Alors que tout le monde pointe du doigt la Corée du Nord pour la cyberattaque de Sony Pictures, est-on sûr que Pyongyang soit vraiment derrière cette action ?
Vu que la revendication des hackers Guardians of the peace (GOP) qui ont attaqué Sony Pictures a été de réclamer la non-diffusion du film « The Interview », il s’est très vite avéré que la Corée du Nord pouvait être derrière cette attaque vu que le film en question met en scène une tentative d’attentat du leader nord-coréen.
Alors que Pyongyang fait figure de coupable idéal, la police fédérale américaine a communiqué que « Le FBI a suffisamment de preuves pour conclure que le gouvernement nord-coréen est responsable de ces actions ».
Il est par exemple fait mention que :
· Une analyse technique du logiciel malveillant a « révélé des liens » avec un autre logiciel malveillant que « le FBI sait avoir été développé par des Nord-Coréens ». Le FBI évoque des « similitudes » au niveau des lignes de codage, du cryptage, de l’algorithme et des méthodes d’effacement de données.
· Il existe des « chevauchements importants » entre les infrastructures du piratage de Sony et celles utilisées dans d’autres attaques précédemment attribuées à Pyongyang, ce qui comprend notamment plusieurs adresses IP.
· Les outils utilisés pour le piratage de Sony présentent des « similitudes » avec une cyberattaque menée en mars 2013 contre des banques et des médias de Corée du Sud, une attaque attribuée à la Corée du Nord.
Alors que le FBI n’a pas révélé toutes les preuves en sa possession vu que certaines sont classifiées, il s’avère que de nombreux experts en cybersécurité considèrent que les preuves avancées par le FBI ne tiennent pas la route.
Le site américain Vox fait par exemple remarquer qu’« aucune de ces preuves ne permet de conclure que la Corée du Nord est derrière le piratage de Sony » en pointant du doigt le fait que « tout se partage » dans le milieu des hackers. De fait :
· La Corée du Nord, dans ses précédentes attaques, a parfaitement pu utiliser un logiciel malveillant qui avait déjà été utilisé ailleurs. Une hypothèse qui met à mal la paternité nord-coréenne du logiciel qui a touché Sony.
· À l’heure des « infrastructures partagée et utilisée par de nombreux hackers », les adresses IP associées aux infrastructures nord-coréennes ne sont pas une preuve suffisante. « La Corée du Nord pourrait donc avoir été en communication avec cette infrastructure pour des raisons qui n’ont rien à voir avec le piratage de Sony ».
Vox n’est pas le seul à se poser des questions. Dès le 17 décembre, Wired était sceptique en avançant des explications telles que « Les hackers compétents utilisent de fausses adresses IP pour couvrir leurs traces et laissent de faux indices dans leurs logiciels malveillants. Quand des hackers sont identifiés et interpellés, c’est parce qu’ils ont fait des erreurs ou quelqu’un les a dénoncés ».
Pour Robert Graham, PDG d’Errata Security, « La raison pour laquelle cela n’a aucun sens est que les hackers partagent tout : leurs outils, leurs techniques, leurs infrastructures, leurs robots, leurs systèmes d’exploitation, leurs failles… et même leurs membres. Il est invraisemblable que la Corée du Nord a pu développer son propre logiciel malveillant à ne partir de rien ».
Selon Kurt Stammberger, PDG de Norse, « Sony n’a pas juste été piraté. L’entreprise a été atomisée de l’intérieur ». Il précise que les hackers n’ont pas immédiatement demandé le retrait du film « The Interview », mais qu’ils ont commencé par réclamer de l’argent sous la menace de révéler des secrets embarrassants.
C’est ainsi que la piste d’une mystérieuse « Lena » apparait, une personne qui se dit affiliée au Guardians of the peace et qui a contacté plusieurs médias américains après le piratage de Sony pour réclamer « l’égalité » et accusé Michael Lynton, le patron du studio, d’être un criminel.
Selon Kurt Stammberger, cette « Lena » est une ancienne employée de Sony qui a travaillé 10 ans dans le groupe, une personne qui était dans une position idéale et avait toutes les connaissances techniques nécessaires pour localiser les serveurs.
En sachant cela, est-ce que la Corée du Nord est toujours le véritable instigateur de cette attaque ?