La société américaine Taia Global fondée et dirigée par Jeffrey Carr a publié le 4 février un rapport sur le piratage de Sony Pictures, l’une des cyber attaques les plus médiatisées de l’histoire. Elle a (re)mis le sujet de attribution sur le devant de la scène. Le directeur du FBI, celui de la NSA et le président américain, lui même, ont en effet désigné officiellement la Corée du Nord comme le commanditaire de ce cyber sabotage ou cyber vandalisme pour reprendre le terme utilisé par Barack Obama. Pour Sony Pictures, les conséquences ont été sérieuses. Sa vice-présidente (dont des e-mails jugés racistes avaient fuité) a décidé de quitter l’entreprise. Mais surtout les premiers chiffres (internes) estiment que cette cyber attaque coûtera à Sony Pictures près de 35 millions de dollars incluant les dépenses réalisées pour l’investigation et la remise en état des réseaux informatiques .
Jeffrey Carr a fait partie dès le début des personnes sceptiques concernant l’assurance du gouvernement américain à attribuer cette cyber attaque à la Corée du Nord. Mais comme beaucoup d’experts et de non experts. Mais soyons honnêtes. Personne n’en sait rien.
Le gouvernement américain a présenté des preuves légères en expliquant que les autres sont classifiées et que les dévoiler risquerait de compromettre leurs méthodes et sources de renseignement (bon sur le coup on en connaît plus qu’on devrait grâce à notre Edward préféré et quelques semaines plus tard une fuite officielle indiquait que la NSA avait piraté la Corée du Nord depuis des années). Certes il est difficile de faire confiance au gouvernement américain quand on repense aux mensonges au sujet des armes de destruction massive qui a entrainé une guerre en Irak. Après, de là à dire qu’ils mentent sur tout…
Quant aux pseudos experts auto-proclamés – rayer la mention inutile – (exemples : certains de nos amis journalistes ou autres géo-stratégistes) qui affirment « Non ce n’est pas la Corée du Nord ! » ils n’ont pas plus de preuves (seulement des hypothèses) pour étayer leurs affirmations. Ils font exactement la même chose que ce qu’ils reprochent au gouvernement américain. Pour certains, l’attribution c’est simplement affirmer le contraire du gouvernement américain et de FireEye Mandiant. Le contre-buzz du moment. Un peu ridicule…
Mon (modeste) avis : certainement que les agences de renseignement (américaines) en savent plus que nous et elles n’en diront jamais beaucoup (c’est leur métier, même si ça déplait à certains). Mais, nous, les « extérieurs » à cette affaire, ne faisons que spéculer. Nous n’en savons pas plus que ce qu’il fuite dans les médias. C’est peut être la Corée du Nord. Peut être pas. Conclusion : on en sait rien. Et ça ne devrait pas forcément être notre première préoccupation comme professionnel de la sécurité d’essayer de deviner qui est vraiment et précisément derrière telle ou telle cyber attaque. Je vois d’autres priorités, comme comprendre comment des centaines de téra-octets de données peuvent fuiter sans que personne ne s’en aperçoive… Mais bon ça produit moins de buzz (enfin de clics).
Pour en revenir au sujet principal, le rapport de Taia Global prend le parti d’aller à contre-courant de ce qu’on a lu depuis des semaines sur l’affaire du piratage de Sony Pictures en explorant de nouvelles théories et en tentant d’apporter des preuves démontrant que des hackers russes ont (également ?) pénétrer les réseaux informatique de Sony Pictures depuis plusieurs mois. Et, cerise sur le gâteau, qu’ils possèdent toujours un accès dans l’entreprise leur permettant d’exfiltrer encore des données.
Rien que le titre du rapport nous rappelle que les américains restent les rois du buzz même si on constate que l’entreprise de Jeffrey Carr investit beaucoup moins que FireEye Mandiant en marketing…
Dans le fond que nous explique ce rapport ? Il cherche à démontrer que des hackers russes ont piraté Sony Pictures. Et il émet 3 théories :
- Plusieurs groupes d’attaquants s’en sont pris à Sony pour des motivations diverses et variées et cela n’exclut pas une culpabilité nord coréenne.
- Que la Corée du Nord ait sous-traité à des pirates russes pour se protéger d’une éventuelle attribution et masquer les pistes.
- Enfin que les autorités américaines et les sociétés de réponse à incident appelées à la rescousse par Sony se sont littéralement plantées (cette dernière théorie semble être le fantasme de M. Carr qui ne les aime pas beaucoup).
Quelles sont les preuves apportées par Taia Gobal ? Des échanges électroniques avec un pirate russe, un « cyber mercenaire », (oui on peut l’ajouter au dictionnaire des nouveaux cyber mots) qui connaîtrait un autre pirate russe faisant parti d’un groupe qui aurait piraté Sony. Oui je préfère parler au conditionnel car je ne sais pas quoi en penser.
Les auteurs du rapport tentent de démontrer que leur approche de type HUMINT (renseignement humain) est la seule capable d’attribuer une cyber attaque. Ils reprochent aux autorités américaines et aux experts privés mandatés pour investiguer sur ce cas de ne se baser, soit seulement sur du SIGINT (mais qu’en savent-ils ?) et donc de la NSA, soit seulement sur des éléments techniques comme l’analyse du malware utilisé et des IP des serveurs de Command & Control. C’est la critique qui revient à chaque débat sur l’attribution. Trop simple pour être vrai ? C’est donc faux ? On en sait rien. Mais ce que certains appellent « le mythe de attribution » alimente (trop) facilement les théories du complot (surtout quand le gouvernement américain est impliqué dans les débats).
Je reste perplexe devant l’argumentaire de ce rapport. Quelle confiance donnait à un hacker russe qui se vend au plus offrant ? Est-il vraiment qui il prétend être ? (moi aussi je peux jouer le cyber paranoïaque). Le rapport présente également des documents et des mails inédits qui ne figureraient pas dans les millions de documents publiés par GOP, le groupe qui a revendiqué l’attaque et le chantage contre Sony Pictures. Mais encore une nouvelle fois, il est difficile de juger de la crédibilité de tout ça.
Pourquoi donner plus de crédit à ce rapport plutôt qu’aux affirmations des directeurs du FBI et de la NSA, d’Obama et de sociétés comme Mandiant ou CrowdSrike ? Moi je ne sais pas. Toujours cette question de confiance. Encore plus mise à mal dans le cyberespace où pour être certain d’une attribution (sans avoir accès à des sources classifiées) il faut quasiment détenir le PPT du commanditaire et de l’exécutant de la cyber attaque (Regin et l’attaque contre Belgacom).
Ce qui transparaît également de ce rapport, quand on suit régulièrement le blog de Jeffrey Carr et ses tweets, c’est qu’il est aussi là pour lancer des piques plus ou moins explicites à FireEye Mandiant, au FBI et à la NSA en dénigrant leurs compétences techniques et d’analyse. J’ai un peu de mal à douter des compétences de la NSA sur le sujet cyber surtout après avoir lu des centaines de documents leakés par Snowden. Difficile de faire la part des choses dans cette situation de guerre des égos (et commerciales…).
Personnellement comme je l’ai déjà écrit plus haut (je radote), je ne sais pas quoi en penser. Je ne vais pas comme certains (reflets.info ou Numerama en tête) m’aventurer à affirmer que « Non ce n’est probablement pas la Corée du Nord » (ou le contraire). Car je n’en sais rien. Des mots que beaucoup d’experts et de pseudos experts devraient apprendre à employer plus souvent. Commenter du vide ce n’est pas de l’analyse.
Toutes les théories sur le piratage de Sony se tiennent. La sous-traitance ? Pourquoi pas. Ça serait intelligent et les cyber mercenaires (Hack-as-a-Service) ne manquent pas et risquent surtout de se multiplier dans les prochaines années. Que plusieurs groupes d’attaquants aient piraté la même entreprise. C’est très probablement déjà arrivé (et ça complique d’autant plus l’attribution et le travail de réponse à incident). C’est la magie du cyberespace, tout est possible : masquer ses traces, false-flag, copycat, tromperie (« deception« )…
Difficile de discerner le vrai du faux, surtout en tant que simple commentateur de l’actualité. Les seuls pouvant le faire sont ceux dont c’est le métier et, eux, ne s’épanchent pas dans la presse ni dans des beaux rapports marketing.
Mais au final savoir qui a piraté Sony Pictures n’est pas forcément, pour la majorité d’entre nous, la question centrale. Cela devrait être d’apprendre de ces échecs pour se pencher sérieusement sur ce que l’on peut faire pour améliorer nos capacités de détection et les réponses (techniques, organisationnelles mais aussi juridiques et de gestion de crise) à ce type de cyber attaque. Quand on voit la quantité de données exfiltrées, on peut se poser des questions et ce n’est pas celle de l’attribution. Je ne dis pas qu’il n’est pas pertinent de s’intéresser également aux outils et modes opératoires des attaquants pour mieux les comprendre et tenter d’anticiper ainsi comment ils peuvent nous infiltrer. Mais il faudrait déjà pour cela que les organisations possèdent une certaine maturité en matière de cybersécurité. Et malheureusement pour la majorité d’entre elles, on est loin du compte…
Bonjour,
Analyse très juste.
Je me suis moi-même posé la question juste après la lecture de ce rapport : « Oui et alors ? »
On peut aussi partir du principe que la plupart des concepteurs de malware sont russophones, cela ne veut pas forcément dire que leurs clients le sont.
On en reste encore à une guerre de clocher entre les services de réponse à incident.
Je me souviens également avoir lu « quelque part » que la société Sony Pictures avait fait le choix de se séparer de la plupart de ses consultants en sécurité.
Y-a-t-il donc eu négligence en terme de moyens ?
Est-il également possible que les précédentes attaques sur le groupe Sony ait permis à certains groupes de se garder une porte d’entrée sur les systèmes ?
Beaucoup de questions, beaucoup moins de réponses…
Merci encore pour cet article !
Bon article, que ce soit le gouvernement américain ou les médias tout le monde avance des thèses sans fondements, ni preuves.