Hacking : Sony Pictures piraté non pas une, mais deux fois ?
Sony Pictures a peut-être été piraté par des hackers nord-coréens, mais d'autres pirates, russes cette fois, sont également impliqués. C'est la thèse que défend Taia Global, une société de cybersécurité qui avait déjà mis en doute la version officielle américaine. Suite au chantage dont ont été victimes les studios hollywoodiens (des hackers demandant au Pdg de la firme de l'argent contre la non divulgation de documents dérobés) et à une vague d'attaques détruisant des données sur le réseau de l'entreprise fin novembre, les autorités américaines ont rapidement désigné le régime de Kim Jong-un comme responsable. Une thèse déjà contestée à l'époque par Taia Global qui, sur la base de l'analyse linguistique des communications des hackers en direction de Sony, estimait que le groupe à l'origine des tentatives d'extorsion était probablement d'origine russe. En tout cas pas coréen.
C'est cette thèse que la société confirme, via un nouveau rapport publié le 4 février. Dans ce dernier, Taia Global affirme avoir poursuivi son enquête. Via un contact de son président Jeffrey Carr : un hacker russe connu sous le pseudonyme de Yama Tough. Ce dernier, qui a déjà été condamné aux États-Unis pour des faits de hacking et qui est responsable d'attaques contre Symantec, VMware ou Innodata Isogen, est présenté comme un contact « de confiance » par Taia Global. La firme explique avoir noué des contacts avec la communauté des hackers à l'étranger depuis sa création en 2011. Façon de dire qu'elle ne mise pas tout sur l'analyse de signaux (Sigint en jargon).
Sony : « une cible facile »
Yama Tough affirme être entré en contact avec un des membres de l'équipe responsable du vol de données chez Sony Pictures, un hacker russe qui, selon Taia Global, travaille occasionnellement pour les services de renseignement de son pays, le FSB. A l'appui de ses affirmations, Yama Tough fournit 7 tableaux Excel et 6 e-mails, que son contact présente comme dérobés à Sony Pictures. Des documents qui, jusqu'à présent, n'avaient jamais été rendus publics par les hackers demandant à Sony une rançon, le groupe Guardians of Peace.
Et, surprise, ces documents datent d'après la découverte de la faille. L'un d'entre eux, un message destiné à tous les salariés, daté du 8 décembre, donne des conseils de sécurité après l'attaque qui a endommagé le réseau de l'entreprise le 23 novembre. « Tous ces documents paraissent être authentiques et l'un d'entre eux a été authentifié par un analyste qui en était à l'origine », explique Taia Global. Pour qui, cela ne fait aucun doute : un groupe de hackers russes dispose toujours d'un accès au réseau de Sony et continue d'y piocher des informations « malgré les nombreuses entreprises et agences gouvernementales impliquées dans l'enquête sur la fuite de données », raille Taia Global.
La société ne se prive pas d'égratigner aussi Sony Pictures, qui a refusé de collaborer avec elle et notamment de reconnaître l'authenticité de ces documents. Selon le document publié par Taia, Sony est « tout sauf une cible difficile à pénétrer. Son réseau a été attaqué avec succès à de multiples reprises en 2011 par les Anonymous, un groupe connu pour ses attaques majoritairement basiques à base d'injections SQL et d'utilisation de scripts prêtes à l'emploi ».
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Motif politique et extorsion : curieux mélange
Selon Yama Tough, l'infection a démarré via l'envoi d'e-mails renfermant des PDF piégés avec un Troyen inconnu des antivirus à des employés de Sony Pictures en Asie. Les assaillants se seraient ensuite déplacés au sein du réseau, compromettant d'autres systèmes.
Si elle doit être considérée avec précaution, la thèse de Taia Global a le mérite d'offrir des réponses plausibles à un certain nombre de questions restées en suspens. A commencer par celle-ci : alors que la Corée du Nord est censée avoir piraté les studios de Sony pour des motifs politiques (empêcher la sortie du film The Interview), pourquoi la firme a-t-elle dû faire face à une tentative d'extorsion de fonds, pratique qui fait davantage penser au cybercrime ? Sur le compte Tweeter de Guardians of Peace, un groupe inconnu jusqu'au hack de Sony, on peut lire « nous ne sommes pas coréens » le 19 décembre - jour de l'intervention de Barack Obama dénonçant l'implication du régime de Kim Jong Un - puis, le 30, « nous sommes russes ».
Taia Global n'est pas la seule société à évoquer non pas une, mais plusieurs attaques. Kurt Stammberger, un des dirigeants de Norse (firme qui a publié un rapport estimant que l'attaque avait été facilitée par des complicités internes), reconnaissait fin décembre que l'exfiltration d'informations et la destruction de données pouvaient être le résultat de deux ou trois attaques différentes. Rappelons que, selon le New York Times, le gouvernement américain serait sûr de l'implication de la Corée du Nord en raison des mouchards placés par la NSA sur les réseaux et systèmes du pays asiatique.
A lire aussi :
FIC 2015 : les hackers ont gagné une bataille, pas la guerre
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Qui a hacké Sony Pictures ? Une énigme digne d'un bon scénario de film
Qui a piraté Sony Pictures ? Un site répond. par l'humour
Crédit photo : Ken Wolter / Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité