par David Kushner | 7 avril 2016

La menace

C’est une jour­­née froide à Munich, et Oliver Stone, un des réali­­sa­­teurs les plus provo­­ca­­teurs d’Hol­­ly­­wood, est face au hacker le plus recher­­ché au monde, Edward Snow­­den –  ou plus exac­­te­­ment l’ac­­teur qui l’in­­carne, Joseph Gordon-Levitt. Le réali­­sa­­teur est en plein tour­­nage de son biopic contro­­versé d’Ed­­ward Snow­­den. Le film, dont la sortie est prévue cette année, retrace le parcours du lanceur d’alerte, ancienne recrue des forces spéciales, engagé par la suite comme agent de sécu­­rité par la NSA (Natio­­nal Secu­­rity Agency), qui a révélé les programmes de surveillance secrets du gouver­­ne­­ment améri­­cain. Mais Oliver Stone n’est pas unique­­ment préoc­­cupé par le tour­­nage de la saga des révé­­la­­tions incroyables d’Ed­­ward Snow­­den. Il veut s’as­­su­­rer qu’au­­cun hacker ne pira­­tera son film pour en livrer les secrets avant sa sortie dans les salles obscures. « C’est une source d’inquié­­tude pour tous les réali­­sa­­teurs », me confie-t-il pendant une pause sur le tour­­nage. Et ça l’est d’au­­tant plus lorsque le film concerné promet de lever le voile sur un homme encore mysté­­rieux aux yeux du monde. « Si quelqu’un parvient à pira­­ter son histoire », annonce Oliver Stone avec prudence, « il aura touché le gros lot. » Oliver Stone réalise en quelque sorte un méta-film, du jamais vu, alors qu’il construit un véri­­table pare-feu autour d’une œuvre dont le sujet est une icône de la sécu­­rité de l’in­­for­­ma­­tion.

ulyces-hackinghollywood-01
Ralph Eche­­men­­dia et Oliver Stone

C’est cela qui explique la présence d’un homme discret avec une barbi­­chette à la Fu Munchu, qui s’af­­faire autour du plateau. Il s’agit de Ralph Eche­­men­­dia, garde du corps du tout-numé­­rique holly­­woo­­dien, ancien hacker revenu du côté obscur pour aider les cinéastes, les stars et les magnats des studios à proté­­ger leurs précieuses données. Un défi qui ne fait que se corser à mesure qu’Hol­­ly­­wood, tout comme le reste du monde, trans­­fère de plus en plus son contenu et ses commu­­ni­­ca­­tions sur Inter­­net. « Le souci, c’est le manque de contrôle », m’ex­­plique Eche­­men­­dia. Oliver Stone précise que de telles précau­­tions, quoique récentes, sont « d’ave­­nir ».


Suite au pira­­tage massif de Sony Pictures Enter­­tain­­ment en novembre 2014, Holly­­wood joue à un jeu de la taupe de plus en plus déli­­rant : dès que l’in­­dus­­trie parvient à frap­­per un hacker, un autre prend sa place aussi sec. Et c’est un jeu de plus en plus coûteux. En octobre 2015, des docu­­ments judi­­ciaires ont révélé que Sony devrait verser près de 8 millions de dollars pour inten­­ter un recours collec­­tif avec des employés dont les données person­­nelles ont été pira­­tées, et il ne s’agit là que de la partie visible de l’ice­­berg. Si les coûts engen­­drés par de telles attaques sont diffi­­ciles à évaluer, les esti­­ma­­tions, basées sur des inci­­dents simi­­laires surve­­nus dans d’autres entre­­prises, oscil­lent entre 150 et 300 millions de dollars. C’est la version grand écran de la vulné­­ra­­bi­­lité qu’on éprouve en évoluant sur Inter­­net de nos jours, de Beverly Hills à la Maison-Blanche.

Il y a quelques mois, la boîte mail du direc­­teur de la CIA, John Bren­­nan, a été pira­­tée  par un adoles­cent (et son contenu mis en ligne par Wiki­­leaks ). Et comme l’ont montré les Drone Papers, le dernier leak de docu­­ments orches­­tré par Edward Snow­­den sur le programme améri­­cain d’as­­sas­­si­­nats ciblés, l’Amé­­rique a encore du chemin à faire pour se mettre à la page. Cette bataille met tout le monde sur les nerfs. Comme le dit Oliver Stone : « C’est un jeu de hasard, on ne sait pas comment ça finira. » Mais cette histoire ne raconte pas seule­­ment à quel point Holly­­wood s’est faci­­le­­ment fait avoir. C’est un récit plus vaste et teinté d’iro­­nie, ou comment les studios de cinéma ont façonné le mythe du hacker dans l’ima­­gi­­naire collec­­tif avant d’en être victime dans la réalité. Il était peut-être plus simple de croire à la version grand écran de la menace, souvent repré­­sen­­tée par un génie aux cheveux ébou­­rif­­fés, tout vêtu de noir et entouré de murs recou­­verts d’écrans HD (comme dans White House Down) lui permet­­tant d’en­­trer dans des systèmes de haute sécu­­rité comme dans du gruyère. Car en réalité, pas besoin d’être un génie du mal ou un gouver­­ne­­ment pour contour­­ner un pare-feu. En vérité, il n’est même pas néces­­saire d’être un hacker.

Le son de l’iné­­luc­­ta­­bi­­lité

La guerre d’Hol­­ly­­wood contre le pira­­tage a commencé le 19 février 2004, par un simple coup de télé­­phone. C’est arrivé dans une boutique T-Mobile, près de Los Angeles. La personne qui appe­­lait a dit au vendeur qu’elle travaillait au siège de T-Mobile à Washing­­ton. « Nous avons appris que vous rencon­­triez des problèmes avec les outils de votre compte client ? » a demandé le corres­­pon­­dant. « Non, pas du tout », a répondu l’em­­ployé. « C’est juste un peu lent. »

ulyces-hackinghollywood-02
Aujourd’­­hui repenti, Lacroix s’est excusé auprès de Paris Hilton
Crédits : Came­­ron Lacroix

« C’est pour­­tant ce qui est écrit dans le rapport », a pour­­suivi la personne au bout du fil. « Nous allons devoir véri­­fier ça rapi­­de­­ment. » « D’ac­­cord, qu’est-ce qu’il vous faut ? » Et l’em­­ployé a conscien­­cieu­­se­­ment donné à son inter­­­lo­­cu­­teur l’ac­­cès à l’in­­tra­­net de son entre­­prise pour gérer les comptes clients, en lui four­­nis­­sant son nom d’uti­­li­­sa­­teur et son mot de passe. L’in­­ter­­lo­­cu­­teur en ques­­tion n’était en réalité qu’un jeune hacker de 16 ans du nom de Came­­ron Lacroix, rési­­dant dans le Massa­­chu­­setts. Il a expliqué plus tard au Washing­­ton Post qu’il lui avait suffi de quelques connais­­sances en ingé­­nie­­rie sociale pour réali­­ser le premier grand pira­­tage d’Hol­­ly­­wood. Une fois dans le système de T-Mobile, le jeune Lacroix n’a eu qu’à cher­­cher les comptes des célé­­bri­­tés, réini­­tia­­li­­ser leur mot de passe et accé­­der à leurs données.

Il a commencé par appe­­ler Laurence Fish­­burne et lui a récité des tirades de son person­­nage dans la trilo­­gie Matrix. Et puis il a décro­­ché le jack­­pot : le Side­­kick de Paris Hilton, avec son carnet d’adresses, ses messages et ses photos nues – qu’il a mises en ligne pour que tout le monde les voie bien. Après avoir été arrêté et condamné à quatre ans de prison pour cette affaire et d’autres pira­­tages, Came­­ron Lacroix a déclaré que voler les données des stars holly­­woo­­diennes avait été « facile, trop facile ». Et c’est ainsi que d’autres hackers soli­­taires dotés d’une poignée de compé­­tences tech­­niques ont réussi, à maintes reprises, à pertur­­ber une indus­­trie pesant plusieurs milliards, sans qu’au­­cune solu­­tion pour l’em­­pê­­cher ne se profile à l’ho­­ri­­zon. Quelle que soit la complexité d’un système de sécu­­rité, il est aussi solide que le plus faible maillon de la chaîne. Chaîne au bas de laquelle se trouve géné­­ra­­le­­ment une personne qui n’a pas respecté le proto­­cole établi. Cette lacune intrin­­sèque permet d’ex­­pliquer la popu­­la­­rité de l’une des tactiques de pira­­tage les plus effi­­caces et les plus courantes : le spear phishing. Lors d’une attaque de spear phishing, le hacker cible une entre­­prise précise en cher­­chant une personne négli­­gente qui lui ouvrira la porte donnant accès au reste du réseau. En pratique, cela se traduit par l’en­­voi indi­­vi­­duel d’e-mails qui ont l’air d’avoir été rédi­­gés par quelqu’un de votre entou­­rage, accom­­pa­­gnés d’un lien. En réalité, il s’agit d’un assaillant se faisant passer pour l’une de vos connais­­sances, et le lien n’est pas une vidéo de lol cat : c’est un malware qui lui donnera un accès total à votre ordi­­na­­teur. Et comme Holly­­wood regorge d’as­­sis­­tants, de secré­­taires, de maquilleurs, de stylistes, d’agents, d’avo­­cats et bien d’autres employés, les hackers n’ont qu’à attendre qu’une seule de ces personnes clique sur le lien pour péné­­trer le système.

Pire encore. Étant donné que chacun travaille sur ses propres appa­­reils, les compa­­gnies, elles-mêmes de plus en plus déma­­té­­ria­­li­­sées, permettent que leurs employés se connectent à leurs systèmes via un maté­­riel infor­­ma­­tique sur lesquels les contrac­­tants qui tentent de sécu­­ri­­ser leurs données n’ont aucun contrôle. Et comme cette commu­­nauté est en perpé­­tuel mouve­­ment, les employés actuels ne sont pas les seuls en cause : toutes les personnes ayant travaillé pour ces socié­­tés sont des cibles poten­­tielles. « Holly­­wood fait face à un problème gigan­­tesque, car on doit proté­­ger toutes ces infor­­ma­­tions contre des milliers de personnes », me confie Ernie Liu, respon­­sable des services enquê­­tant sur le pira­­tage de Sony pour le compte de FireEye, une entre­­prise de sécu­­rité infor­­ma­­tique améri­­caine. Le confort est à ce prix. Nous voulons tous dispo­­ser d’un accès immé­­diat aux autres, à leur travail, leurs fichiers, leurs textes, leurs actua­­li­­tés, leurs potins, tout ça en un seul clic. Il y a un mot à la mode dans la Sili­­con Valley pour dési­­gner ça : la « fric­­tion ». Les gens ne veulent plus ressen­­tir de gêne entre eux et ce qui se trouve de l’autre côté de leur écran. Et ils sont prêts pour y arri­­ver à couper la route en plein virage. C’est-à-dire à cliquer sur des liens sur lesquels ils ne devraient pas cliquer et, plus grave encore, créer des comptes très peu sécu­­ri­­sés. 1-gX_YmiA-0HYFVZVSVI37YAPas besoin d’être Thomas Gabriel, le méchant de Die Hard 4, pour plon­­ger une ville dans le chaos. Il suffit d’un type soli­­taire avec beau­­coup de temps libre.

L’his­­toire s’est répé­­tée en 2008, quand Chris Chaney, un geek ciné­­phile au chômage rési­­dant à Jack­­son­­ville, en Floride, a péné­­tré le fragile système holly­­woo­­dien mieux que quiconque avant lui. Il n’était même pas hacker, juste doué pour les devi­­nettes. Après avoir visé juste avec l’adresse Gmail d’une célé­­brité, dont le nom s’est perdu au milieu de toutes celles qui ont suivi, il ne lui manquait plus que le bon mot de passe pour se connec­­ter. Et pour récu­­pé­­rer un mot de passe oublié, il suffit parfois de répondre à une ques­­tion de sécu­­rité. J’ai rendu visite à Chris Chaney après son arres­­ta­­tion et il m’a expliqué sa stra­­té­­gie : les célé­­bri­­tés adorent leurs animaux de compa­­gnie, elles en parlent dans les inter­­­views et posent avec eux dans les maga­­zines. Il a donc tout simple­­ment entré le nom du chien de l’ac­­trice en réponse à la ques­­tion secrète. Une fois connecté à son compte, il a utilisé le carnet d’adresses de l’ac­­trice pour trou­­ver les adresses e-mail d’autres stars, d’avo­­cats et d’agents. Il a ensuite procédé personne après personne, devi­­nant la réponse à leur ques­­tion de sécu­­rité et lisant leurs messages. Il a même installé un système de trans­­fert auto­­ma­­tique qui le préve­­nait dès qu’une victime chan­­geait son mot de passe. La leçon à en tirer est simple : quand le maillon faible est humain, ce qui est souvent le cas, pas besoin de skills avan­­cés en matière de pira­­tage, ni de vulné­­ra­­bi­­lité Zero day, ni de pro du clavier comme on en voit souvent dans les séries telles que NCIS ou dans le film Opéra­­tion Espa­­don. « Comparé à n’im­­porte qui dans le milieu, ses compé­­tences tech­­niques sont déri­­soires », m’a récem­­ment confié Josh Sadowsky, l’agent spécial qui a enquêté sur l’af­­faire, au bureau du FBI à Los Angeles. « Mais il était plein de ressources et il avait beau­­coup de temps libre. » 1-UHl7u_aQruVZpAPcmyQ41wChris Chaney a ainsi eu accès à plusieurs centaines de milliers d’e-mails échan­­gés entre ses victimes et leur entou­­rage (agents, famille et amis). Holly­­wood était comme enfermé dans une boule à neige qu’il tenait dans ses mains. Il connais­­sait toutes les magouilles, les futurs block­­bus­­ter, les liai­­sons secrètes, les peurs inavouées, l’ac­­teur qui passait pour un coureur de jupons et qui se révé­­lait être gay, la star­­lette qui avait été diagnos­­tiquée d’un cancer à l’insu des médias…

Alors que les tabloïds fouillent dans tous les coins à la recherche de la moindre miette de scoop, Chris Chaney déte­­nait des infor­­ma­­tions qui valaient des millions. Il est passé inaperçu pendant trois longues années, tranquille­­ment assis chez lui, lisant des milliers de mails et regar­­dant des photos dénu­­dées de femmes célèbres. Il en savait plus sur Holly­­wood que toute personne travaillant dans l’in­­dus­­trie du cinéma. Ce n’est qu’a­­près n’avoir pu s’em­­pê­­cher de trans­­mettre des photos dénu­­dées de Scar­­lett Johans­­son à un black hat qu’il a fini par être arrêté. Malgré la lourde peine impo­­sée à Chris Chaney –  dix ans d’in­­car­­cé­­ra­­tion dans une prison fédé­­rale  –,  ni les futures victimes poten­­tielles, ni les hackers n’ont compris le message.

En août 2014, quelques mois avant le pira­­tage de Sony, un autre grand scan­­dale a écla­­boussé le tout Holly­­wood : des centaines de photos intimes de célé­­bri­­tés, parmi lesquelles Jenni­­fer Lawrence, Kate Upton et Kaley Cuoco, ont fuité sur la toile. Cette affaire a été surnom­­mée The Fappe­­ning, de l’an­­glais « fap », terme vulgaire qu’on retrouve sur Inter­­net pour dési­­gner le bruit produit lors de la mastur­­ba­­tion. Comment cela a-t-il pu arri­­ver ? C’est ce que tout le monde voulait savoir. Et là encore, la réponse a été moins compliquée que ce à quoi on pouvait s’at­­tendre. Les stars s’étaient faites pira­­ter de la même manière qu’a­­vec Chaney. Les hackers ont ciblé les comptes des célé­­bri­­tés sur le service de stockage iCloud d’Apple et, à l’ins­­tar de Chris Chaney, ils ont deviné les réponses de leurs ques­­tions de sécu­­rité pour récu­­pé­­rer les mots de passe. Un porte-parole d’Apple a déclaré qu’il s’agis­­sait d’ « une pratique deve­­nue bien trop courante sur Inter­­net ». Ce n’est pas une surprise pour Wes Hsu, le direc­­teur de l’unité de cyber­­crime du bureau du procu­­reur fédé­­ral de Los Angeles. C’est lui qui engage des pour­­suites à l’en­­contre de la plupart des crimes liés au pira­­tage à Holly­­wood. « Les choses vont empi­­rer avec le temps », m’a-t-il confié à son bureau du centre-ville de Los Angeles. « Plus nous serons dépen­­dants des tech­­no­­lo­­gies, plus le problème va s’ag­­gra­­ver, c’est facile à prévoir. »

ulyces-hackinghollywood-03
Wesley Hsu au bureau
Crédits : Wes Hsu

Nous sommes face à un compor­­te­­ment inex­­pli­­cable : chacune de ces attaques a ensei­­gné des leçons simples sur la sécu­­rité et les risques liés au stockage de données person­­nelles ou rele­­vant de la propriété intel­­lec­­tuelle en ligne. Mais ces ensei­­gne­­ments sont systé­­ma­­tique­­ment igno­­rés. Pour Hsu, Sadowsky et les autres experts en première ligne, il ne s’agit plus de savoir si un indi­­vidu ou une société sera massi­­ve­­ment piraté à Holly­­wood, mais plutôt quand. « On assiste à un chan­­ge­­ment de menta­­lité », explique Liu, de FireEye. « On part du prin­­cipe qu’on sera piraté, donc quand ce sera le cas – pas si –, comment devra-t-on réagir ? »

Les geeks et le FBI

Nous sommes début janvier 2015, un peu plus d’un mois après le pira­­tage de Sony, et je me rends à l’en­­droit idéal pour en parler : le ShmooCon, un rassem­­ble­­ment annuel orga­­nisé à Washing­­ton D.C. pour les hackers les plus doués du pays. Quelques milliers de geeks, les cheveux ébou­­rif­­fés et habillés en noir, ont pris d’as­­saut le Hilton pour parler lock-picking et arpen­­ter le hall d’en­­trée avec des casques de réalité virtuelle. Parmi les hackers les plus connus, on trouve Marc Rogers, un Britan­­nique de 41 ans, grand et tatoué, qui est en train d’in­­ha­­ler son repas en face de moi. Il a beau­­coup appris pendant les décen­­nies qu’il a passées dans le monde de l’in­­for­­ma­­tique under­­ground. Il a commencé comme black hat, il a fait des choses qu’il ne peut s’em­­pê­­cher de racon­­ter avec un sourire mali­­cieux, et il travaille aujourd’­­hui comme ingé­­nieur sécu­­rité pour CloudF­­lare, une grande entre­­prise spécia­­li­­sée dans la sécu­­rité infor­­ma­­tique. Marc Rogers est aussi respon­­sable de la sécu­­rité infor­­ma­­tique du Def Con, le plus grand rassem­­ble­­ment de hackers du monde orga­­nisé à Las Vegas chaque été. Sa mission : empê­­cher les parti­­ci­­pants de pira­­ter les clés des chambres et de voler les antennes para­­bo­­liques sur le toit.

Il faut savoir que ce n’était pas la première fois que Sony se faisait pira­­ter.

Ici au ShmooCon, les hackers utilisent le pira­­tage de Sony comme étude de cas pour montrer comment les entre­­prises peuvent s’ex­­po­­ser à de pareilles attaques. Le hack de Sony est encore frais dans les mémoires, et ce qu’il s’est réel­­le­­ment passé demeure un mystère. Chris Rogers est l’un des prin­­ci­­paux inves­­ti­­ga­­teurs qui enquêtent de manière indé­­pen­­dante sur l’in­­fil­­tra­­tion, et il partage ses conclu­­sions. Mais même lui reste impres­­sionné et atterré par le pira­­tage de Sony. Le récit grand public de l’at­­taque s’en tient au scéna­­rio de la Corée du Nord : un dicta­­teur iras­­cible n’ap­­pré­­ciant pas du tout le dernier film de Seth Rogen décide de pira­­ter le studio de cinéma pour se venger. Mais pour les spécia­­listes de la sécu­­rité infor­­ma­­tique comme Chris Rogers, qui connaissent mieux le milieu, cette histoire ne reste pas seule­­ment à prou­­ver, elle est aussi gênante et dange­­reuse. « Lorsqu’on nous dit qu’un gouver­­ne­­ment est impliqué, on lève les mains au ciel en disant : “Oh ! Ça n’au­­rait jamais pu être évité en ce cas” », explique Chris Rogers. « C’est faux. Nous devrions vrai­­ment parler de la façon dont c’est arrivé. » Et pour comprendre comment c’est arrivé, il faut savoir que ce n’était pas la première fois que Sony se faisait pira­­ter.

Il y a plus de quatre ans, l’en­­tre­­prise a été la cible d’at­­taques suite à des pour­­suites enga­­gées contre un jeune program­­meur, George Hotz, qui avait piraté la PlayS­­ta­­tion 3, répu­­tée invio­­lable. Sony crai­­gnait que Hotz soit parvenu à jouer à des jeux pira­­tés sur son système, mais il était en réalité plus inté­­ressé par le fait de restau­­rer la possi­­bi­­lité d’ins­­tal­­ler le système d’ex­­ploi­­ta­­tion Linux sur la PS3, une possi­­bi­­lité que Sony avait supprimé malgré la demande des geeks sur Inter­­net. « Mauvaise idée ! »  m’avait confié Hotz peu de temps après. « Sony le regrette proba­­ble­­ment beau­­coup aujourd’­­hui. » Les hackers ont donc piraté le PlayS­­ta­­tion Network , le système de jeux en ligne de Sony, dévoi­­lant les adresses e-mail, mots de passe, dates de nais­­sance et adresses des 77 millions d’abon­­nés du PSN. Il s’agit de l’une des cinq plus grandes fuites de données dans l’his­­toire de la sécu­­rité infor­­ma­­tique. Quelques jours plus tard, les hackers ont décelé des failles de sécu­­rité sur Sony Online Enter­­tain­­ment, ce qui leur a permis de divul­­guer les infor­­ma­­tions concer­­nant 24 millions de comptes person­­nels. Sony a été désta­­bi­­lisé par le leak, mais aussi et surtout par la faci­­lité avec laquelle les hackers s’y étaient pris. Et ce qui n’était au départ qu’une sorte d’ex­­pé­­di­­tion façon Robin des Bois dans le but de défendre l’un des leurs s’est terminé en démons­­tra­­tion de la faiblesse de la sécu­­rité chez Sony. cucnqutxkfd3tfgo2lds« Nous avons eu accès à TOUT », écri­­vait l’un des groupes de hackers, concluant le post avec une ques­­tion rhéto­­rique : « Pourquoi faites-vous autant confiance à une entre­­prise qui ne fait rien pour se proté­­ger contre des attaques aussi basiques ? » Cet achar­­ne­­ment a fait du tort à la société, qui a perdu beau­­coup d’argent. Jim Kennedy, vice-président des commu­­ni­­ca­­tions stra­­té­­giques de Sony Corpo­­ra­­tion of America, la filiale améri­­caine du géant japo­­nais, m’avait dit à l’époque que l’en­­tre­­prise avait retenu la leçon. « Il faut bien recon­­naître que fina­­le­­ment, aucun système n’est infaillible », m’avait-il écrit dans un e-mail. « Une vigi­­lance perma­­nente est essen­­tielle. » Mais comme le font remarquer ironique­­ment Chris Rogers et ses acolytes – qui se défi­­nissent comme des « révé­­la­­teurs » – lors du ShmooCon, Sony ne semble pas avoir compris la leçon. La sécu­­rité a encore une fois été lais­­sée de côté car on a jugé qu’il s’agis­­sait d’une dépense super­­­flue, ou quelque chose qu’ils pensaient maîtri­­ser.

Dans une inter­­­view de 2007 réali­­sée par le maga­­zine CIO, le vice-président de la sécu­­rité des infor­­ma­­tions de SPE, Jason Spal­­tro, a reconnu que la stra­­té­­gie de défense numé­­rique de Sony était gouver­­née par l’argent. « Accep­­ter le risque d’une faille de sécu­­rité fait sens pour l’en­­tre­­prise », a-t-il déclaré. « Je ne vais pas inves­­tir dix millions de dollars pour éviter une perte éven­­tuelle d’un million de dollars. » D’après Fusion, les fichiers qui ont fuité ont révélé que seuls onze membres du person­­nel de sécu­­rité travaillaient au moment du pira­­tage, la plupart occu­­pant des fonc­­tions mana­­gé­­riales (trois analystes de sécu­­rité infor­­ma­­tique, trois mana­­gers, trois direc­­teurs, un direc­­teur exécu­­tif et un vice-président). On ignore si la concep­­tion de la sécu­­rité infor­­ma­­tique de Sony Pictures a beau­­coup évolué depuis ou si la hausse des coûts liée aux récentes failles ont modi­­fié le calcul du risque inter­­­ne… La pers­­pec­­tive d’un faible retour sur inves­­tis­­se­­ment permet­­trait donc d’ex­­pliquer cette défaillance et le chaos qui en a découlé avec le pira­­tage de Sony à l’au­­tomne dernier. Chris Rogers s’est attelé à la tâche après avoir vu une photo douteuse faire le tour de Twit­­ter. On y voyait un tract affi­­ché dans un ascen­­seur de Sony Pictures à Londres, sur lequel était écrit en gros lettres :  « MERCI DE NE PAS VOUS CONNECTER À VOTRE ORDINATEUR OU AU WIFI DE L’ENTREPRISE JUSQU’À NOUVEL ORDRE. »

Une image étrange était soudain appa­­rue sur les écrans d’or­­di­­na­­teurs dans les bureaux de Sony Pictures, de Los Angeles à Londres. On aurait dit un poster rétro-éclairé d’Iron Maiden : un sque­­lette rougeoyant se déta­­chait d’une enclave rocheuse violette, avec des arai­­gnées vertes rampant tout autour. Les mots « Hacked by #GOP » étaient écrits sur l’image, accom­­pa­­gnés de la menace suivante : « Nous vous avons déjà prévenu, et ceci n’est que le début. Nous avons obtenu toutes vos données internes, y compris les infor­­ma­­tions secrètes et top secrètes. Si vous ne nous obéis­­sez pas, nous dévoi­­le­­rons ces données au monde entier. » Sous le message se trou­­vaient cinq liens vers ce qui semblait être les données internes de Sony. « C’était comme un grand seau d’eau froide », se souvient Chris Rogers. « Je me suis dit : “Wow, il se passe un truc de fou là !” »

ulyces-hackinghollywood-04
L’écran des « gardiens de la paix »

Rogers et un autre type qui se joint à nous pour le repas – Dan Tent­­ler, cher­­cheur en sécu­­rité infor­­ma­­tique, affu­­blé d’une queue de cheval et d’un bouc  – font partie de ceux qui se sont plon­­gés dans le code pour comprendre ce qui s’était vrai­­ment passé. Tent­­ler a cofondé Carbon Dyna­­mics, une société qui effec­­tue des tests de sécu­­rité pour contrer les menaces infor­­ma­­tiques auxquelles font face les entre­­prises et les parti­­cu­­liers fortu­­nés – dont les célé­­bri­­tés. Dan Tent­­ler et ses confrères n’ont pas été surpris de voir Sony une nouvelle fois en bout de chaîne. « Leurs réseaux ne sont pas du tout sécu­­ri­­sés et tout le monde peut y accé­­der comme bon lui semble », dit Tent­­ler. Le porte-parole de SPE Jean Guérin avait mini­­misé la faille auprès de la presse, en commençant simple­­ment par dire : « Nous cher­­chons à résoudre un problème infor­­ma­­tique. » Mais le hack n’a pas tardé à voler de ses propres ailes et il n’a laissé aucun doute quant à son ampleur et son sérieux. Les fichiers qui avaient fuité incluaient notam­­ment des tonnes d’emails parlant d’ac­­teurs majeurs d’Hol­­ly­­wood dans des termes peu flat­­teurs, dont beau­­coup étaient écrits par (ou envoyés) à Amy Pascal, l’an­­cienne co-prési­­dente de Sony Pictures Motion Picture Group, qui a perdu son travail peu après le hack. Dans un de ces échanges, le produc­­teur Scott Rudin disait d’An­­ge­­lina Jolie qu’elle était « une morveuse pour­­rie-gâtée et sans talent ». Dans un autre mail, Pascal et Rudin plai­­san­­taient à propos des goûts ciné­­ma­­to­­gra­­phiques de Barack Obama, suggé­­rant plusieurs films centrés sur l’his­­toire des Afro-Améri­­cains : « Est-ce que je dois lui deman­­der s’il a aimé Django ? » écri­­vait Pascal. « 12 Years », a répondu Rudin. Et Pascal a renchéri avec d’autres films dans lesquels des person­­nages afro-améri­­cains sont au premier plan : « Ou le major­­dome. Ou think like a man [sic] ? » (Pascal a refusé de répondre à mes ques­­tions pour cette histoire.)

Fin novembre, les employés de Sony Pictures n’avaient toujours pas accès à Inter­­net ou à leurs ordi­­na­­teurs. Ce que voulait le GOP (pour Guar­­dians of Peace, les gardiens de la paix) demeu­­rait flou tandis que les fuites ont inondé la Toile durant les premiers jours de décembre : des films pas encore sortis (FuryAnnieMr. TurnerStill Alice et To Write Love On Her Arms), les données confi­­den­­tielles des employés (numé­­ros de sécu­­rité sociale, salaires, mots de passe, noms d’uti­­li­­sa­­teurs, passe­­ports en .pdf – dont ceux d’An­­ge­­lina Jolie et Jonah Hill –, et même des commandes sur mesure de bijoux de chez Tiffany), ainsi que les données finan­­cières de la société (rapports budgé­­taires, accords de licence et décla­­ra­­tions fiscales). 1-gH9qjNkh60uYqLyS41eTLQGrâce aux mots de passe de Sony trou­­vables sur Inter­­net, les « révé­­la­­teurs » ont sélec­­tionné un échan­­tillon qu’ils ont analysé. Ils ont étudié la longueur des mots de passe, cher­­ché à savoir s’il y avait une poli­­tique d’en­­tre­­prise en matière de complexité de ces derniers et, si oui, si elle était bien appliquée. Ils sont tombés des nues lorsqu’ils ont décou­­vert que de nombreux mots de passe étaient tout simple­­ment conte­­nus dans des docu­­ments texte inti­­tu­­lés « mot de passe », et que pour beau­­coup d’entre eux, ils étaient seule­­ment « mot de passe ». « Il ne s’agit pas d’une simple erreur », dit Rogers, « C’est un grave manque­­ment à l’échelle de toute une orga­­ni­­sa­­tion. Ils n’ont pas mis  en place quoi que ce soit qui ressemble à une archi­­tec­­ture de sécu­­rité. »

Le verdict à propos de la vulné­­ra­­bi­­lité de Sony est sans appel : « Les infor­­ma­­tions de Sony que nous avons analy­­sées ne disaient rien de bon », dit Tent­­ler, « mais ce n’était pas pire que chez n’im­­porte qui d’autre. » La sortie de The Inter­­view étant prévue pour les fêtes de Noël, les soupçons se sont tour­­nés vers la Corée du Nord, qui avait déjà dit du film qu’il consti­­tuait « un acte de provo­­ca­­tion malveillant ». Après des semaines de spécu­­la­­tion, le FBI a publié un commu­­niqué confir­­mant que « le gouver­­ne­­ment nord-coréen [était] respon­­sable de ces actions ». L’une des prin­­ci­­pales raisons à cette conclu­­sion, invoquée par le FBI, était que le malware utilisé pour attaquer Sony était semblable à un autre malware dont la piste remon­­tait jusqu’en Corée du Nord. Les révé­­la­­teurs n’étaient pas de cet avis. Le malware en ques­­tion était libre­­ment dispo­­nible depuis un certain temps, il aurait pu être utilisé par n’im­­porte qui. Et le code retrouvé dans les machines de Sony emprun­­tait des chemins bien spéci­­fiques pour accé­­der aux mots de passe, jetant les soupçons sur une personne ayant une connais­­sance intime des systèmes de la firme. Sans comp­­ter qu’il n’y avait eu aucune réfé­­rence à The Inter­­view en lien avec les attaques, en tout cas pas avant que les médias ne dési­gnent le film comme une possible expli­­ca­­tion du problème. Sans comp­­ter le fait de révé­­ler au grand jour les données internes de Sony – plutôt que de les utili­­ser pour du rensei­­gne­­ment ou de les revendre – suggé­­rait plutôt que le leit­­mo­­tiv était la vengeance, plutôt que l’es­­pion­­nage ou l’ex­­tor­­sion. « Les assaillants auraient pu deve­­nir riches de bien des manières », conclue Rogers. « Et pour­­tant, ils ont choisi de balan­­cer les données, les rendant inuti­­li­­sables. Tout comme je trouve diffi­­cile à croire qu’un “État-nation” qui vit grâce à la propa­­gande serait prêt à se débar­­ras­­ser avec une telle désin­­vol­­ture d’un accès sans précé­dent au cœur même d’Hol­­ly­­wood. » Norse, une société de sécu­­rité cher­­chant égale­­ment à résoudre l’af­­faire, a affirmé que la respon­­sa­­bi­­lité était plutôt à cher­­cher du côté d’un tech­­ni­­cien que Sony avait renvoyé, utili­­sant le pseu­­do­­nyme de Lena. D’après le vice-président de Norse Kurt Stamm­­ber­­ger, le GOP n’était pas le nom d’un collec­­tif de hackers nord-coréens, mais plutôt celui d’un groupe d’an­­ciens employés de Sony qui avaient été trai­­tés sans ména­­ge­­ment et avaient cher­­ché à se venger de leur ancien employeur. « Nous sommes en présence d’une entre­­prise qui a explosé de l’in­­té­­rieur », confiait-il à CBS News peu après l’at­­taque.

Sa compa­­gnie doit encore produire les preuves de ce qu’elle avance. Mais, comme dans n’im­­porte quel bon scéna­­rio, il y a des twists et des soupçons de conspi­­ra­­tion. Tent­­ler raconte que sa petite amie était chez lui quand elle a reçu la visite d’agents du FBI qui voulaient jeter un œil aux données de Sony qu’il était en train de télé­­char­­ger. « Juste pour préve­­nir mes collègues de l’in­­fo­­sec qui travaillent sur le hack de Sony : je viens de rece­­voir la visite du FBI », a-t-il tweeté, peu après son retour à l’ap­­par­­te­­ment. « Je n’étais pas là, donc je ne sais pas ce qu’ils voulaient. » Tent­­ler n’a jamais plus entendu parler d’eux. Mais la ques­­tion demeure : pourquoi le FBI s’in­­té­­res­­se­­rait-il à des geeks faisant des recherches sur le hack de Sony, s’ils sont si sûrs que les Nord-Coréens sont les respon­­sables ? Le FBI non plus n’a pas souhaité répondre à mes ques­­tions.

LISEZ ICI LA SUITE DE L’HISTOIRE


Traduit de l’an­­glais par Laura Orsal, Nico­­las Prouillac et Arthur Scheuer d’après l’ar­­ticle « The Hacking of Holly­­wood », paru dans Back­­chan­­nel. Couver­­ture : Holly­­wood/LoveLet­­ter


COMMENT HOLLYWOOD S’ORGANISE POUR RATTRAPER SON RETARD

ulyces-hackinghollywood-couv03

Down­load WordP­ress Themes
Down­load Nulled WordP­ress Themes
Free Down­load WordP­ress Themes
Down­load WordP­ress Themes
down­load udemy paid course for free
Premium WordPress Themes Download
Download WordPress Themes Free
Download Best WordPress Themes Free Download
Download Premium WordPress Themes Free
udemy course download free

Plus de monde

Comment Medellín est deve­nue une ville cool

151k 21 mai 2019 stories . monde

L’hu­ma­nité peut-elle survivre à Ebola ?

188k 20 mai 2019 stories . monde

Comment en finir avec le plas­tique ?

139k 16 mai 2019 stories . monde