Les pirates de Sony ont peut-être utilisé son maillon faible: l’humain

Les pirates informatiques qui ont forcé Sony Pictures à annuler la sortie d’une comédie sur la Corée du Nord ont probablement esquivé les protections du géant du divertissement en exploitant un point faible, le facteur humain.

C’est du moins l’hypothèse la plus répandue parmi les experts en cyber-sécurité cherchant à percer les secrets de cette attaque informatique qui a poussé Sony à renoncer à la sortie de «L’interview qui tue», comédie satirique sur un complot fictif de la CIA pour assassiner le leader nord-coréen Kim Jong-Un.

Les employés de Sony ont pu être spécifiquement visés par des attaques de phishing, avec l’envoi de faux courriels semblant provenir d’expéditeurs de confiance, selon Guy Levy-Yurista, vice-président de la société de protection d’identité en ligne Usher.

De tels emails contiennent en général des liens hypertextes ou des pièces attachées qui, s’ils sont activés, entraînent l’installation à l’insu des utilisateurs de logiciels malveillants. Une fois que les pirates ont pénétré dans le système, ils tirent avantage des failles pour prendre le contrôle et puiser dans les données.

«Le maillon faible de tout système de sécurité, c’est toujours l’être humain», a relevé M. Levy-Yurista auprès de l’AFP.

Virus connu

Le code malveillant qui a infecté Sony Pictures a été identifié comme étant une version améliorée de Destover. Un virus similaire a servi pour pirater des banques en Corée du Sud et des sociétés au Proche-Orient, dont la compagnie nationale de pétrole et de gaz d’Arabie saoudite Saudi Aramco.

Ce virus se diffuse rapidement, pompe les données et ensuite détruit les disques durs des ordinateurs pour couvrir ses traces.

«Ce qu’ils ont fait est assez impressionnant. C’est aussi plutôt effrayant», a relevé M. Levy-Yurista.

Marc Rogers, chercheur au sein de CloudFlare (protection de sites Internet), a étudié les fichiers piratés de Sony rendus publics par les hackers et découvert que derrière les barrières de sécurité, les données n’étaient que peu protégées avec des failles «monstrueuses» car les dossiers n’étaient pas cryptés et des mots de passe étaient conservés tels quels.

Nuire

«Il est clair que quiconque est derrière ça, n’était pas intéressé par l’argent, ils voulaient nuire à Sony», a-t-il expliqué à l’AFP. «Ca ressemble plus à un travail de l’intérieur».

Autrement dit: un employé mécontent de Sony pourrait avoir ouvert la porte aux pirates, qui auraient ensuite profité de la sécurité lacunaire du réseau informatique, selon lui.

Outre recevoir des menaces revendiquées par le groupe de pirates informatiques GOP («Guardians of Peace»), le distributeur a assisté impuissant à la publication de courriels plutôt gênants, de scénarios et de communications internes, ainsi que des détails sur les salaires dans le groupe.

Le volume très important de données volées, dont les dossiers médicaux et numéro de sécurité sociale des employés, indique que les pirates ont arpenté le réseau information de Sony sans être détectés pendant une longue période, ou ont peut-être même eu accès physiquement à leurs ordinateurs, a ajouté l’expert.

Le point d’eau

Il n’est pas encore certain que du phishing ciblé soit à l’origine du piratage, a indiqué Kevin Haley, de Symantec, soulignant l’existence d’une autre tactique dite du «point d’eau» qui consiste à pirater un site internet populaire dans une profession et à guetter les visiteurs.

«L’idée c’est que le lion n’a pas besoin de chercher sa nourriture dans la jungle; il s’assied simplement à côté du point d’eau et attend», a-t-il raconté.

Sony a défendu sa décision d’annuler la sortie du long-métrage prévue le 25 décembre, face aux menaces évoquant les attentats du 11-Septembre.

Le porte-parole de la Maison Blanche Josh Earnest a refusé jeudi de confirmer l’implication de la Corée du Nord dans cette affaire, qu’il a qualifiée de «grave affaire de sécurité nationale».

Le président Barack Obama doit s’exprimer vendredi à 13h30 lors d’une conférence de presse à la Maison Blanche.

La Corée du Nord a démenti toute implication dans ce piratage, mais l’a qualifié d’«acte légitime».

«Les Nord-coréens en ont probablement les capacités, mais le fait est qu’il n’y a aucune preuve de leur implication dans cette affaire», a estimé Tim Stevens, expert dans la cyber-guerre au King’s College de Londres.