Des services secrets, nous ne savons que les échecs et rarement les succès. Si l'échec provoque l'anathème, l'ingratitude est fille de la victoire. Quand à la gloire, il faut l'oublier, elle est pour les autres...

dimanche 21 décembre 2014

Sony : pourquoi la Corée du Nord n'est pas responsable


Le président Obama promet de "répondre" à Pyongyang, qu'il accuse d'avoir perpétré le gigantesque piratage qui met Sony Pictures en péril.


L'entrée des studios Sony Pictures Entertainment, en Californie. 
© Christopher Polk / GETTY IMAGES NORTH AMERICA / AFP 



Le FBI a annoncé vendredi avoir la preuve que la Corée du Nord est responsable du piratage de Sony Pictures, qui n'en finit plus de faire couler de l'encre. Il s'agit vraisemblablement de la plus importante attaque informatique jamais subie par une entreprise à cette échelle. C'est même une "grave affaire de sécurité nationale" pour la Maison-Blanche, qui peine à faire face à ce que les médias commencent à appeler une cyberguerre.


1. L'attaque

Fin novembre, un groupe de pirates a annoncé avoir volé 100 téraoctets de données (l'équivalent de plusieurs milliers de films en haute définition) à Sony Pictures, un géant de Hollywood. Les hackers ont eu accès à tout, des films de studio aux messageries des employés, en passant par les numéros de sécurité sociale des acteurs et les salaires des dirigeants. L'attaque aurait été facilitée, selon les pirates, par l'irresponsabilité de Sony, qui n'a que très faiblement protégé ses infrastructures. Des mots de passe étaient par exemple stockés dans un dossier "mot de passe" non chiffré, au mépris des règles de base de l'hygiène informatique.

2. Les conséquences

Pour Sony, c'est le cauchemar. Tous ses plans stratégiques ont été volés, ainsi que les scénarios des films à venir (dont le prochain James Bond, par exemple), ou encore les fichiers en haute définition des films tournés mais pas encore sortis. Des milliards de dollars sont en jeu, et la survie de l'entreprise pourrait être menacée si tout était réellement publié. À ce jour, seule une partie des informations a été dévoilée à la presse par les hackers. Une polémique est d'ailleurs née entre les organes de presse, qui publient certaines de ces informations lorsqu'ils les jugent d'intérêt public, et Sony qui crie littéralement au viol et exige que les médias s'autocensurent et n'utilisent aucune des données volées. Le studio a d'ailleurs menacé les médias de poursuites, dans une tentative désespérée (et vouée à l'échec...) de sauver les meubles.


3. Le coupable idéal

Les autorités américaines et Sony accusent le régime nord-coréen d'être à l'origine de l'attaque, car le studio était sur le point de sortir un film humoristique (The Interview) moquant Kim Jong-un, le leader du régime communiste. Pyongyang a démenti, tout en saluant l'attaque. C'est le coupable parfait, et le FBI a annoncé vendredi avoir "suffisamment de preuves" pour conclure à la responsabilité de la Corée du Nord. Pourtant, c'est une piste très fragile, voire peu crédible. La presse américaine a dévoilé que cinq dirigeants de Sony ont reçu une lettre de menaces demandant de l'argent, avant que les soupçons ne commencent à se porter sur la Corée du Nord. C'est alors que l'exigence de l'annulation de la sortie du film The Interview a émergé : ce décalage est pour le moins étrange.


4. Des pistes plus crédibles

D'autres pistes plus crédibles apparaissent progressivement dans les médias, par la voix d'experts en sécurité notamment (par exemple ici ou ici). 

- La piste de l'ancien employé. La bonne connaissance des défenses de Sony par les hackers semble indiquer qu'au moins un ancien employé les a aidés. Il pourrait même s'agir de l'acte isolé d'un ancien collaborateur voulant se venger, après un licenciement par exemple.

- La piste chinoise. Les armées de hackers chinois sont (comme les Américains !) spécialistes de l'usurpation d'identité et peuvent aisément faire transiter leurs attaques par la Corée du Nord. De manière générale, un cyberattaquant fera systématiquement croire que le piratage provient d'un autre pays. Mais le mobile reste dans ce cas un peu flou : pourquoi Sony ? Certains évoquent la haine historique entre la Chine et le Japon (patrie d'origine de Sony), et notamment des groupes de hackers voulant venger le massacre de Nankin en décembre 1937, il y a tout juste 77 ans.

- La piste du concurrent. Les studios concurrents, s'ils peuvent être inquiets pour leur sécurité après les révélations, ne peuvent que se réjouir des mésaventures de Sony Pictures. Le mobile est évident, mais il est toutefois peu probable qu'une entreprise pour laquelle le marché américain est vital prenne le risque de commanditer un tel acte et de se faire prendre par le FBI.

Ces trois pistes pourraient aussi n'en constituer qu'une seule : les synergies sont courantes dans le monde du hacking...


5. L'attitude de Sony

L'attitude de Sony a été, dès le départ, de se poser en victime, et d'obtempérer. Visiblement, le studio est terrorisé à l'idée que ses données soient publiées. C'est dans cet esprit qu'il a annulé totalement la sortie du film The Interview. Pourtant, il est quasi certain que les pirates ne se satisferont pas de cette concession et publieront malgré tout les fichiers un jour ou l'autre. Ils ont toutefois pris soin d'humilier un peu plus Sony en prouvant publiquement que le studio a "baissé son pantalon" : c'est ce qu'on appelle une victoire du terrorisme sur la liberté d'expression. Même si, d'après les critiques, le film The Interview ne vaut pas spécialement le détour, le symbole est puissant. 


Les prochaines étapes

Les hackers ont promis un "cadeau de Noël" aux internautes, et pourraient par exemple publier le scénario du prochain James Bond. Mais bien plus que les fuites sur ses films, Sony Pictures redoute la publication des messageries de ses dirigeants. La divulgation des courriels envoyés et reçus par les cadres du studio pourrait mettre en péril son avenir : la vice-présidente en a déjà fait les frais, après la mise en ligne d'une conversation dans laquelle elle fait des blagues racistes sur le président Obama.

Après les déclarations du FBI accusant formellement la Corée du Nord, il est probable que les autorités américaines fassent profil bas. Si l'opinion publique américaine réclame une vengeance, la décision de la Maison-Blanche de confier l'affaire au bureau fédéral d'investigation plutôt qu'au Commandement des opérations cybernétiques (Cyber Command) de l'armée montre qu'une action offensive ne semble pas à l'ordre du jour. Il y a d'ailleurs, là encore, une absurdité : si le FBI dispose de preuves aussi solides qu'il l'affirme contre Pyongyang, il est illogique qu'aucune riposte ne soit déclenchée. La doctrine cyber présentée par Hillary Clinton en 2010 prévoit une réplique immédiate aux cyberattaques... Il va falloir attendre que les pirates se manifestent de nouveau pour en savoir plus.

A qui profite le crime ?



Sony aurait-il été une victime collatérale d’un conflit 100% asiatique ? Le piratage de l’entreprise fait pourtant son petit effet dans l’administration américaine et dans les médias. C’est forcément la culture de la plus grande puissance du monde libre qui est agressée, même si Sony est une entreprise japonaise, on apprécie d’y voir une vision fantasmée des studios hollywoodiens, ceux qui nous vendent du rêve et de la liberté, rêve et liberté que nous achetons les yeux fermés.

Quel ennemi de la liberté pourrait bien s’en prendre à la culture du monde libre sinon la Corée du Nord ? D’ailleurs ça ne peut être qu’eux, la preuve, les journaux de connexion relèvent la présence d’adresses IP nord coréennes.

Ainsi, la police fédérale a découvert plusieurs adresses IP (ndlr : le numéro d’identification d’un ordinateur connecté à internet), étant associées à des infrastructures nord-coréennes connues.

Et le truc, avec les adresses IP nord coréennes, c’est que c’est tellement pas banal qu’on les repère tout de suite. Et c’est surtout là que le doute commence à s’installer… L’Internet nord coréen, nous avons quand même un peu examiné ses tuyaux, et la tâche fut rendue assez simple, car cet Internet là, il a une particularité, celle de ne justement pas avoir de tuyau.

UPDATE : voir les données actualisées de l’excellent NKNetobserver (thx Athoune), avec un bloc de 1024 IP plus deux autres ranges.



Question numéro 1 : Comment font les nords coréens pour mener une attaque d’envergure et très élaborée à en croire les services américains qui mènent l’enquête depuis leur propre territoire sans infrastructure ?

Quand on observe la Corée du nord de nuit depuis une imagerie satellite, on se dit que si nos hackers nords coréens ne bossent pas dans des bunkers, ils vont vite se faire gauler…

1 point blanc = 1 hacker nord coréen


Séoul, mars 2013 : la Corée du Sud au bord d’un cyber apocalypse, ou presque

Juste après les élections présidentielles en Corée du Sud, le pays était « cyber attaqué », mais pas trop fort quand même. Juste de gros embouteillages qui ont rendu indisponibles les plus grands médias du pays. Un bon gros déni de service distribué (DDoS), le truc qui fait des cyber bouchons, mais aucuncyber mort. Seoul s’empresse alors de dénoncer une attaque sans précédant émanant de Pyongyang… Mais quelque chose cloche. La Corée du Nord n’est pas un pays à se montrer peu fière de ses tout petits cybers attributs. La crème de la crème des hackers gouvernementaux nords coréens, officiant pour le bureau de reconnaissance du pays, sont formés en Chine, dans la prestigieuse Université Tsinghua, à Pékin, et qui regroupe à elle seule de gros laboratoires de recherche aux spécialités assez variées mais pointues.

Kim Jong Un, en train d’inspecter les silos de lancement de ses missiles balistiques


Question Numéro 2 : La Corée du Nord n’est elle pas un ennemi commun un peu trop facilement désigné parce que ça arrange tout le monde ?

Vous avez dit manipulation ?

C’est la candidate Park Geun-hye du parti Saenuri, marqué à droite, qui remporte l’élection présidentielle et accède au pouvoir en février 2012. Un an après, la Corée du Sud est tellement cyber attaquée d’un coup d’un seul que c’est quand même un peu suspect. Toujours courant 2013, ce sont des banques sud coréennes qui sont victimes de DDoS, toujours pas de cyber morts, juste de gros embouteillages, une méthode un peu suspecte pour l’unité d’élite du bras armé cyber du Bureau 121.

Oui la Corée du Nord recèle surement de talentueux hackers, formés par des chinois non moins talentueux, qui n’auraient probablement pas manqué de leur apprendre les bases de l’anonymisation des connexions en vue d’une attaque au service d’un gouvernement, ou encore à se servir de rebonds depuis des pays tiers dotés d’infrastructures un peu moins en carton que celles de leur pays.

Mais Reuters n’hésite pas, dès le 5 décembre (!), à désigner le Bureau 121 comme étant à l’origine de l’attaque menée sur Sony. Il faudra 2 semaines aux autorités américaines pour appuyer ce qui n’est à ce moment là que pure spéculation mais les médias ont bien préparé le terrain, l’administration Obama n’a plus qu’à s’engouffrer dans la brèche pour balancer son plan de communication bien rôdé, avec des hackers asiatiques, du FBI, des trucs « super sophistiqués, et de la dictature avec du monde libre dedans.

Car passé la première barrière matérielle, à savoir trouver un ordinateur non monté sur roulettes et une souris sans gros nez rouge, il faut quand même un minimum de bande passante pour s’attaquer à des infrastructures importantes. Niveau Internet, le pays est tellement pauvre que la légende veut qu’il faut mettre de l’engrais au pied des poteaux téléphoniques pour pinguer son fournisseur d’accès… La poignée de privilégiés qui a accès à Internet surfent avec le débit que nous avions en 1996… le truc « un peu » léger quand on doit se farcir ne serait-ce que la phase de découverte de l’infrastructure de tous les gros médias sud coréens, étape préalable à l’attaque elle même. Le hacker nord coréen est probablement le hacker le plus patient du monde.

Un autre élément à avoir en tête, c’est que la connectivité internationale du pays est assurée par un satellite chinois… et par Sprint, une entreprise américaine. Ce petit détail n’est évidemment pas sans poser quelques petits problèmes pour mener « une attaque massive » sur le territoire américain. Pour vous rendre l’image plus simple, nous dirons que même avec un très gros zizi et après deux packs de bière, vous risquez d’avoir du mal à faire déborder un fleuve de son lit. Dernier point, une attaque massive depuis la Corée du Nord dont le flux passerait par un satellite chinois ou par les tuyaux d’une entreprise américaine qui scrute scrupuleusement le moindre paquet émis, niveau discrétion, on a déjà vu un peu plus élaboré.

Il n’y a qu’un seul opérateur en Corée du Nord, évidemment gouvernemental, il s’agit de Star Joint Venture Co, (STAR KP) et leur « infra » est très régulièrement KO. Les sites nords coréens, c’est pas non plus ce qui étouffe ou spam indexe Google. Comme le montre NKNetobserver, les autres ranges sont ceux du chinois KPTC et un range alloué par Satgate.

Pyongyang à l’assaut d’Hollywood

Kim et ses biatches


Quel magnifique scénario de blockbuster ! Les hackers nord coréens qui font plier une major (américaine) japonaise de l’entertainment. L’armée du peuple qui fait front face à l’impérialisme américain japonais pour laver l’honneur souillé, par une production hollywoodienne du dieu vivant Kim Jong Un.

La cible, Sony, est déjà connue pour ses systèmes informatiques poreux qui lui avaient valu des piratages à répétition avec des fuites massives de données. L’affront, (un film) nanard se voulant burlesque et bien lourdingue mettant en scène une tentative d’assassinat du leader nord coréen.

Et boum, Sony baisse son pantalon à la surprise générale devant « Les Gardiens de la Paix », un mystérieux groupe de hackers nord coréens.

Les USA volent au secours de Sony et annoncent une « réponse proportionnée » et montre les dents devant la dictature, il faut plus de lois contre les cybers attaques, plus de moyens… plus de tout. Le terrorisme numérique, c’est du lourd, même quand c’est fait par un clown avec une souris à gros nez rouge. Comme nous l’avons déjà expliqué ici, si les USA comptent répondre de manière proportionnée, il leur faudra 20 secondes pour mettre tout le pays dans le noir en frappant 4 points stratégiques et l’impact serait ridicule puisque la Corée du Nord n’a aucune infrastructure critique connectée au Net, et pire, le peuple lui même est connecté sur un gros intranet 100% nord coréen, le Kwangmyong. … mais pas à Internet.

Même le FBI est formel, il reconnaît les techniques de l’attaque des banques sud coréennes qui auraient paralysé ces dernières… la classe, des services intérieurs qui reconnaissent les flux d’attaques de banques étrangères, ils sont comme ça le FBI, c’est des cadors. Tellement des cadors qu’ils n’auront pas manqué de remarquer que les infrastructures nord coréennes sont tellement percées que n’importe qui peut trouver sans mal une ou deux ip sur place pour mener une attaque depuis là bas exploitant ce qu’il faut comme ressources en dehors du pays et grossièrement laisser traîner quelques logs qui attestent de rien du tout mais qui réveilleront quelques sentiments nationalistes en Asie comme aux USA.

Dernier point technique : un réseau depuis lequel on attaque est un réseau « vivant », mais voilà, le réseau nord coréen, lui il ne bouge pas. Pas de nouvelles routes, pas de nouveaux morceaux d’infrastructures, rien n’a bougé, tout semble figé depuis des mois. Rien qui ne pourrait donner la moindre indication sur la plausibilité d’une attaque « depuis la Corée du Nord ».

L’histoire du censeur qui partage au monde ce qu’il veut censurer, c’est un peu gros

C’est bien connu, quand vous cherchez à censurer un film, le premier truc que vous faites, c’est de le partager sur les réseaux peer to peer pour l’offrir au monde entier. Sony s’engage alors dans une action qui n’est pas sans rappeler les tentatives désespérées du gouvernement américain de censurer Wikileaks, en lançant des DDoS sur les sites qui partagent les films volés.

La farce est un peu grossière mais le FBI n’en démord pas, c’est bien Pyongyang le responsable… suspens, sueur froide, la Corée du Nord, c’est des vrais méchants, ils ont même un arsenal nucléaire… enfin non ça on n’y croit pas trop, mais c’est quand même des méchants et c’est toujours bien de montrer les dents devant une dictature après avoir joué les hippies communistes avec Cuba…

Mais alors qui pourrait bien chercher à faire accuser la Corée du Nord, en s’attaquant à des intérêts japonais, et assez fort pour faire réagir les USA ? Allo, Séoul ? Y’a un peu de friture sur la ligne…



Professeur Kavé Salamatian 
Guerric Poncet