Vous êtes sur le site public du Cert-IST
L’attaque de Sony Pictures Entertainment

Date :07 Décembre 2014

Publication: Article

L’attaque informatique qui a visé la société Sony Pictures Entertainment (SPE) a occupé une large place dans l’actualité de décembre 2014, avec une succession d’événements : sabotage du système informatique de Sony, chantage, publication d’informations confidentielles, retrait du film « The Interview » et enfin accusation du gouvernement des USA contre la Corée du Nord. Les choses ont pris tellement d’ampleur qu’il est pour le moment bien difficile de faire le tri entre le vrai et le faux dans les déclarations des intervenants. Afin de clarifier cette actualité, nous présentons ci-dessous un résumé aussi factuel que possible.

 

Chronologie des événements connus

24 novembre 2014 : Le message « Hacked by #GOP » (« GOP » signifie « Guardian Of Peace ») s’affiche soudainement sur tous les écrans des ordinateurs de SPE connectés au réseau d’entreprise. Le corps du message annonce que si SPE n’obéit pas aux pirates, des données confidentielles seront rendues publiques. Tous les ordinateurs ainsi infectés restent bloqués, et les employés devront ensuite travailler sans ordinateur pendant plusieurs jours.

27 novembre 2014 : 5 films produits par SPE (dont 4 inédits) sont rendus public par les pirates en les déposant sur des sites de partages de fichiers.

28 novembre 2014 : Selon des informations non officielles, SPE semble soupçonner que l’incident est lié à la Corée du Nord et à la sortie prochaine du film « The Interview » qui se moque du dirigeant de Corée du Nord.

1er  décembre 2014 : les salaires des plus hauts dirigeants de la firme sont diffusés sur Internet. Dans les jours suivants, de nombreuses informations internes sont également publiées : copie de passeports d’acteurs, budgets et contrats de certains films, scénario du prochain James Bond, etc. On peut imaginer que les pirates dialoguent en secret avec Sony et que les publications successives font parties d’un chantage. La presse analyse les documents rendus publics et relaie les informations les plus « croustillantes ».

9 décembre 2014 et suivants : L’escalade des publications continue avec la diffusion d’emails de dirigeants de SPE. Puis les pirates annoncent qu’ils préparent pour le jour de Noël, une publication massive de documents. Sony indiquera plus tard qu’il pense que les pirates ont en leur possession de nombreuses données personnelles concernant les employés (y compris des données médicales). Les pirates affirment avoir en leur possession 100 téraoctets de données. Les employés de Sony entameront par la suite une « class action » contre leur employeur pour « défaut de protection » de leurs données personnelles.

16 décembre 2014 : Les pirates envoient à la presse des mails qui annoncent des attentats contre les cinémas qui diffuseraient le film « The Interview ». Le lendemain Sony annonce qu’il annule la sortie du film (prévue initialement pour le 25/12/2014). A partir de cette date, on n’entend plus parler des pirates et l’affaire prend une tournure politique.

19 décembre 2014 : Le FBI annonce qu’il pense que La Corée du Nord est responsable de cette attaque contre SPE. Le président Obama évoque le fait dans sa conférence de presse. Une succession d’échanges diplomatiques a lieu ensuite entre la Corée du Nord et les USA, en parallèles de multiples discussions entre experts à propos des auteurs possibles de ces attaques (voir ci-dessous).

23 décembre 2014 : Sony annonce que le film « The Interview » sera finalement disponible pour Noël, en vidéo à la demande et pour les cinémas qui souhaitent le diffuser. Le film sortira effectivement le 25/12/2014.

 

La Corée du Nord est-elle impliquée ?

Le FBI justifie son accusation par plusieurs constats :

  • La Corée du Nord s’est plaint à plusieurs reprises de la sortie annoncée du film « The Interview ». En juillet 2014 par exemple, elle a parlé à son sujet d’apologie du terrorisme et d’acte de guerre (voir cet article de TheGuardian).
  • Le style du langage utilisé, le malware utilisé pour bloquer le système d’information (et qui a été baptisé « Destover ») et les adresses IP utilisées sont semblables à ceux déjà vus dans des attaques déjà attribuées à la Corée du Nord, et en particulier à l’attaque (baptisée DarkSeoul ) vue en 2013 et qui visait la Corée du Sud.

Nota : le 22 décembre le Corée du Nord a été touchée par un incident qui l’a coupée une dizaine d’heures d’Internet (voir cet article de UsaToday.com). Il est difficile de dire s’il s’agit d’un incident ou d’une attaque, et qui dans ce cas, a lancé cette attaque. La presse a aussi indiqué que Sony avait lancé des attaques en déni de service pour bloquer les sites de téléchargement sur lesquels les pirates avaient déposé les informations volées à Sony. Là encore cette information est difficilement vérifiable.

Cette hypothèse d’une attaque venant de Corée du Nord (ou sponsorisée par ce pays) est cependant contestée par plusieurs analystes qui arguent que :

  • La demande de retrait du film « The Interview » ne fait pas partie des revendications initiales des pirates. Elle pourrait avoir été adoptée de façon opportuniste lorsque le sujet a été médiatisé.
  • Un malware de même type (qui écrase le MBR des machines infectées pour empêcher leur redémarrage) avait aussi été utilisé dans l’incident « Shamoon » qui en 2012 avait paralysé le pétrolier Aramco. Shamoon a été attribué par la suite à l’Iran et n’a donc pas a priori de rapport avec la Corée du Nord.

 

Les autres hypothèses à propos des attaquants

Plusieurs autres hypothèses ont été émises à propos de cette attaque :

  • La société Norse indique que l’attaque a probablement été faite avec la complicité d’un ancien employé de Sony Pictures Entertainment. Elle constate en effet que le malware utilisé par les attaquants contient « en dur » des noms de machines et des mots de passe du S.I. de SPE. En analysant le dernier plan social de SPE (en mai 2014), la société Norse indique qu’une des personnes licenciée dans ce cadre pourrait être la personne recherchée.
  • La société Taia Global, spécialiste de l’analyse linguistique avance une autre hypothèse. En se basant sur une analyse linguistique des fautes d’anglais trouvées dans les documents rédigés par les pirates, elle pense que les auteurs de ces documents sont de langue Russe.
  • Un membre du groupe pirate «Lizard Squad » (groupe qui s’est fait connaitre en lançant des attaques DDOS contre des serveurs de jeux, et en particulier une attaque le jour de Noël contre les serveurs Xbox Live et Playstation Network), a indiqué lors d’une interview, avoir donné aux attaquants (le groupe GOF) une série de logins et mots de passe d’employés de Sony Pictures Entertainment. Ce pourrait donc être au moyen de ces logins que les attaquants sont rentrés chez Sony.
  • Enfin, le directeur du FBI a indiqué récemment que les pirates seraient rentrés dans le S.I. de Sony au moyen d’un « spear phishing » (c'est-à-dire via un mail piégé envoyé à certains employés de l’entreprise) fin septembre 2014.

 

Conclusions

Cette affaire SPE n’a probablement pas fini de révéler tout ses secrets. Mais il est impressionnant de voir les multiples impacts entrainés par les publications successives des données volées (au-delà de la paralysie du système d’information) :

  • Perte de bénéfices sur les films qui ont été rendus publics (on estime qu’un film perd 19% de sa valeur lorsqu’il « fuite » sur Internet),
  • Déstabilisation des dirigeants par publication de leurs salaires ou de conversations privées,
  • Impact sur la vie privée des salariés du fait de la publication de données les concernant,
  • Divulgation d’informations stratégiques pouvant intéresser la concurrence.

Visiblement, les pirates ont eu accès à une grande variété d’informations (mails, RH, données contractuelles, films, etc…) ce qui fait penser que soit le système d’information n’est pas très cloisonné, soit les pirates ont pu voler de multiples comptes.

Pour plus d’information