par David Kushner | 7 avril 2016

La menace

C’est une jour­­née froide à Munich, et Oliver Stone, un des réali­­sa­­teurs les plus provo­­ca­­teurs d’Hol­­ly­­wood, est face au hacker le plus recher­­ché au monde, Edward Snow­­den –  ou plus exac­­te­­ment l’ac­­teur qui l’in­­carne, Joseph Gordon-Levitt. Le réali­­sa­­teur est en plein tour­­nage de son biopic contro­­versé d’Ed­­ward Snow­­den. Le film, dont la sortie est prévue cette année, retrace le parcours du lanceur d’alerte, ancienne recrue des forces spéciales, engagé par la suite comme agent de sécu­­rité par la NSA (Natio­­nal Secu­­rity Agency), qui a révélé les programmes de surveillance secrets du gouver­­ne­­ment améri­­cain. Mais Oliver Stone n’est pas unique­­ment préoc­­cupé par le tour­­nage de la saga des révé­­la­­tions incroyables d’Ed­­ward Snow­­den. Il veut s’as­­su­­rer qu’au­­cun hacker ne pira­­tera son film pour en livrer les secrets avant sa sortie dans les salles obscures. « C’est une source d’inquié­­tude pour tous les réali­­sa­­teurs », me confie-t-il pendant une pause sur le tour­­nage. Et ça l’est d’au­­tant plus lorsque le film concerné promet de lever le voile sur un homme encore mysté­­rieux aux yeux du monde. « Si quelqu’un parvient à pira­­ter son histoire », annonce Oliver Stone avec prudence, « il aura touché le gros lot. » Oliver Stone réalise en quelque sorte un méta-film, du jamais vu, alors qu’il construit un véri­­table pare-feu autour d’une œuvre dont le sujet est une icône de la sécu­­rité de l’in­­for­­ma­­tion.

ulyces-hackinghollywood-01
Ralph Eche­­men­­dia et Oliver Stone

C’est cela qui explique la présence d’un homme discret avec une barbi­­chette à la Fu Munchu, qui s’af­­faire autour du plateau. Il s’agit de Ralph Eche­­men­­dia, garde du corps du tout-numé­­rique holly­­woo­­dien, ancien hacker revenu du côté obscur pour aider les cinéastes, les stars et les magnats des studios à proté­­ger leurs précieuses données. Un défi qui ne fait que se corser à mesure qu’Hol­­ly­­wood, tout comme le reste du monde, trans­­fère de plus en plus son contenu et ses commu­­ni­­ca­­tions sur Inter­­net. « Le souci, c’est le manque de contrôle », m’ex­­plique Eche­­men­­dia. Oliver Stone précise que de telles précau­­tions, quoique récentes, sont « d’ave­­nir ».

Suite au pira­­tage massif de Sony Pictures Enter­­tain­­ment en novembre 2014, Holly­­wood joue à un jeu de la taupe de plus en plus déli­­rant : dès que l’in­­dus­­trie parvient à frap­­per un hacker, un autre prend sa place aussi sec. Et c’est un jeu de plus en plus coûteux. En octobre 2015, des docu­­ments judi­­ciaires ont révélé que Sony devrait verser près de 8 millions de dollars pour inten­­ter un recours collec­­tif avec des employés dont les données person­­nelles ont été pira­­tées, et il ne s’agit là que de la partie visible de l’ice­­berg. Si les coûts engen­­drés par de telles attaques sont diffi­­ciles à évaluer, les esti­­ma­­tions, basées sur des inci­­dents simi­­laires surve­­nus dans d’autres entre­­prises, oscil­lent entre 150 et 300 millions de dollars. C’est la version grand écran de la vulné­­ra­­bi­­lité qu’on éprouve en évoluant sur Inter­­net de nos jours, de Beverly Hills à la Maison-Blanche.

Il y a quelques mois, la boîte mail du direc­­teur de la CIA, John Bren­­nan, a été pira­­tée  par un adoles­cent (et son contenu mis en ligne par Wiki­­leaks ). Et comme l’ont montré les Drone Papers, le dernier leak de docu­­ments orches­­tré par Edward Snow­­den sur le programme améri­­cain d’as­­sas­­si­­nats ciblés, l’Amé­­rique a encore du chemin à faire pour se mettre à la page. Cette bataille met tout le monde sur les nerfs. Comme le dit Oliver Stone : « C’est un jeu de hasard, on ne sait pas comment ça finira. » Mais cette histoire ne raconte pas seule­­ment à quel point Holly­­wood s’est faci­­le­­ment fait avoir. C’est un récit plus vaste et teinté d’iro­­nie, ou comment les studios de cinéma ont façonné le mythe du hacker dans l’ima­­gi­­naire collec­­tif avant d’en être victime dans la réalité. Il était peut-être plus simple de croire à la version grand écran de la menace, souvent repré­­sen­­tée par un génie aux cheveux ébou­­rif­­fés, tout vêtu de noir et entouré de murs recou­­verts d’écrans HD (comme dans White House Down) lui permet­­tant d’en­­trer dans des systèmes de haute sécu­­rité comme dans du gruyère. Car en réalité, pas besoin d’être un génie du mal ou un gouver­­ne­­ment pour contour­­ner un pare-feu. En vérité, il n’est même pas néces­­saire d’être un hacker.

Le son de l’iné­­luc­­ta­­bi­­lité

La guerre d’Hol­­ly­­wood contre le pira­­tage a commencé le 19 février 2004, par un simple coup de télé­­phone. C’est arrivé dans une boutique T-Mobile, près de Los Angeles. La personne qui appe­­lait a dit au vendeur qu’elle travaillait au siège de T-Mobile à Washing­­ton. « Nous avons appris que vous rencon­­triez des problèmes avec les outils de votre compte client ? » a demandé le corres­­pon­­dant. « Non, pas du tout », a répondu l’em­­ployé. « C’est juste un peu lent. »

ulyces-hackinghollywood-02
Aujourd’­­hui repenti, Lacroix s’est excusé auprès de Paris Hilton
Crédits : Came­­ron Lacroix

« C’est pour­­tant ce qui est écrit dans le rapport », a pour­­suivi la personne au bout du fil. « Nous allons devoir véri­­fier ça rapi­­de­­ment. » « D’ac­­cord, qu’est-ce qu’il vous faut ? » Et l’em­­ployé a conscien­­cieu­­se­­ment donné à son inter­­­lo­­cu­­teur l’ac­­cès à l’in­­tra­­net de son entre­­prise pour gérer les comptes clients, en lui four­­nis­­sant son nom d’uti­­li­­sa­­teur et son mot de passe. L’in­­ter­­lo­­cu­­teur en ques­­tion n’était en réalité qu’un jeune hacker de 16 ans du nom de Came­­ron Lacroix, rési­­dant dans le Massa­­chu­­setts. Il a expliqué plus tard au Washing­­ton Post qu’il lui avait suffi de quelques connais­­sances en ingé­­nie­­rie sociale pour réali­­ser le premier grand pira­­tage d’Hol­­ly­­wood. Une fois dans le système de T-Mobile, le jeune Lacroix n’a eu qu’à cher­­cher les comptes des célé­­bri­­tés, réini­­tia­­li­­ser leur mot de passe et accé­­der à leurs données.

Il a commencé par appe­­ler Laurence Fish­­burne et lui a récité des tirades de son person­­nage dans la trilo­­gie Matrix. Et puis il a décro­­ché le jack­­pot : le Side­­kick de Paris Hilton, avec son carnet d’adresses, ses messages et ses photos nues – qu’il a mises en ligne pour que tout le monde les voie bien. Après avoir été arrêté et condamné à quatre ans de prison pour cette affaire et d’autres pira­­tages, Came­­ron Lacroix a déclaré que voler les données des stars holly­­woo­­diennes avait été « facile, trop facile ». Et c’est ainsi que d’autres hackers soli­­taires dotés d’une poignée de compé­­tences tech­­niques ont réussi, à maintes reprises, à pertur­­ber une indus­­trie pesant plusieurs milliards, sans qu’au­­cune solu­­tion pour l’em­­pê­­cher ne se profile à l’ho­­ri­­zon. Quelle que soit la complexité d’un système de sécu­­rité, il est aussi solide que le plus faible maillon de la chaîne. Chaîne au bas de laquelle se trouve géné­­ra­­le­­ment une personne qui n’a pas respecté le proto­­cole établi. Cette lacune intrin­­sèque permet d’ex­­pliquer la popu­­la­­rité de l’une des tactiques de pira­­tage les plus effi­­caces et les plus courantes : le spear phishing. Lors d’une attaque de spear phishing, le hacker cible une entre­­prise précise en cher­­chant une personne négli­­gente qui lui ouvrira la porte donnant accès au reste du réseau. En pratique, cela se traduit par l’en­­voi indi­­vi­­duel d’e-mails qui ont l’air d’avoir été rédi­­gés par quelqu’un de votre entou­­rage, accom­­pa­­gnés d’un lien. En réalité, il s’agit d’un assaillant se faisant passer pour l’une de vos connais­­sances, et le lien n’est pas une vidéo de lol cat : c’est un malware qui lui donnera un accès total à votre ordi­­na­­teur. Et comme Holly­­wood regorge d’as­­sis­­tants, de secré­­taires, de maquilleurs, de stylistes, d’agents, d’avo­­cats et bien d’autres employés, les hackers n’ont qu’à attendre qu’une seule de ces personnes clique sur le lien pour péné­­trer le système.

Pire encore. Étant donné que chacun travaille sur ses propres appa­­reils, les compa­­gnies, elles-mêmes de plus en plus déma­­té­­ria­­li­­sées, permettent que leurs employés se connectent à leurs systèmes via un maté­­riel infor­­ma­­tique sur lesquels les contrac­­tants qui tentent de sécu­­ri­­ser leurs données n’ont aucun contrôle. Et comme cette commu­­nauté est en perpé­­tuel mouve­­ment, les employés actuels ne sont pas les seuls en cause : toutes les personnes ayant travaillé pour ces socié­­tés sont des cibles poten­­tielles. « Holly­­wood fait face à un problème gigan­­tesque, car on doit proté­­ger toutes ces infor­­ma­­tions contre des milliers de personnes », me confie Ernie Liu, respon­­sable des services enquê­­tant sur le pira­­tage de Sony pour le compte de FireEye, une entre­­prise de sécu­­rité infor­­ma­­tique améri­­caine. Le confort est à ce prix. Nous voulons tous dispo­­ser d’un accès immé­­diat aux autres, à leur travail, leurs fichiers, leurs textes, leurs actua­­li­­tés, leurs potins, tout ça en un seul clic. Il y a un mot à la mode dans la Sili­­con Valley pour dési­­gner ça : la « fric­­tion ». Les gens ne veulent plus ressen­­tir de gêne entre eux et ce qui se trouve de l’autre côté de leur écran. Et ils sont prêts pour y arri­­ver à couper la route en plein virage. C’est-à-dire à cliquer sur des liens sur lesquels ils ne devraient pas cliquer et, plus grave encore, créer des comptes très peu sécu­­ri­­sés. 1-gX_YmiA-0HYFVZVSVI37YAPas besoin d’être Thomas Gabriel, le méchant de Die Hard 4, pour plon­­ger une ville dans le chaos. Il suffit d’un type soli­­taire avec beau­­coup de temps libre.

L’his­­toire s’est répé­­tée en 2008, quand Chris Chaney, un geek ciné­­phile au chômage rési­­dant à Jack­­son­­ville, en Floride, a péné­­tré le fragile système holly­­woo­­dien mieux que quiconque avant lui. Il n’était même pas hacker, juste doué pour les devi­­nettes. Après avoir visé juste avec l’adresse Gmail d’une célé­­brité, dont le nom s’est perdu au milieu de toutes celles qui ont suivi, il ne lui manquait plus que le bon mot de passe pour se connec­­ter. Et pour récu­­pé­­rer un mot de passe oublié, il suffit parfois de répondre à une ques­­tion de sécu­­rité. J’ai rendu visite à Chris Chaney après son arres­­ta­­tion et il m’a expliqué sa stra­­té­­gie : les célé­­bri­­tés adorent leurs animaux de compa­­gnie, elles en parlent dans les inter­­­views et posent avec eux dans les maga­­zines. Il a donc tout simple­­ment entré le nom du chien de l’ac­­trice en réponse à la ques­­tion secrète. Une fois connecté à son compte, il a utilisé le carnet d’adresses de l’ac­­trice pour trou­­ver les adresses e-mail d’autres stars, d’avo­­cats et d’agents. Il a ensuite procédé personne après personne, devi­­nant la réponse à leur ques­­tion de sécu­­rité et lisant leurs messages. Il a même installé un système de trans­­fert auto­­ma­­tique qui le préve­­nait dès qu’une victime chan­­geait son mot de passe. La leçon à en tirer est simple : quand le maillon faible est humain, ce qui est souvent le cas, pas besoin de skills avan­­cés en matière de pira­­tage, ni de vulné­­ra­­bi­­lité Zero day, ni de pro du clavier comme on en voit souvent dans les séries telles que NCIS ou dans le film Opéra­­tion Espa­­don. « Comparé à n’im­­porte qui dans le milieu, ses compé­­tences tech­­niques sont déri­­soires », m’a récem­­ment confié Josh Sadowsky, l’agent spécial qui a enquêté sur l’af­­faire, au bureau du FBI à Los Angeles. « Mais il était plein de ressources et il avait beau­­coup de temps libre. » 1-UHl7u_aQruVZpAPcmyQ41wChris Chaney a ainsi eu accès à plusieurs centaines de milliers d’e-mails échan­­gés entre ses victimes et leur entou­­rage (agents, famille et amis). Holly­­wood était comme enfermé dans une boule à neige qu’il tenait dans ses mains. Il connais­­sait toutes les magouilles, les futurs block­­bus­­ter, les liai­­sons secrètes, les peurs inavouées, l’ac­­teur qui passait pour un coureur de jupons et qui se révé­­lait être gay, la star­­lette qui avait été diagnos­­tiquée d’un cancer à l’insu des médias…

Alors que les tabloïds fouillent dans tous les coins à la recherche de la moindre miette de scoop, Chris Chaney déte­­nait des infor­­ma­­tions qui valaient des millions. Il est passé inaperçu pendant trois longues années, tranquille­­ment assis chez lui, lisant des milliers de mails et regar­­dant des photos dénu­­dées de femmes célèbres. Il en savait plus sur Holly­­wood que toute personne travaillant dans l’in­­dus­­trie du cinéma. Ce n’est qu’a­­près n’avoir pu s’em­­pê­­cher de trans­­mettre des photos dénu­­dées de Scar­­lett Johans­­son à un black hat qu’il a fini par être arrêté. Malgré la lourde peine impo­­sée à Chris Chaney –  dix ans d’in­­car­­cé­­ra­­tion dans une prison fédé­­rale  –,  ni les futures victimes poten­­tielles, ni les hackers n’ont compris le message.

En août 2014, quelques mois avant le pira­­tage de Sony, un autre grand scan­­dale a écla­­boussé le tout Holly­­wood : des centaines de photos intimes de célé­­bri­­tés, parmi lesquelles Jenni­­fer Lawrence, Kate Upton et Kaley Cuoco, ont fuité sur la toile. Cette affaire a été surnom­­mée The Fappe­­ning, de l’an­­glais « fap », terme vulgaire qu’on retrouve sur Inter­­net pour dési­­gner le bruit produit lors de la mastur­­ba­­tion. Comment cela a-t-il pu arri­­ver ? C’est ce que tout le monde voulait savoir. Et là encore, la réponse a été moins compliquée que ce à quoi on pouvait s’at­­tendre. Les stars s’étaient faites pira­­ter de la même manière qu’a­­vec Chaney. Les hackers ont ciblé les comptes des célé­­bri­­tés sur le service de stockage iCloud d’Apple et, à l’ins­­tar de Chris Chaney, ils ont deviné les réponses de leurs ques­­tions de sécu­­rité pour récu­­pé­­rer les mots de passe. Un porte-parole d’Apple a déclaré qu’il s’agis­­sait d’ « une pratique deve­­nue bien trop courante sur Inter­­net ». Ce n’est pas une surprise pour Wes Hsu, le direc­­teur de l’unité de cyber­­crime du bureau du procu­­reur fédé­­ral de Los Angeles. C’est lui qui engage des pour­­suites à l’en­­contre de la plupart des crimes liés au pira­­tage à Holly­­wood. « Les choses vont empi­­rer avec le temps », m’a-t-il confié à son bureau du centre-ville de Los Angeles. « Plus nous serons dépen­­dants des tech­­no­­lo­­gies, plus le problème va s’ag­­gra­­ver, c’est facile à prévoir. »

ulyces-hackinghollywood-03
Wesley Hsu au bureau
Crédits : Wes Hsu

Nous sommes face à un compor­­te­­ment inex­­pli­­cable : chacune de ces attaques a ensei­­gné des leçons simples sur la sécu­­rité et les risques liés au stockage de données person­­nelles ou rele­­vant de la propriété intel­­lec­­tuelle en ligne. Mais ces ensei­­gne­­ments sont systé­­ma­­tique­­ment igno­­rés. Pour Hsu, Sadowsky et les autres experts en première ligne, il ne s’agit plus de savoir si un indi­­vidu ou une société sera massi­­ve­­ment piraté à Holly­­wood, mais plutôt quand. « On assiste à un chan­­ge­­ment de menta­­lité », explique Liu, de FireEye. « On part du prin­­cipe qu’on sera piraté, donc quand ce sera le cas – pas si –, comment devra-t-on réagir ? »

Les geeks et le FBI

Nous sommes début janvier 2015, un peu plus d’un mois après le pira­­tage de Sony, et je me rends à l’en­­droit idéal pour en parler : le ShmooCon, un rassem­­ble­­ment annuel orga­­nisé à Washing­­ton D.C. pour les hackers les plus doués du pays. Quelques milliers de geeks, les cheveux ébou­­rif­­fés et habillés en noir, ont pris d’as­­saut le Hilton pour parler lock-picking et arpen­­ter le hall d’en­­trée avec des casques de réalité virtuelle. Parmi les hackers les plus connus, on trouve Marc Rogers, un Britan­­nique de 41 ans, grand et tatoué, qui est en train d’in­­ha­­ler son repas en face de moi. Il a beau­­coup appris pendant les décen­­nies qu’il a passées dans le monde de l’in­­for­­ma­­tique under­­ground. Il a commencé comme black hat, il a fait des choses qu’il ne peut s’em­­pê­­cher de racon­­ter avec un sourire mali­­cieux, et il travaille aujourd’­­hui comme ingé­­nieur sécu­­rité pour CloudF­­lare, une grande entre­­prise spécia­­li­­sée dans la sécu­­rité infor­­ma­­tique. Marc Rogers est aussi respon­­sable de la sécu­­rité infor­­ma­­tique du Def Con, le plus grand rassem­­ble­­ment de hackers du monde orga­­nisé à Las Vegas chaque été. Sa mission : empê­­cher les parti­­ci­­pants de pira­­ter les clés des chambres et de voler les antennes para­­bo­­liques sur le toit.

Il faut savoir que ce n’était pas la première fois que Sony se faisait pira­­ter.

Ici au ShmooCon, les hackers utilisent le pira­­tage de Sony comme étude de cas pour montrer comment les entre­­prises peuvent s’ex­­po­­ser à de pareilles attaques. Le hack de Sony est encore frais dans les mémoires, et ce qu’il s’est réel­­le­­ment passé demeure un mystère. Chris Rogers est l’un des prin­­ci­­paux inves­­ti­­ga­­teurs qui enquêtent de manière indé­­pen­­dante sur l’in­­fil­­tra­­tion, et il partage ses conclu­­sions. Mais même lui reste impres­­sionné et atterré par le pira­­tage de Sony. Le récit grand public de l’at­­taque s’en tient au scéna­­rio de la Corée du Nord : un dicta­­teur iras­­cible n’ap­­pré­­ciant pas du tout le dernier film de Seth Rogen décide de pira­­ter le studio de cinéma pour se venger. Mais pour les spécia­­listes de la sécu­­rité infor­­ma­­tique comme Chris Rogers, qui connaissent mieux le milieu, cette histoire ne reste pas seule­­ment à prou­­ver, elle est aussi gênante et dange­­reuse. « Lorsqu’on nous dit qu’un gouver­­ne­­ment est impliqué, on lève les mains au ciel en disant : “Oh ! Ça n’au­­rait jamais pu être évité en ce cas” », explique Chris Rogers. « C’est faux. Nous devrions vrai­­ment parler de la façon dont c’est arrivé. » Et pour comprendre comment c’est arrivé, il faut savoir que ce n’était pas la première fois que Sony se faisait pira­­ter.

Il y a plus de quatre ans, l’en­­tre­­prise a été la cible d’at­­taques suite à des pour­­suites enga­­gées contre un jeune program­­meur, George Hotz, qui avait piraté la PlayS­­ta­­tion 3, répu­­tée invio­­lable. Sony crai­­gnait que Hotz soit parvenu à jouer à des jeux pira­­tés sur son système, mais il était en réalité plus inté­­ressé par le fait de restau­­rer la possi­­bi­­lité d’ins­­tal­­ler le système d’ex­­ploi­­ta­­tion Linux sur la PS3, une possi­­bi­­lité que Sony avait supprimé malgré la demande des geeks sur Inter­­net. « Mauvaise idée ! »  m’avait confié Hotz peu de temps après. « Sony le regrette proba­­ble­­ment beau­­coup aujourd’­­hui. » Les hackers ont donc piraté le PlayS­­ta­­tion Network , le système de jeux en ligne de Sony, dévoi­­lant les adresses e-mail, mots de passe, dates de nais­­sance et adresses des 77 millions d’abon­­nés du PSN. Il s’agit de l’une des cinq plus grandes fuites de données dans l’his­­toire de la sécu­­rité infor­­ma­­tique. Quelques jours plus tard, les hackers ont décelé des failles de sécu­­rité sur Sony Online Enter­­tain­­ment, ce qui leur a permis de divul­­guer les infor­­ma­­tions concer­­nant 24 millions de comptes person­­nels. Sony a été désta­­bi­­lisé par le leak, mais aussi et surtout par la faci­­lité avec laquelle les hackers s’y étaient pris. Et ce qui n’était au départ qu’une sorte d’ex­­pé­­di­­tion façon Robin des Bois dans le but de défendre l’un des leurs s’est terminé en démons­­tra­­tion de la faiblesse de la sécu­­rité chez Sony. cucnqutxkfd3tfgo2lds« Nous avons eu accès à TOUT », écri­­vait l’un des groupes de hackers, concluant le post avec une ques­­tion rhéto­­rique : « Pourquoi faites-vous autant confiance à une entre­­prise qui ne fait rien pour se proté­­ger contre des attaques aussi basiques ? » Cet achar­­ne­­ment a fait du tort à la société, qui a perdu beau­­coup d’argent. Jim Kennedy, vice-président des commu­­ni­­ca­­tions stra­­té­­giques de Sony Corpo­­ra­­tion of America, la filiale améri­­caine du géant japo­­nais, m’avait dit à l’époque que l’en­­tre­­prise avait retenu la leçon. « Il faut bien recon­­naître que fina­­le­­ment, aucun système n’est infaillible », m’avait-il écrit dans un e-mail. « Une vigi­­lance perma­­nente est essen­­tielle. » Mais comme le font remarquer ironique­­ment Chris Rogers et ses acolytes – qui se défi­­nissent comme des « révé­­la­­teurs » – lors du ShmooCon, Sony ne semble pas avoir compris la leçon. La sécu­­rité a encore une fois été lais­­sée de côté car on a jugé qu’il s’agis­­sait d’une dépense super­­­flue, ou quelque chose qu’ils pensaient maîtri­­ser.

Dans une inter­­­view de 2007 réali­­sée par le maga­­zine CIO, le vice-président de la sécu­­rité des infor­­ma­­tions de SPE, Jason Spal­­tro, a reconnu que la stra­­té­­gie de défense numé­­rique de Sony était gouver­­née par l’argent. « Accep­­ter le risque d’une faille de sécu­­rité fait sens pour l’en­­tre­­prise », a-t-il déclaré. « Je ne vais pas inves­­tir dix millions de dollars pour éviter une perte éven­­tuelle d’un million de dollars. » D’après Fusion, les fichiers qui ont fuité ont révélé que seuls onze membres du person­­nel de sécu­­rité travaillaient au moment du pira­­tage, la plupart occu­­pant des fonc­­tions mana­­gé­­riales (trois analystes de sécu­­rité infor­­ma­­tique, trois mana­­gers, trois direc­­teurs, un direc­­teur exécu­­tif et un vice-président). On ignore si la concep­­tion de la sécu­­rité infor­­ma­­tique de Sony Pictures a beau­­coup évolué depuis ou si la hausse des coûts liée aux récentes failles ont modi­­fié le calcul du risque inter­­­ne… La pers­­pec­­tive d’un faible retour sur inves­­tis­­se­­ment permet­­trait donc d’ex­­pliquer cette défaillance et le chaos qui en a découlé avec le pira­­tage de Sony à l’au­­tomne dernier. Chris Rogers s’est attelé à la tâche après avoir vu une photo douteuse faire le tour de Twit­­ter. On y voyait un tract affi­­ché dans un ascen­­seur de Sony Pictures à Londres, sur lequel était écrit en gros lettres :  « MERCI DE NE PAS VOUS CONNECTER À VOTRE ORDINATEUR OU AU WIFI DE L’ENTREPRISE JUSQU’À NOUVEL ORDRE. »

Une image étrange était soudain appa­­rue sur les écrans d’or­­di­­na­­teurs dans les bureaux de Sony Pictures, de Los Angeles à Londres. On aurait dit un poster rétro-éclairé d’Iron Maiden : un sque­­lette rougeoyant se déta­­chait d’une enclave rocheuse violette, avec des arai­­gnées vertes rampant tout autour. Les mots « Hacked by #GOP » étaient écrits sur l’image, accom­­pa­­gnés de la menace suivante : « Nous vous avons déjà prévenu, et ceci n’est que le début. Nous avons obtenu toutes vos données internes, y compris les infor­­ma­­tions secrètes et top secrètes. Si vous ne nous obéis­­sez pas, nous dévoi­­le­­rons ces données au monde entier. » Sous le message se trou­­vaient cinq liens vers ce qui semblait être les données internes de Sony. « C’était comme un grand seau d’eau froide », se souvient Chris Rogers. « Je me suis dit : “Wow, il se passe un truc de fou là !” »

ulyces-hackinghollywood-04
L’écran des « gardiens de la paix »

Rogers et un autre type qui se joint à nous pour le repas – Dan Tent­­ler, cher­­cheur en sécu­­rité infor­­ma­­tique, affu­­blé d’une queue de cheval et d’un bouc  – font partie de ceux qui se sont plon­­gés dans le code pour comprendre ce qui s’était vrai­­ment passé. Tent­­ler a cofondé Carbon Dyna­­mics, une société qui effec­­tue des tests de sécu­­rité pour contrer les menaces infor­­ma­­tiques auxquelles font face les entre­­prises et les parti­­cu­­liers fortu­­nés – dont les célé­­bri­­tés. Dan Tent­­ler et ses confrères n’ont pas été surpris de voir Sony une nouvelle fois en bout de chaîne. « Leurs réseaux ne sont pas du tout sécu­­ri­­sés et tout le monde peut y accé­­der comme bon lui semble », dit Tent­­ler. Le porte-parole de SPE Jean Guérin avait mini­­misé la faille auprès de la presse, en commençant simple­­ment par dire : « Nous cher­­chons à résoudre un problème infor­­ma­­tique. » Mais le hack n’a pas tardé à voler de ses propres ailes et il n’a laissé aucun doute quant à son ampleur et son sérieux. Les fichiers qui avaient fuité incluaient notam­­ment des tonnes d’emails parlant d’ac­­teurs majeurs d’Hol­­ly­­wood dans des termes peu flat­­teurs, dont beau­­coup étaient écrits par (ou envoyés) à Amy Pascal, l’an­­cienne co-prési­­dente de Sony Pictures Motion Picture Group, qui a perdu son travail peu après le hack. Dans un de ces échanges, le produc­­teur Scott Rudin disait d’An­­ge­­lina Jolie qu’elle était « une morveuse pour­­rie-gâtée et sans talent ». Dans un autre mail, Pascal et Rudin plai­­san­­taient à propos des goûts ciné­­ma­­to­­gra­­phiques de Barack Obama, suggé­­rant plusieurs films centrés sur l’his­­toire des Afro-Améri­­cains : « Est-ce que je dois lui deman­­der s’il a aimé Django ? » écri­­vait Pascal. « 12 Years », a répondu Rudin. Et Pascal a renchéri avec d’autres films dans lesquels des person­­nages afro-améri­­cains sont au premier plan : « Ou le major­­dome. Ou think like a man [sic] ? » (Pascal a refusé de répondre à mes ques­­tions pour cette histoire.)

Fin novembre, les employés de Sony Pictures n’avaient toujours pas accès à Inter­­net ou à leurs ordi­­na­­teurs. Ce que voulait le GOP (pour Guar­­dians of Peace, les gardiens de la paix) demeu­­rait flou tandis que les fuites ont inondé la Toile durant les premiers jours de décembre : des films pas encore sortis (FuryAnnieMr. TurnerStill Alice et To Write Love On Her Arms), les données confi­­den­­tielles des employés (numé­­ros de sécu­­rité sociale, salaires, mots de passe, noms d’uti­­li­­sa­­teurs, passe­­ports en .pdf – dont ceux d’An­­ge­­lina Jolie et Jonah Hill –, et même des commandes sur mesure de bijoux de chez Tiffany), ainsi que les données finan­­cières de la société (rapports budgé­­taires, accords de licence et décla­­ra­­tions fiscales). 1-gH9qjNkh60uYqLyS41eTLQGrâce aux mots de passe de Sony trou­­vables sur Inter­­net, les « révé­­la­­teurs » ont sélec­­tionné un échan­­tillon qu’ils ont analysé. Ils ont étudié la longueur des mots de passe, cher­­ché à savoir s’il y avait une poli­­tique d’en­­tre­­prise en matière de complexité de ces derniers et, si oui, si elle était bien appliquée. Ils sont tombés des nues lorsqu’ils ont décou­­vert que de nombreux mots de passe étaient tout simple­­ment conte­­nus dans des docu­­ments texte inti­­tu­­lés « mot de passe », et que pour beau­­coup d’entre eux, ils étaient seule­­ment « mot de passe ». « Il ne s’agit pas d’une simple erreur », dit Rogers, « C’est un grave manque­­ment à l’échelle de toute une orga­­ni­­sa­­tion. Ils n’ont pas mis  en place quoi que ce soit qui ressemble à une archi­­tec­­ture de sécu­­rité. »

Le verdict à propos de la vulné­­ra­­bi­­lité de Sony est sans appel : « Les infor­­ma­­tions de Sony que nous avons analy­­sées ne disaient rien de bon », dit Tent­­ler, « mais ce n’était pas pire que chez n’im­­porte qui d’autre. » La sortie de The Inter­­view étant prévue pour les fêtes de Noël, les soupçons se sont tour­­nés vers la Corée du Nord, qui avait déjà dit du film qu’il consti­­tuait « un acte de provo­­ca­­tion malveillant ». Après des semaines de spécu­­la­­tion, le FBI a publié un commu­­niqué confir­­mant que « le gouver­­ne­­ment nord-coréen [était] respon­­sable de ces actions ». L’une des prin­­ci­­pales raisons à cette conclu­­sion, invoquée par le FBI, était que le malware utilisé pour attaquer Sony était semblable à un autre malware dont la piste remon­­tait jusqu’en Corée du Nord. Les révé­­la­­teurs n’étaient pas de cet avis. Le malware en ques­­tion était libre­­ment dispo­­nible depuis un certain temps, il aurait pu être utilisé par n’im­­porte qui. Et le code retrouvé dans les machines de Sony emprun­­tait des chemins bien spéci­­fiques pour accé­­der aux mots de passe, jetant les soupçons sur une personne ayant une connais­­sance intime des systèmes de la firme. Sans comp­­ter qu’il n’y avait eu aucune réfé­­rence à The Inter­­view en lien avec les attaques, en tout cas pas avant que les médias ne dési­gnent le film comme une possible expli­­ca­­tion du problème. Sans comp­­ter le fait de révé­­ler au grand jour les données internes de Sony – plutôt que de les utili­­ser pour du rensei­­gne­­ment ou de les revendre – suggé­­rait plutôt que le leit­­mo­­tiv était la vengeance, plutôt que l’es­­pion­­nage ou l’ex­­tor­­sion. « Les assaillants auraient pu deve­­nir riches de bien des manières », conclue Rogers. « Et pour­­tant, ils ont choisi de balan­­cer les données, les rendant inuti­­li­­sables. Tout comme je trouve diffi­­cile à croire qu’un “État-nation” qui vit grâce à la propa­­gande serait prêt à se débar­­ras­­ser avec une telle désin­­vol­­ture d’un accès sans précé­dent au cœur même d’Hol­­ly­­wood. » Norse, une société de sécu­­rité cher­­chant égale­­ment à résoudre l’af­­faire, a affirmé que la respon­­sa­­bi­­lité était plutôt à cher­­cher du côté d’un tech­­ni­­cien que Sony avait renvoyé, utili­­sant le pseu­­do­­nyme de Lena. D’après le vice-président de Norse Kurt Stamm­­ber­­ger, le GOP n’était pas le nom d’un collec­­tif de hackers nord-coréens, mais plutôt celui d’un groupe d’an­­ciens employés de Sony qui avaient été trai­­tés sans ména­­ge­­ment et avaient cher­­ché à se venger de leur ancien employeur. « Nous sommes en présence d’une entre­­prise qui a explosé de l’in­­té­­rieur », confiait-il à CBS News peu après l’at­­taque.

Sa compa­­gnie doit encore produire les preuves de ce qu’elle avance. Mais, comme dans n’im­­porte quel bon scéna­­rio, il y a des twists et des soupçons de conspi­­ra­­tion. Tent­­ler raconte que sa petite amie était chez lui quand elle a reçu la visite d’agents du FBI qui voulaient jeter un œil aux données de Sony qu’il était en train de télé­­char­­ger. « Juste pour préve­­nir mes collègues de l’in­­fo­­sec qui travaillent sur le hack de Sony : je viens de rece­­voir la visite du FBI », a-t-il tweeté, peu après son retour à l’ap­­par­­te­­ment. « Je n’étais pas là, donc je ne sais pas ce qu’ils voulaient. » Tent­­ler n’a jamais plus entendu parler d’eux. Mais la ques­­tion demeure : pourquoi le FBI s’in­­té­­res­­se­­rait-il à des geeks faisant des recherches sur le hack de Sony, s’ils sont si sûrs que les Nord-Coréens sont les respon­­sables ? Le FBI non plus n’a pas souhaité répondre à mes ques­­tions.

LISEZ ICI LA SUITE DE L’HISTOIRE


Traduit de l’an­­glais par Laura Orsal, Nico­­las Prouillac et Arthur Scheuer d’après l’ar­­ticle « The Hacking of Holly­­wood », paru dans Back­­chan­­nel. Couver­­ture : Holly­­wood/LoveLet­­ter


COMMENT HOLLYWOOD S’ORGANISE POUR RATTRAPER SON RETARD

ulyces-hackinghollywood-couv03

Free Down­load WordP­ress Themes
Down­load Best WordP­ress Themes Free Down­load
Down­load Best WordP­ress Themes Free Down­load
Down­load WordP­ress Themes
down­load udemy paid course for free
Premium WordPress Themes Download
Download WordPress Themes Free
Free Download WordPress Themes
Download Premium WordPress Themes Free
online free course

Plus de monde