceptibles d’être piratées (et surtout de celles dont un piratage, s’il était d’envergure, pourrait affecter l’économie et la sécurité du pays tout entier).
Lors de certains de ces débats, la question d’une «ligne rouge» avait été évoquée sans toutefois être jamais vraiment définie. Si une banque est attaquée, c’est le problème de la banque, tout le monde semble s’entendre sur ce point. Mais que se passerait-il si deux, trois, quatre ou une dizaine de banques étaient victimes d’un piratage conséquent? A partir de quand un risque commercial devient-il une question de défense nationale?
A qui attribuer l'attaque?
Un autre problème que pose l’élaboration d’une politique nationale à ce sujet est la question de l'«attribution». Si un missile atterrit sur le sol américain, sa trajectoire peut être retracée jusqu’à la rampe de lancement. Si un serveur ou un réseau est attaqué, la signature du hacker peut être retrouvée, mais il est courant pour les hackers de pirater d’autres serveurs, ou d’utiliser plusieurs plateformes comme tremplins. Des analystes très compétents, que ce soit à la CIA, à la NSA ou dans des sociétés informatiques privées de plus en plus nombreuses, peuvent habituellement retrouver la provenance de l’attaque, mais ce n’est pas une science exacte. Les porte-parole nord-coréens ont applaudi le piratage de Sony, mais ont nié toute implication dans cette action. Même si Barack Obama avait l’intention de réagir d’une manière ou d’une autre, pourrait-il le faire sans aucune preuve que le régime de Kim Jong-un est réellement à l’origine des attaques?
Mais que va-t-il se passer maintenant qu’il devient évident, après le piratage d’un des principaux studios cinématographiques et d’une chaîne d’hôtels-casinos, que n’importe quelle entreprise américaine peut être la cible de hackers étrangers –et que non seulement leurs biens, mais également leurs croyances et leurs idées peuvent devenir l’objet de ces attaques? (Si l’on en croit Bloomberg Business Week, la chaîne d’hôtels-casinos d’Adelson employait cinq informaticiens pour protéger 25.000 ordinateurs.)
Les entreprises privées vont-elles commencer à demander de l’aide au gouvernement? Les autorités doivent-elles prendre en charge la sécurité des entreprises et, si oui, de quelle manière?
Nous sommes peut-être à l’aube d’une nouvelle ère, mais cela fait des décennies que les lueurs de cette aube ont commencé à poindre. Tous ceux qui avaient les ressources et le pouvoir d’affronter les défis de cette nouvelle ère ont soit fui leurs responsabilités, soit vu leurs efforts entravés. Il n’y a jamais eu de vrai débat sur les coûts, les risques, les avantages et les complexités de cette question. Peut-être l’improbable duo Sony Pictures-Sheldon Adelson aidera-t-il le débat à avoir enfin lieu.
From : Fred Kaplan ( Slate ) ,le Monde ,............
Voir :
