Le 24 novembre 2014, les salariés de Sony Pictures Entertainment (SPE) ont appris en allumant leur ordinateur qu’un groupe de pirates se faisant appeler Guardians of Peace avait piraté leur réseau d’entreprise. Le groupe se vantait d’avoir copié des données internes et menaçait de les publier. Non seulement le maliciel était capable de dérober des données, mais il posséderait une routine d’effacement des données. Le réseau entier est ensuite resté inaccessible plusieurs jours. Les Guardians of Peace prétendaient détenir 100 terabytes de données, soit l’équivalent de 150 000 CD-ROM. Ils auraient copié des données sensibles, comme la liste des salaires des 6000 collaborateurs et des cadres au plus haut niveau, de la correspondance interne, mais aussi des films pas encore sortis. Cinq films ont en effet circulé au début de décembre sur des bourses d’échange, et une version du scénario du nouveau James Bond «Spectre» est parue sur le réseau. Le 21 novembre 2014 déjà, la direction de SPE avait reçu un message de chantage demandant une grosse rançon. Un autre groupe nommé God’s Apostls l’y menaçait de déclencher une «attaque totale», en l’absence de compensation du grave préjudice – non précisé – causé par SPE. Le délai signalé à la direction était le 24 novembre, date à laquelle la cyberattaque a été rendue publique.16 Le lien entre les groupes Guardians of Peace et God’s Apostls n’a toutefois pu être élucidé.
Le rapprochement n’a pas tardé à être fait entre l’attaque et le lancement imminent du film «L’Interview qui tue!». Il s’agissait d’une comédie satirique sur un complot de la CIA visant à supprimer Kim Jong-un, leader nord-coréen, dont la sortie en salle était prévue à Noël. En juillet déjà, l’ambassadeur nord-coréen aux Nations Unies s’était plaint auprès du Secrétaire général des Nations Unies du scénario du futur film. Le 1er décembre 2014, des experts américains ont soupçonné la cyberattaque contre Sony d’être d’origine nord-coréenne.17 Le 8décembre, un message des Guardians of Peace publié sur le site du service d’hébergement GitHub a exigé explicitement de renoncer à publier le film: «Stop immediately showing the movie of terrorism which can break the regional peace and cause the War!».
Le FBI, mandaté pour élucider l’affaire, a publié ses premiers résultats le19 décembre.18 Les enquêteurs ont signalé avoir récolté suffisamment d’informations pour conclure que le gouvernement nord-coréen était à l’origine de cette attaque. Par exemple, le maliciel ayant détruit les données était apparenté à un maliciel antérieur développé par la Corée du Nord. Des similitudes auraient été découvertes dans le code de programmation, dans les algorithmes de cryptage et les mécanismes de destruction des données. En outre, des recoupements frappants étaient possibles entre les infrastructures utilisées et des attaques antérieures attribuées à ce pays. Ainsi, les adresses IP programmées dans le maliciel avaient communiqué avec des infrastructures nord-coréennes déjà connues. De même, il y avait des similitudes avec les attaques de mars 2013 ayant pris pour cibles des banques et
des stations de radio sud-coréennes (DarkSeoul)19, que le FBI avait également attribuées à la Corée du Nord.
Le Ministère des affaires étrangères nord-coréen a aussitôt réfuté les accusations, en se disant en mesure de prouver que l’attaque n’avait rien à voir avec son gouvernement. Il a également invité les Etats-Unis à mettre en place une équipe commune d’enquête.
Le 7 janvier 2015 James Comey, patron du FBI, a répété lors d’une conférence sur la cybersécurité organisée à New York que les services secrets américains considéraient que les attaques avaient été lancées par la Corée du Nord.20 Il n’a pas fourni de détails. Mais le FBI aurait découvert de graves erreurs commises par les pirates. Le groupe Guardians of Peace avait ainsi posté divers messages sur son compte Facebook et aurait utilisé des adresses IP nord-coréennes pour se connecter.21 Après avoir réalisé son erreur, il s’était servi d’ordinateurs installés à l’étranger pour brouiller les pistes.
Selon plusieurs sources, la Corée du Nord ne serait pas le seul acteur à l’origine de cette cyberattaque. Quelques experts ont soupçonné un délit d’initié. Un ex-collaborateur de Sony licencié en mai 2014 aurait été mêlé à l’attaque.22
Les Etats-Unis ont durci le ton avec la Corée du Nord suite à cette attaque contre Sony Pictures Entertainment. Des sanctions pénales ont été prononcées contre dix responsables du régime de Pyongyang, ainsi que contre trois organisations ou entreprises.
En réaction aux cyberattaques répétées visant des entreprises ou le gouvernement fédéral, les Etats-Unis prévoient de créer une nouvelle autorité, intitulée Cyber Threat Intelligence Integration Center. Le CTIIC sera chargé de canaliser et d’analyser les informations issues de différentes sources.
Cet incident montre l’extrême difficulté, dans le cyberespace, d’apporter des preuves concluantes d’agressions attribuées à un Etat. Il est vrai que contrairement aux attaques conventionnelles, il existe de multiples possibilités de dissimuler l’origine d’une attaque et de lancer de fausses pistes. D’un autre côté, on aurait tort de croire que des fonctionnaires sont seuls assis à leur écran, en cas de cyberattaque d’origine étatique. La frontière est sans doute ténue entre les attaques étatiques et celles commanditées ou simplement tolérées par un Etat. Dans le meilleur des cas, on découvrira des cyberpirates résidant dans un pays précis. Or la preuve de l’implication étatique est encore loin d’être faite, et il faudrait enquêter sur place pour pouvoir l’apporter – ce qui est impensable dans de telles circonstances.
Par conséquent, les recherches portent fréquemment sur les mobiles des agresseurs. En l’absence d’enjeu monétaire, on a tôt fait de conclure à une attaque professionnelle, d’origine étatique. Or déjà avant la mise en circulation de CD contenant des données bancaires intéressant les autorités fiscales, des individus ont dérobé de leur propre chef des données sensibles, afin de les écouler auprès de gouvernements. La structure du marché cybercriminel est bien trop complexe pour se laisser réduire à une formule simple et généralisable. En l’occurrence, il se peut très bien que plusieurs acteurs soient en cause, et que leur interaction ait contribué à l’ampleur de l’incident survenu.
