Comment la Corée du Nord a pu pirater Sony Pictures

La Corée du Nord est à l'origine du piratage de Sony Pictures, selon une enquête du FBI dont les premiers éléments ont été révélés,vendredi 19 décembre. L'attaque contre la filiale de Sony a été lancée le 24 novembre, un mois avant la sortie de The Interview, comédie satirique sur un complot fictif de la CIA pour assassiner le leader nord-coréen Kim Jong-un. Sony Pictures a renoncé à sortir le film, craignant de nouvelles attaques informatiques

"Notre pays n'a aucun lien avec ce hacker", a rapidement démenti un diplomate nord-coréen aux Nations unies. Pourtant, le FBI a annoncé avoir "suffisamment de preuves pour conclure que le gouvernement nord-coréen est responsable de ces actions". Francetv info fait le point sur les moyens qu'a pu utiliser la Corée du Nord pour attaquer Sony Pictures. 

Grâce à une cellule de pirates très expérimentés

Le piratage aurait été mené par une cellule de pirates très efficace dont dispose le pays, selon le Wall Street Journal (en anglais). D'autant que, selon l'enquête, le "malware" – un logiciel malveillant installé à l'insu des utilisateurs – employé durant l'attaque aurait été codé en coréen.

Le code malveillant qui a infecté Sony Pictures a été identifié comme étant une version améliorée de Destover. Un virus similaire a servi pour pirater des banques en Corée du Sud et des sociétés au Proche-Orient, dont la compagnie nationale de pétrole et de gaz d'Arabie saoudite Saudi Aramco.

Un autre programme, appelé RawDisk, a été utilisé pour effacer les données des ordinateurs de Sony, empêchant leur fonctionnement. Une stratégie utilisée dans d'autres cyberattaques, comme Dark Séoul, qui a paralysé la Corée du Sud en 2013 et qui a été attribuée à la Corée du Nord.

Avec de faux e-mails envoyés aux employés de Sony 

De faux courriels auraient été envoyés aux employés de Sony Pictures, et leur ouverture aurait permis à l'attaque de parvenir à ses fins. C'est du moins l'hypothèse la plus répandue parmi les experts en cybersécurité qui se sont penchés sur cette attaque informatique. 

Les employés de Sony ont pu être spécifiquement visés par des attaques de phishing (hameçonnage), avec l'envoi de faux e-mails semblant provenir d'expéditeurs de confiance, selon Guy Levy-Yurista, vice-président de la société de protection d'identité en ligne Usher.

De tels courriels contiennent en général des liens hypertextes ou des pièces attachées qui, s'ils sont activés, entraînent l'installation, à l'insu des utilisateurs, de logiciels malveillants. Une fois que les pirates ont pénétré dans le système, ils tirent avantage des failles pour prendre le contrôle et puiser dans les données. "Le maillon faible de tout système de sécurité, c'est toujours l'être humain", a relevé Guy Levy-Yurista.

Avec l'aide de serveurs chinois 

Selon une source gouvernementale anonyme, les enquêteurs évoquent également un lien probable avec la Chine, soit parce que des Chinois auraient collaboré avec les pirates, soit parce que ces derniers auraient utilisé des serveurs chinois afin de masquer l'origine de leur attaque.

Les données téléchargées étant extrêmement lourdes, certains doutent que la Corée du Nord ait pu attaquer seule, la bande passante de ce pays étant très limitée. "Ils ne disposent que d'un seul grand fournisseur d'accès à travers le pays. Une telle quantité d'informations arrivant au même moment aurait complètement planté le réseau internet de la Corée du Nord", a expliqué l'ancien pirate Hector Monsegur à CBS.

Grâce à une taupe au sein de Sony Pictures

"Il est clair que quiconque qui est derrière ça n'était pas intéressé par l'argent, ils voulaient nuire à Sony (...) Cela ressemble plus à un travail de l'intérieur", a annoncé le FBI. Autrement dit : un employé de Sony pourrait avoir ouvert la porte aux pirates, qui auraient ensuite profité de la sécurité lacunaire du réseau informatique.

Le logiciel malveillant employé lors du piratage connaissait les chemins d'accès et mots de passe du réseau de Sony. Il aurait fallu des mois, voire des années à un hacker extérieur pour obtenir ces informations, note le site Extreme Tech (en anglais). Quelqu'un déjà à l'intérieur de l'entreprise aurait en revanche eu un accès facile à ces données.

Le volume très important de données volées, dont les dossiers médicaux et les numéros de Sécurité sociale des employés, indique que les pirates ont arpenté le réseau de Sony sans être détectés pendant une longue période, estime Marc Rogers, chercheur au sein de Cloud Flare, une société spécialisée dans la protection de sites internet. Selon lui, les hackers, ou des complices, ont peut-être même eu accès physiquement aux ordinateurs de Sony Pictures.