What If It Wasn’t North Korea that Hacked into Sony?

<--

Et si ce n’était pas la Corée du Nord qui avait piraté Sony ?

Pour de nombreux experts en cybersécurité, les preuves avancées par le FBI contre Pyongyang ne tiennent pas la route.

Le coupable était peut-être un peu trop idéal. La Corée du Nord est-elle vraiment derrière le piratage massif de Sony Picture, revendiqué par un collectif de hackers “Guardians of the peace” (GOP) ? Le FBI a formellement accusé, vendredi dernier, le régime de Pyongyang. C’est la première fois que les Etats-Unis pointent la responsabilité d’un autre Etat dans une cyberattaque. Mais beaucoup d’experts en cybersécurité, eux, en doutent.

Quelles sont les preuves du FBI ?

“Le FBI a suffisamment de preuves pour conclure que le gouvernement nord-coréen est responsable de ces actions”, a écrit la police fédérale dans son communiqué. De quelles preuves parle le FBI ?

Une analyse technique du logiciel malveillant, qui provoque l’effacement de données utilisé dans ce piratage, “révèlent des liens” avec un autre logiciel malveillant que “le FBI sait avoir été développé par des Nord-Coréens”. Le FBI évoque des “similarités” dans des lignes de codage spécifiques, le cryptage d’algorithmes et les méthodes d’effacement de données”.

Selon l’agence fédéral, il existe des “chevauchements importants” entre les infrastructures (les serveurs et les ordinateurs) du piratage de Sony et celles utilisées dans d’autres attaques directement attribuées par le gouvernement américain à Pyongyang. Exemple : le FBI a découvert que plusieurs adresses IP, le numéro d’identification d’un ordinateur qui se connecte à internet, sont associées à des infrastructures nord-coréennes connues et étaient inscrites dans les codes du logiciel qui a infiltré Sony.

Les outils mobilisés dans le piratage de Sony présentent des “similarités” avec une cyber-attaque menée en mars 2013 contre des banques et des médias de Corée du Sud, qui avait été attribuée à la Corée du Nord.

Le FBI s’est toutefois gardé de révéler toutes les preuves en sa possession, certaines étant “classifiées” et ne pouvant pas être révélées.

Pourquoi ces preuves sont insuffisantes

Comme le remarque le site américain Vox, “aucune de ces preuves ne permet de conclure que la Corée du Nord est derrière le piratage de Sony”. Et Vox de pointer un fait tenace : dans le milieu des hackers, tout se partage.

Ce que peut vouloir dire que :

Dans les précédentes attaques, la Corée du Nord a pu utiliser un logiciel malveillant qui avait déjà été utilisé ailleurs. Ce qui met à mal l’hypothèse de la paternité nord-coréenne du logiciel qui a touché Sony.

Même chose pour les adresses IP associées aux infrastructures nord-coréennes. Ces serveurs et ordinateurs pourraient être une “infrastructure partagée et utilisée par de nombreux hackers”, estime Vox. La Corée du Nord pourrait donc avoir été en communication avec cette infrastructure “pour des raisons qui n’ont rien à voir avec le piratage de Sony”.

C’est ce que pense aussi le PDG d’Errata Security, Robert Graham :

La raison pour laquelle cela n’a aucun sens est que les hackers partagent leurs codes. Ils partagent tout : les outils, leurs techniques, leurs infrastructures, leurs robots, leurs systèmes d’exploitation, leurs failles. Les différents groupes partagent même leurs membres. Il est invraisemblable que la Corée du Nord a pu développer son propre logiciel malveillant à partir de rien.”

Dès le 17 décembre, le magazine américain “Wired” faisait partie des sceptiques. “Les affirmations à propos des responsables de n’importe quelle attaque doivent être traitées avec une bonne dose de scepticisme”, écrit Kim Zetter :

Les hackers compétents utilisent de fausses adresses IP pour couvrir leurs traces et laissent de faux indices dans leurs logiciels malveillant. Quand des hackers sont identifiés et interpellés, c’est parce qu’ils ont fait des erreurs ou quelqu’un les a dénoncé.”

Les “Guardians of the peace” et la piste “Lena”

Kurt Stammberger, PDG de Norse, une entreprise qui suit les attaques informatiques en temps réel, va encore plus loin. Il affirme sur CBS avoir mené sa propre enquête, rapporte “20 minutes”. Résultat ?

Sony n’a pas juste été piraté. L’entreprise a été atomisée de l’intérieur.”

Kurt Stammberger se base sur le fait que les “Guardians of the peace”, le groupe de hackers qui revendique la cyberattaque de Sony, n’ont pas demandé tout de suite le retrait du film “The Interview” mais ont réclamé de l’argent, promettant de révéler des secrets volés embarrassants.

Selon les informations récoltées par son entreprise, Kurt Stammberger affirme avoir remonté la piste de “Lena”, une mystérieuse personne qui se dit affiliée au groupe “Guardians of the peace” et a contacté plusieurs médias américains après le piratage de Sony. Elle avait alors réclamé “l’égalité” et accusé le patron du studio, Michael Lynton, d’être un criminel.

Selon Kurt Stammberger, “Lena” est une ancienne employée de Sony qui a travaillé 10 ans dans le groupe avant de le quitter en mai.

Cette femme était dans la position idéale, et avait les connaissances techniques nécessaires pour localiser les serveurs compromis.”

About this publication