La menace

C’est une journée froide à Munich, et Oliver Stone, un des réalisateurs les plus provocateurs d’Hollywood, est face au hacker le plus recherché au monde, Edward Snowden –  ou plus exactement l’acteur qui l’incarne, Joseph Gordon-Levitt. Le réalisateur est en plein tournage de son biopic controversé d’Edward Snowden. Le film, dont la sortie est prévue cette année, retrace le parcours du lanceur d’alerte, ancienne recrue des forces spéciales, engagé par la suite comme agent de sécurité par la NSA (National Security Agency), qui a révélé les programmes de surveillance secrets du gouvernement américain. Mais Oliver Stone n’est pas uniquement préoccupé par le tournage de la saga des révélations incroyables d’Edward Snowden. Il veut s’assurer qu’aucun hacker ne piratera son film pour en livrer les secrets avant sa sortie dans les salles obscures. « C’est une source d’inquiétude pour tous les réalisateurs », me confie-t-il pendant une pause sur le tournage. Et ça l’est d’autant plus lorsque le film concerné promet de lever le voile sur un homme encore mystérieux aux yeux du monde. « Si quelqu’un parvient à pirater son histoire », annonce Oliver Stone avec prudence, « il aura touché le gros lot. » Oliver Stone réalise en quelque sorte un méta-film, du jamais vu, alors qu’il construit un véritable pare-feu autour d’une œuvre dont le sujet est une icône de la sécurité de l’information.

ulyces-hackinghollywood-01

Ralph Echemendia et Oliver Stone

C’est cela qui explique la présence d’un homme discret avec une barbichette à la Fu Munchu, qui s’affaire autour du plateau. Il s’agit de Ralph Echemendia, garde du corps du tout-numérique hollywoodien, ancien hacker revenu du côté obscur pour aider les cinéastes, les stars et les magnats des studios à protéger leurs précieuses données. Un défi qui ne fait que se corser à mesure qu’Hollywood, tout comme le reste du monde, transfère de plus en plus son contenu et ses communications sur Internet. « Le souci, c’est le manque de contrôle », m’explique Echemendia. Oliver Stone précise que de telles précautions, quoique récentes, sont « d’avenir ».

Suite au piratage massif de Sony Pictures Entertainment en novembre 2014, Hollywood joue à un jeu de la taupe de plus en plus délirant : dès que l’industrie parvient à frapper un hacker, un autre prend sa place aussi sec. Et c’est un jeu de plus en plus coûteux. En octobre 2015, des documents judiciaires ont révélé que Sony devrait verser près de 8 millions de dollars pour intenter un recours collectif avec des employés dont les données personnelles ont été piratées, et il ne s’agit là que de la partie visible de l’iceberg. Si les coûts engendrés par de telles attaques sont difficiles à évaluer, les estimations, basées sur des incidents similaires survenus dans d’autres entreprises, oscillent entre 150 et 300 millions de dollars. C’est la version grand écran de la vulnérabilité qu’on éprouve en évoluant sur Internet de nos jours, de Beverly Hills à la Maison-Blanche.

Il y a quelques mois, la boîte mail du directeur de la CIA, John Brennan, a été piratée  par un adolescent (et son contenu mis en ligne par Wikileaks ). Et comme l’ont montré les Drone Papers, le dernier leak de documents orchestré par Edward Snowden sur le programme américain d’assassinats ciblés, l’Amérique a encore du chemin à faire pour se mettre à la page. Cette bataille met tout le monde sur les nerfs. Comme le dit Oliver Stone : « C’est un jeu de hasard, on ne sait pas comment ça finira. » Mais cette histoire ne raconte pas seulement à quel point Hollywood s’est facilement fait avoir. C’est un récit plus vaste et teinté d’ironie, ou comment les studios de cinéma ont façonné le mythe du hacker dans l’imaginaire collectif avant d’en être victime dans la réalité. Il était peut-être plus simple de croire à la version grand écran de la menace, souvent représentée par un génie aux cheveux ébouriffés, tout vêtu de noir et entouré de murs recouverts d’écrans HD (comme dans White House Down) lui permettant d’entrer dans des systèmes de haute sécurité comme dans du gruyère. Car en réalité, pas besoin d’être un génie du mal ou un gouvernement pour contourner un pare-feu. En vérité, il n’est même pas nécessaire d’être un hacker.

Le son de l’inéluctabilité

La guerre d’Hollywood contre le piratage a commencé le 19 février 2004, par un simple coup de téléphone. C’est arrivé dans une boutique T-Mobile, près de Los Angeles. La personne qui appelait a dit au vendeur qu’elle travaillait au siège de T-Mobile à Washington. « Nous avons appris que vous rencontriez des problèmes avec les outils de votre compte client ? » a demandé le correspondant. « Non, pas du tout », a répondu l’employé. « C’est juste un peu lent. »

ulyces-hackinghollywood-02

Aujourd’hui repenti, Lacroix s’est excusé auprès de Paris Hilton
Crédits : Cameron Lacroix

« C’est pourtant ce qui est écrit dans le rapport », a poursuivi la personne au bout du fil. « Nous allons devoir vérifier ça rapidement. » « D’accord, qu’est-ce qu’il vous faut ? » Et l’employé a consciencieusement donné à son interlocuteur l’accès à l’intranet de son entreprise pour gérer les comptes clients, en lui fournissant son nom d’utilisateur et son mot de passe. L’interlocuteur en question n’était en réalité qu’un jeune hacker de 16 ans du nom de Cameron Lacroix, résidant dans le Massachusetts. Il a expliqué plus tard au Washington Post qu’il lui avait suffi de quelques connaissances en ingénierie sociale pour réaliser le premier grand piratage d’Hollywood. Une fois dans le système de T-Mobile, le jeune Lacroix n’a eu qu’à chercher les comptes des célébrités, réinitialiser leur mot de passe et accéder à leurs données.

Il a commencé par appeler Laurence Fishburne et lui a récité des tirades de son personnage dans la trilogie Matrix. Et puis il a décroché le jackpot : le Sidekick de Paris Hilton, avec son carnet d’adresses, ses messages et ses photos nues – qu’il a mises en ligne pour que tout le monde les voie bien. Après avoir été arrêté et condamné à quatre ans de prison pour cette affaire et d’autres piratages, Cameron Lacroix a déclaré que voler les données des stars hollywoodiennes avait été « facile, trop facile ». Et c’est ainsi que d’autres hackers solitaires dotés d’une poignée de compétences techniques ont réussi, à maintes reprises, à perturber une industrie pesant plusieurs milliards, sans qu’aucune solution pour l’empêcher ne se profile à l’horizon. Quelle que soit la complexité d’un système de sécurité, il est aussi solide que le plus faible maillon de la chaîne. Chaîne au bas de laquelle se trouve généralement une personne qui n’a pas respecté le protocole établi. Cette lacune intrinsèque permet d’expliquer la popularité de l’une des tactiques de piratage les plus efficaces et les plus courantes : le spear phishing. Lors d’une attaque de spear phishing, le hacker cible une entreprise précise en cherchant une personne négligente qui lui ouvrira la porte donnant accès au reste du réseau. En pratique, cela se traduit par l’envoi individuel d’e-mails qui ont l’air d’avoir été rédigés par quelqu’un de votre entourage, accompagnés d’un lien. En réalité, il s’agit d’un assaillant se faisant passer pour l’une de vos connaissances, et le lien n’est pas une vidéo de lol cat : c’est un malware qui lui donnera un accès total à votre ordinateur. Et comme Hollywood regorge d’assistants, de secrétaires, de maquilleurs, de stylistes, d’agents, d’avocats et bien d’autres employés, les hackers n’ont qu’à attendre qu’une seule de ces personnes clique sur le lien pour pénétrer le système.

Pire encore. Étant donné que chacun travaille sur ses propres appareils, les compagnies, elles-mêmes de plus en plus dématérialisées, permettent que leurs employés se connectent à leurs systèmes via un matériel informatique sur lesquels les contractants qui tentent de sécuriser leurs données n’ont aucun contrôle. Et comme cette communauté est en perpétuel mouvement, les employés actuels ne sont pas les seuls en cause : toutes les personnes ayant travaillé pour ces sociétés sont des cibles potentielles. « Hollywood fait face à un problème gigantesque, car on doit protéger toutes ces informations contre des milliers de personnes », me confie Ernie Liu, responsable des services enquêtant sur le piratage de Sony pour le compte de FireEye, une entreprise de sécurité informatique américaine. Le confort est à ce prix. Nous voulons tous disposer d’un accès immédiat aux autres, à leur travail, leurs fichiers, leurs textes, leurs actualités, leurs potins, tout ça en un seul clic. Il y a un mot à la mode dans la Silicon Valley pour désigner ça : la « friction ». Les gens ne veulent plus ressentir de gêne entre eux et ce qui se trouve de l’autre côté de leur écran. Et ils sont prêts pour y arriver à couper la route en plein virage. C’est-à-dire à cliquer sur des liens sur lesquels ils ne devraient pas cliquer et, plus grave encore, créer des comptes très peu sécurisés. 1-gX_YmiA-0HYFVZVSVI37YAPas besoin d’être Thomas Gabriel, le méchant de Die Hard 4, pour plonger une ville dans le chaos. Il suffit d’un type solitaire avec beaucoup de temps libre.

L’histoire s’est répétée en 2008, quand Chris Chaney, un geek cinéphile au chômage résidant à Jacksonville, en Floride, a pénétré le fragile système hollywoodien mieux que quiconque avant lui. Il n’était même pas hacker, juste doué pour les devinettes. Après avoir visé juste avec l’adresse Gmail d’une célébrité, dont le nom s’est perdu au milieu de toutes celles qui ont suivi, il ne lui manquait plus que le bon mot de passe pour se connecter. Et pour récupérer un mot de passe oublié, il suffit parfois de répondre à une question de sécurité. J’ai rendu visite à Chris Chaney après son arrestation et il m’a expliqué sa stratégie : les célébrités adorent leurs animaux de compagnie, elles en parlent dans les interviews et posent avec eux dans les magazines. Il a donc tout simplement entré le nom du chien de l’actrice en réponse à la question secrète. Une fois connecté à son compte, il a utilisé le carnet d’adresses de l’actrice pour trouver les adresses e-mail d’autres stars, d’avocats et d’agents. Il a ensuite procédé personne après personne, devinant la réponse à leur question de sécurité et lisant leurs messages. Il a même installé un système de transfert automatique qui le prévenait dès qu’une victime changeait son mot de passe. La leçon à en tirer est simple : quand le maillon faible est humain, ce qui est souvent le cas, pas besoin de skills avancés en matière de piratage, ni de vulnérabilité Zero day, ni de pro du clavier comme on en voit souvent dans les séries telles que NCIS ou dans le film Opération Espadon. « Comparé à n’importe qui dans le milieu, ses compétences techniques sont dérisoires », m’a récemment confié Josh Sadowsky, l’agent spécial qui a enquêté sur l’affaire, au bureau du FBI à Los Angeles. « Mais il était plein de ressources et il avait beaucoup de temps libre. » 1-UHl7u_aQruVZpAPcmyQ41wChris Chaney a ainsi eu accès à plusieurs centaines de milliers d’e-mails échangés entre ses victimes et leur entourage (agents, famille et amis). Hollywood était comme enfermé dans une boule à neige qu’il tenait dans ses mains. Il connaissait toutes les magouilles, les futurs blockbuster, les liaisons secrètes, les peurs inavouées, l’acteur qui passait pour un coureur de jupons et qui se révélait être gay, la starlette qui avait été diagnostiquée d’un cancer à l’insu des médias…

Alors que les tabloïds fouillent dans tous les coins à la recherche de la moindre miette de scoop, Chris Chaney détenait des informations qui valaient des millions. Il est passé inaperçu pendant trois longues années, tranquillement assis chez lui, lisant des milliers de mails et regardant des photos dénudées de femmes célèbres. Il en savait plus sur Hollywood que toute personne travaillant dans l’industrie du cinéma. Ce n’est qu’après n’avoir pu s’empêcher de transmettre des photos dénudées de Scarlett Johansson à un black hat qu’il a fini par être arrêté. Malgré la lourde peine imposée à Chris Chaney –  dix ans d’incarcération dans une prison fédérale  –,  ni les futures victimes potentielles, ni les hackers n’ont compris le message.

En août 2014, quelques mois avant le piratage de Sony, un autre grand scandale a éclaboussé le tout Hollywood : des centaines de photos intimes de célébrités, parmi lesquelles Jennifer Lawrence, Kate Upton et Kaley Cuoco, ont fuité sur la toile. Cette affaire a été surnommée The Fappening, de l’anglais « fap », terme vulgaire qu’on retrouve sur Internet pour désigner le bruit produit lors de la masturbation. Comment cela a-t-il pu arriver ? C’est ce que tout le monde voulait savoir. Et là encore, la réponse a été moins compliquée que ce à quoi on pouvait s’attendre. Les stars s’étaient faites pirater de la même manière qu’avec Chaney. Les hackers ont ciblé les comptes des célébrités sur le service de stockage iCloud d’Apple et, à l’instar de Chris Chaney, ils ont deviné les réponses de leurs questions de sécurité pour récupérer les mots de passe. Un porte-parole d’Apple a déclaré qu’il s’agissait d’ « une pratique devenue bien trop courante sur Internet ». Ce n’est pas une surprise pour Wes Hsu, le directeur de l’unité de cybercrime du bureau du procureur fédéral de Los Angeles. C’est lui qui engage des poursuites à l’encontre de la plupart des crimes liés au piratage à Hollywood. « Les choses vont empirer avec le temps », m’a-t-il confié à son bureau du centre-ville de Los Angeles. « Plus nous serons dépendants des technologies, plus le problème va s’aggraver, c’est facile à prévoir. »

ulyces-hackinghollywood-03

Wesley Hsu au bureau
Crédits : Wes Hsu

Nous sommes face à un comportement inexplicable : chacune de ces attaques a enseigné des leçons simples sur la sécurité et les risques liés au stockage de données personnelles ou relevant de la propriété intellectuelle en ligne. Mais ces enseignements sont systématiquement ignorés. Pour Hsu, Sadowsky et les autres experts en première ligne, il ne s’agit plus de savoir si un individu ou une société sera massivement piraté à Hollywood, mais plutôt quand. « On assiste à un changement de mentalité », explique Liu, de FireEye. « On part du principe qu’on sera piraté, donc quand ce sera le cas – pas si –, comment devra-t-on réagir ? »

Les geeks et le FBI

Nous sommes début janvier 2015, un peu plus d’un mois après le piratage de Sony, et je me rends à l’endroit idéal pour en parler : le ShmooCon, un rassemblement annuel organisé à Washington D.C. pour les hackers les plus doués du pays. Quelques milliers de geeks, les cheveux ébouriffés et habillés en noir, ont pris d’assaut le Hilton pour parler lock-picking et arpenter le hall d’entrée avec des casques de réalité virtuelle. Parmi les hackers les plus connus, on trouve Marc Rogers, un Britannique de 41 ans, grand et tatoué, qui est en train d’inhaler son repas en face de moi. Il a beaucoup appris pendant les décennies qu’il a passées dans le monde de l’informatique underground. Il a commencé comme black hat, il a fait des choses qu’il ne peut s’empêcher de raconter avec un sourire malicieux, et il travaille aujourd’hui comme ingénieur sécurité pour CloudFlare, une grande entreprise spécialisée dans la sécurité informatique. Marc Rogers est aussi responsable de la sécurité informatique du Def Con, le plus grand rassemblement de hackers du monde organisé à Las Vegas chaque été. Sa mission : empêcher les participants de pirater les clés des chambres et de voler les antennes paraboliques sur le toit.

Il faut savoir que ce n’était pas la première fois que Sony se faisait pirater.

Ici au ShmooCon, les hackers utilisent le piratage de Sony comme étude de cas pour montrer comment les entreprises peuvent s’exposer à de pareilles attaques. Le hack de Sony est encore frais dans les mémoires, et ce qu’il s’est réellement passé demeure un mystère. Chris Rogers est l’un des principaux investigateurs qui enquêtent de manière indépendante sur l’infiltration, et il partage ses conclusions. Mais même lui reste impressionné et atterré par le piratage de Sony. Le récit grand public de l’attaque s’en tient au scénario de la Corée du Nord : un dictateur irascible n’appréciant pas du tout le dernier film de Seth Rogen décide de pirater le studio de cinéma pour se venger. Mais pour les spécialistes de la sécurité informatique comme Chris Rogers, qui connaissent mieux le milieu, cette histoire ne reste pas seulement à prouver, elle est aussi gênante et dangereuse. « Lorsqu’on nous dit qu’un gouvernement est impliqué, on lève les mains au ciel en disant : “Oh ! Ça n’aurait jamais pu être évité en ce cas” », explique Chris Rogers. « C’est faux. Nous devrions vraiment parler de la façon dont c’est arrivé. » Et pour comprendre comment c’est arrivé, il faut savoir que ce n’était pas la première fois que Sony se faisait pirater.

Il y a plus de quatre ans, l’entreprise a été la cible d’attaques suite à des poursuites engagées contre un jeune programmeur, George Hotz, qui avait piraté la PlayStation 3, réputée inviolable. Sony craignait que Hotz soit parvenu à jouer à des jeux piratés sur son système, mais il était en réalité plus intéressé par le fait de restaurer la possibilité d’installer le système d’exploitation Linux sur la PS3, une possibilité que Sony avait supprimé malgré la demande des geeks sur Internet. « Mauvaise idée ! »  m’avait confié Hotz peu de temps après. « Sony le regrette probablement beaucoup aujourd’hui. » Les hackers ont donc piraté le PlayStation Network , le système de jeux en ligne de Sony, dévoilant les adresses e-mail, mots de passe, dates de naissance et adresses des 77 millions d’abonnés du PSN. Il s’agit de l’une des cinq plus grandes fuites de données dans l’histoire de la sécurité informatique. Quelques jours plus tard, les hackers ont décelé des failles de sécurité sur Sony Online Entertainment, ce qui leur a permis de divulguer les informations concernant 24 millions de comptes personnels. Sony a été déstabilisé par le leak, mais aussi et surtout par la facilité avec laquelle les hackers s’y étaient pris. Et ce qui n’était au départ qu’une sorte d’expédition façon Robin des Bois dans le but de défendre l’un des leurs s’est terminé en démonstration de la faiblesse de la sécurité chez Sony. cucnqutxkfd3tfgo2lds« Nous avons eu accès à TOUT », écrivait l’un des groupes de hackers, concluant le post avec une question rhétorique : « Pourquoi faites-vous autant confiance à une entreprise qui ne fait rien pour se protéger contre des attaques aussi basiques ? » Cet acharnement a fait du tort à la société, qui a perdu beaucoup d’argent. Jim Kennedy, vice-président des communications stratégiques de Sony Corporation of America, la filiale américaine du géant japonais, m’avait dit à l’époque que l’entreprise avait retenu la leçon. « Il faut bien reconnaître que finalement, aucun système n’est infaillible », m’avait-il écrit dans un e-mail. « Une vigilance permanente est essentielle. » Mais comme le font remarquer ironiquement Chris Rogers et ses acolytes – qui se définissent comme des « révélateurs » – lors du ShmooCon, Sony ne semble pas avoir compris la leçon. La sécurité a encore une fois été laissée de côté car on a jugé qu’il s’agissait d’une dépense superflue, ou quelque chose qu’ils pensaient maîtriser.

Dans une interview de 2007 réalisée par le magazine CIO, le vice-président de la sécurité des informations de SPE, Jason Spaltro, a reconnu que la stratégie de défense numérique de Sony était gouvernée par l’argent. « Accepter le risque d’une faille de sécurité fait sens pour l’entreprise », a-t-il déclaré. « Je ne vais pas investir dix millions de dollars pour éviter une perte éventuelle d’un million de dollars. » D’après Fusion, les fichiers qui ont fuité ont révélé que seuls onze membres du personnel de sécurité travaillaient au moment du piratage, la plupart occupant des fonctions managériales (trois analystes de sécurité informatique, trois managers, trois directeurs, un directeur exécutif et un vice-président). On ignore si la conception de la sécurité informatique de Sony Pictures a beaucoup évolué depuis ou si la hausse des coûts liée aux récentes failles ont modifié le calcul du risque interne… La perspective d’un faible retour sur investissement permettrait donc d’expliquer cette défaillance et le chaos qui en a découlé avec le piratage de Sony à l’automne dernier. Chris Rogers s’est attelé à la tâche après avoir vu une photo douteuse faire le tour de Twitter. On y voyait un tract affiché dans un ascenseur de Sony Pictures à Londres, sur lequel était écrit en gros lettres :  « MERCI DE NE PAS VOUS CONNECTER À VOTRE ORDINATEUR OU AU WIFI DE L’ENTREPRISE JUSQU’À NOUVEL ORDRE. »

Une image étrange était soudain apparue sur les écrans d’ordinateurs dans les bureaux de Sony Pictures, de Los Angeles à Londres. On aurait dit un poster rétro-éclairé d’Iron Maiden : un squelette rougeoyant se détachait d’une enclave rocheuse violette, avec des araignées vertes rampant tout autour. Les mots « Hacked by #GOP » étaient écrits sur l’image, accompagnés de la menace suivante : « Nous vous avons déjà prévenu, et ceci n’est que le début. Nous avons obtenu toutes vos données internes, y compris les informations secrètes et top secrètes. Si vous ne nous obéissez pas, nous dévoilerons ces données au monde entier. » Sous le message se trouvaient cinq liens vers ce qui semblait être les données internes de Sony. « C’était comme un grand seau d’eau froide », se souvient Chris Rogers. « Je me suis dit : “Wow, il se passe un truc de fou là !” »

ulyces-hackinghollywood-04

L’écran des « gardiens de la paix »

Rogers et un autre type qui se joint à nous pour le repas – Dan Tentler, chercheur en sécurité informatique, affublé d’une queue de cheval et d’un bouc  – font partie de ceux qui se sont plongés dans le code pour comprendre ce qui s’était vraiment passé. Tentler a cofondé Carbon Dynamics, une société qui effectue des tests de sécurité pour contrer les menaces informatiques auxquelles font face les entreprises et les particuliers fortunés – dont les célébrités. Dan Tentler et ses confrères n’ont pas été surpris de voir Sony une nouvelle fois en bout de chaîne. « Leurs réseaux ne sont pas du tout sécurisés et tout le monde peut y accéder comme bon lui semble », dit Tentler. Le porte-parole de SPE Jean Guérin avait minimisé la faille auprès de la presse, en commençant simplement par dire : « Nous cherchons à résoudre un problème informatique. » Mais le hack n’a pas tardé à voler de ses propres ailes et il n’a laissé aucun doute quant à son ampleur et son sérieux. Les fichiers qui avaient fuité incluaient notamment des tonnes d’emails parlant d’acteurs majeurs d’Hollywood dans des termes peu flatteurs, dont beaucoup étaient écrits par (ou envoyés) à Amy Pascal, l’ancienne co-présidente de Sony Pictures Motion Picture Group, qui a perdu son travail peu après le hack. Dans un de ces échanges, le producteur Scott Rudin disait d’Angelina Jolie qu’elle était « une morveuse pourrie-gâtée et sans talent ». Dans un autre mail, Pascal et Rudin plaisantaient à propos des goûts cinématographiques de Barack Obama, suggérant plusieurs films centrés sur l’histoire des Afro-Américains : « Est-ce que je dois lui demander s’il a aimé Django ? » écrivait Pascal. « 12 Years », a répondu Rudin. Et Pascal a renchéri avec d’autres films dans lesquels des personnages afro-américains sont au premier plan : « Ou le majordome. Ou think like a man [sic] ? » (Pascal a refusé de répondre à mes questions pour cette histoire.)

Fin novembre, les employés de Sony Pictures n’avaient toujours pas accès à Internet ou à leurs ordinateurs. Ce que voulait le GOP (pour Guardians of Peace, les gardiens de la paix) demeurait flou tandis que les fuites ont inondé la Toile durant les premiers jours de décembre : des films pas encore sortis (FuryAnnieMr. TurnerStill Alice et To Write Love On Her Arms), les données confidentielles des employés (numéros de sécurité sociale, salaires, mots de passe, noms d’utilisateurs, passeports en .pdf – dont ceux d’Angelina Jolie et Jonah Hill –, et même des commandes sur mesure de bijoux de chez Tiffany), ainsi que les données financières de la société (rapports budgétaires, accords de licence et déclarations fiscales). 1-gH9qjNkh60uYqLyS41eTLQGrâce aux mots de passe de Sony trouvables sur Internet, les « révélateurs » ont sélectionné un échantillon qu’ils ont analysé. Ils ont étudié la longueur des mots de passe, cherché à savoir s’il y avait une politique d’entreprise en matière de complexité de ces derniers et, si oui, si elle était bien appliquée. Ils sont tombés des nues lorsqu’ils ont découvert que de nombreux mots de passe étaient tout simplement contenus dans des documents texte intitulés « mot de passe », et que pour beaucoup d’entre eux, ils étaient seulement « mot de passe ». « Il ne s’agit pas d’une simple erreur », dit Rogers, « C’est un grave manquement à l’échelle de toute une organisation. Ils n’ont pas mis  en place quoi que ce soit qui ressemble à une architecture de sécurité. »

Le verdict à propos de la vulnérabilité de Sony est sans appel : « Les informations de Sony que nous avons analysées ne disaient rien de bon », dit Tentler, « mais ce n’était pas pire que chez n’importe qui d’autre. » La sortie de The Interview étant prévue pour les fêtes de Noël, les soupçons se sont tournés vers la Corée du Nord, qui avait déjà dit du film qu’il constituait « un acte de provocation malveillant ». Après des semaines de spéculation, le FBI a publié un communiqué confirmant que « le gouvernement nord-coréen [était] responsable de ces actions ». L’une des principales raisons à cette conclusion, invoquée par le FBI, était que le malware utilisé pour attaquer Sony était semblable à un autre malware dont la piste remontait jusqu’en Corée du Nord. Les révélateurs n’étaient pas de cet avis. Le malware en question était librement disponible depuis un certain temps, il aurait pu être utilisé par n’importe qui. Et le code retrouvé dans les machines de Sony empruntait des chemins bien spécifiques pour accéder aux mots de passe, jetant les soupçons sur une personne ayant une connaissance intime des systèmes de la firme. Sans compter qu’il n’y avait eu aucune référence à The Interview en lien avec les attaques, en tout cas pas avant que les médias ne désignent le film comme une possible explication du problème. Sans compter le fait de révéler au grand jour les données internes de Sony – plutôt que de les utiliser pour du renseignement ou de les revendre – suggérait plutôt que le leitmotiv était la vengeance, plutôt que l’espionnage ou l’extorsion. « Les assaillants auraient pu devenir riches de bien des manières », conclue Rogers. « Et pourtant, ils ont choisi de balancer les données, les rendant inutilisables. Tout comme je trouve difficile à croire qu’un “État-nation” qui vit grâce à la propagande serait prêt à se débarrasser avec une telle désinvolture d’un accès sans précédent au cœur même d’Hollywood. » Norse, une société de sécurité cherchant également à résoudre l’affaire, a affirmé que la responsabilité était plutôt à chercher du côté d’un technicien que Sony avait renvoyé, utilisant le pseudonyme de Lena. D’après le vice-président de Norse Kurt Stammberger, le GOP n’était pas le nom d’un collectif de hackers nord-coréens, mais plutôt celui d’un groupe d’anciens employés de Sony qui avaient été traités sans ménagement et avaient cherché à se venger de leur ancien employeur. « Nous sommes en présence d’une entreprise qui a explosé de l’intérieur », confiait-il à CBS News peu après l’attaque.

Sa compagnie doit encore produire les preuves de ce qu’elle avance. Mais, comme dans n’importe quel bon scénario, il y a des twists et des soupçons de conspiration. Tentler raconte que sa petite amie était chez lui quand elle a reçu la visite d’agents du FBI qui voulaient jeter un œil aux données de Sony qu’il était en train de télécharger. « Juste pour prévenir mes collègues de l’infosec qui travaillent sur le hack de Sony : je viens de recevoir la visite du FBI », a-t-il tweeté, peu après son retour à l’appartement. « Je n’étais pas là, donc je ne sais pas ce qu’ils voulaient. » Tentler n’a jamais plus entendu parler d’eux. Mais la question demeure : pourquoi le FBI s’intéresserait-il à des geeks faisant des recherches sur le hack de Sony, s’ils sont si sûrs que les Nord-Coréens sont les responsables ? Le FBI non plus n’a pas souhaité répondre à mes questions.

LISEZ ICI LA SUITE DE L’HISTOIRE


Traduit de l’anglais par Laura Orsal, Nicolas Prouillac et Arthur Scheuer d’après l’article « The Hacking of Hollywood », paru dans Backchannel. Couverture : Hollywood/LoveLetter


COMMENT HOLLYWOOD S’ORGANISE POUR RATTRAPER SON RETARD

ulyces-hackinghollywood-couv03