Maintenant que la poussière est retombée, Nathalie Van Raemdonck du Belgian Cybercrime Centre of Excellence analyse le piratage de Sony, et plus précisément son aspect ‘cyber-guerrier’. ‘Il faudra à l’avenir une vision à long terme pour repousser les cyber-attaques. Il est cependant douteux que le fait de rouler des mécaniques ait beaucoup d’effet sur les pirates anonymes.’
Que la production The Interview de Sony Pictures Entertainment soit ou non un bon film, elle a quand même fait énormément parler d’elle. Non seulement le film a pu bénéficier d’une campagne de marketing inédite et a généré un conflit diplomatique, mais il a aussi engendré un précédent et incité les gens à penser que la cyber-guerre a à présent vraiment débuté.
Les événements récents ressemblent du reste à un film. Deux comiques réalisent une comédie sur la façon d’assassiner le leader nord-coréen. Et ce dernier s’en offusque. Par hasard, le producteur est confronté à une cyber-attaque ciblée qui détruit tout son système, alors que les cinémas qui veulent mettre le film à l’affiche, font l’objet de la menace suivante: ‘n’oubliez pas 9/11’. Les grands cinémas décident d’abord de ne pas montrer le film, mais finalement, il est quand même présenté de manière alternative – via internet et des complexes indépendants. Les Etats-Unis pointent très vite la Corée du Nord du doigt et sanctionnent ce pays en le privant pendant un certain temps d’internet. Obama est qualifié de singe. Et c’est alors que nous nous souvenons que les deux pays disposent d’un arsenal nucléaire…
Il s’agira d’attendre le prochain Wikileaks, pour que l’on sache vraiment ce qui s’est passé et qui fut le responsable, mais l’on peut déjà lire pas mal de choses entre les lignes. A présent que la poussière est retombée, il est intéressant de voir ce que le piratage de Sony a généré.
L’attaque perpétrée contre Sony était-elle un acte de guerre?
A propos du piratage de Sony, l’on parle beaucoup de cyber-guerre. Mais la paralysie de l’entreprise était-elle réellement un acte de guerre?
Il existe certaines règles au sujet de ce qu’est la guerre et de ce qui est permis. L’usage de la force (use of force) est interdit, comme il est décrit dans la charte des Nations Unies, à moins qu’il s’agisse d’auto-défense ou que cela soit autorisé par le Conseil de Sécurité des Nations Unies.
Sur base de précédents, l’on s’est au fil des ans mis d’accord sur ce que ce genre d’usage de la force interdit peut être: ‘Provoquer des dommages d’une telle ampleur, durée et intensité que l’intégrité territoriale ou la souveraineté politique d’un pays s’en trouve menacée.’
L’on parle donc de guerre, lorsqu’une partie de la population meure et que la sécurité nationale est menacée. De quoi réfléchir à deux fois sur la paralysie d’une entreprise qui, selon Dr. Evil dans Saturday Night Live, ‘n’est plus pertinente depuis le Walkman’.
Le cyber-domaine est une zone grise: ‘Il faut des règles internationales’
Tant qu’à parler de guerre, le cyber-domaine est une zone grise. L’on n’a pas tracé de lignes claires à propos de ce qu’on entend précisément par ‘suffisamment de dommages’ que pour être considéré comme un acte de guerre. Il n’y a pas de législation internationale, pas de protocoles et, par manque de précédent, pas non plus de normes. Voilà ce que déclare aussi John Kirby, Pentagon Press Secretary Rear Admiral, qui milite pour l’élaboration urgente de règles internationales.
L’absence d’une législation internationale et de précédent veut donc aussi dire qu’un pays comme les Etats-Unis pourrait réagir comme il le veut à ce genre d’attaque. L’admissibilité dépend alors de la manière dont la communauté internationale y réagit. Mais cela signifierait aussi que c’est là que la ligne serait tracée.
Les Etats-Unis sauraient alors mieux qu’ils ne doivent pas transformer ce piratage en ‘cyber-Pearl Harbour’ et ne pas le considérer comme un acte de guerre. Comme l’expert en cyber-guerre Peter Singer le dit: ‘Nous n’allons pas déclarer la guerre à la Corée du Nord, parce qu’Angelina Jolie a pris en grippe un Sony Executive.’
Il n’empêche que les Etats-Unis ont pris la situation très au sérieux et ont traité cette affaire comme si elle était d’une importance nationale. Surtout après les menaces du collectif de pirates qui a revendiqué l’attaque:
‘The World will be full of fear. Remember the 11th of September 2001. We recommend you to keep yourself distant from the places [where the movie is shown] at that time.’
Ces menaces ont clairement eu un grand impact, qui a bien vite amené à parler de cyber-terrorisme. Le cheval de bataille du terrorisme sur lequel les Etats-Unis ont depuis 2001 déjà basé leur stratégie de guerre, est un terme qui fait frémir. Le concept ‘terrorisme’ est utilisé à tort et à travers pour qualifier une menace actuelle, derrière laquelle il n’y a pas d’acteur d’état bien clair. La menace lancée par les ‘Guardians of Peace‘ de ‘ne pas oublier le 11 septembre’, est durement ressentie dans un pays qui n’est encore et toujours pas sorti de ce trauma collectif.
La réaction démesurée de Sony guidée par une panique aveugle?
Sony a cédé et a fait retirer le film de 180.000 salles, ce qui permet encore plus aisément d’y apposer le label ‘terrorisme’. Mais permettre de répandre l’angoisse, sans preuve tangible du recours possible à de la violence physique, ne génère qu’une escalade.
Pour reprendre les mots de Peter Singer, la manière dont Sony a réagi aux menaces est un cas d’école de la façon dont il est préférable de ne pas réagir aux menaces terroristes. Accéder pleinement à l’exigence d’une cyber-menace anonyme, dont rien ne prouve qu’elle puisse effectivement être exécutée, fait que tout peut être considéré comme du terrorisme.
La réaction démesurée de Sony est aussi due à sa grande ignorance de ce que peuvent provoquer des cyber-attaques. La peur de l’inconnu fait se cabrer beaucoup de personnes et les plonge dans une panique aveugle.
Les dommages
Mais Sony avait-elle bien le droit de réagir ainsi? Quels dégâts a-t-elle subis et quelle était le danger réel?
Même si nous n’avons encore jamais vu une cyber-attaque publique classée sous forme d’usage de la force, la possibilité existe bel et bien. Avec l’Aurora Project, les Etats-Unis eux-mêmes ont démontré l’ampleur des dommages qu’une cyber-attaque peut provoquer. Les dégâts occasionnés par le piratage de Sony ne sont cependant pas comparables à ce genre de dommages physiques.
100 téraoctets de données ont été volés, et l’on a utilisé du ‘wiper malware‘. Ce maliciel a détruit plus ou moins les systèmes internes de Sony, allant du planning de production au paiement des salaires. Tout doit donc être remplacé, et l’entreprise est paralysée pour pas mal de temps.
Mais ce type de malware a aussi été utilisé dans le cas DarkSeoul sud-coréen et dans le cas Aramco d’Arabie Saoudite, qui n’ont pas été considérés, eux, comme des actes de guerre ou comme du terrorisme, et en l’absence d’accords internationaux, il subsiste une grande frustration sur la manière de les classer et de les appréhender.
La panique aveugle qui s’est emparée de Sony parce que des données d’entreprise étaient compromises, a tout aggravé. La gravité perçue fut aussi l’occasion idéale pour Sony de paraître moins incompétente, car l’attaque était si sophistiquée que l’entreprise ne pouvait y échapper. L’idée que le ‘piratage était l’oeuvre d’un dictateur’, a permis à Sony de dégager sa responsabilité et de bloquer les processus la ciblant. Ce n’est cependant un secret pour personne que les règles de sécurité chez Sony laissent grandement à désirer (selon le pirate à la renommée mondiale Kevin Mitnick), et que pas mal de têtes vont donc rouler.
Ce que Sony avait le plus à craindre, c’était le vol de données, selon le respectable consultant en sécurité du gouvernement américain Bruce Schneier. Il affirme que Sony n’était pas effrayée par la violence possible que les pirates pouvaient exercer, mais bien par les dommages commerciaux. Il est très probable que les informations volées soient actuellement vendues au plus offrant.
Le rôle de la Corée du Nord
Dans l’analyse du piratage de Sony, c’est l’aspect diplomatique qui s’avère le plus frappant. Le soi-disant rôle joué par la Corée du Nord fait en effet réfléchir. Ce pays a-t-il réellement mis à genou une gigantesque entreprise capitaliste comme Sony, parce que leur grand leader se sentait offensé?
Au bout de quelques jours seulement, le FBI décida que la cyber-attaque pouvait être mise sur le compte de la Corée du Nord sur base de preuves plutôt maigrichonnes. Cette imputation suscita de nombreuses critiques de la part d’experts. Elle reposait en fait sur des ressemblances avec le malware utilisé dans DarkSeoul, une attaque qui, à l’époque aussi, avait été attribuée à la Corée du Nord, ainsi que sur base d’autres preuves indirectes. En outre, le FBI refusa d’indiquer comment la trace menait à ce pays. L’on pouvait penser alors que le gouvernement américain n’allait pas lancer de graves accusations sur la base d’un tel manque de preuves, puisqu’il avait malheureusement déjà vécu pareille situation avec les armes de destruction massive en Irak. A l’époque aussi, les Etats-Unis, ivres de puissance, avaient fameusement déchanté.
Dans cette attribution, les Etats-Unis pointèrent du doigt la Corée du Nord pour une participation à bien plus qu’un simple vol criminel. Non seulement le piratage, mais aussi les menaces furent entièrement imputées à ce pays. Un communiqué du FBI indiquait que les actes nord-coréens avaient comme but de causer des dommages importants à une entreprise américaine, de réprimer le droit à la liberté d’expression des citoyens américains et de menacer la sécurité de ces derniers. Le FBI y affirmait aussi que ces actions d’intimidation sortaient des limites d’un comportement d’état acceptable.
La Corée du Nord nia de son côté toute responsabilité dans la cyber-attaque, même si elle la soutenait en tant que ‘righteous deed of supporters and sympathizers‘. Elle alla même jusqu’à vouloir aider l’enquête en cours, une requête qui fut rejetée par les Etats-Unis.
Les choses n’en restèrent pas là: les Etats-Unis appliquèrent le 2 janvier des sanctions supplémentaires à l’encontre d’un pays déjà sous le coup des sanctions économiques les plus lourdes au monde. C’était aussi vraiment la première fois que les Etats-Unis sanctionnaient un pays pour une cyber-attaque sur une entreprise américaine.
Les Etats-Unis ont agi comme un méchant pitbull, et la Corée du Nord a réagi comme un chien battu
‘Comme par hasard’, la Corée du Nord se retrouva ensuite sans internet. Les Etats-Unis nièrent y avoir joué un rôle, même si l’on peut sur base de preuves aussi peu tangibles que les précédentes pointer du doigt un pays ayant des motifs de le faire. Et alors, la Corée du Nord aurait eu tout autant le droit de contre-attaquer.
Les Etats-Unis ont agi comme un méchant pitbull. Mais la Corée du Nord a réagi, elle, comme un chien battu en sortant un communiqué de presse intitulé: ‘Les Etats-Unis sont invités à présenter sincèrement leurs excuses à l’humanité pour le mal qu’ils ont causé, avant de mettre les autres en demeure sans raison‘.
Bref, les Etats-Unis ont surtout paru agir dans la panique. Non seulement les dommages causés n’étaient pas assez substantiels et la cible n’était pas une affaire de sécurité nationale, mais en plus, ils ont proféré de graves accusations à l’encontre d’un pays sur la base de preuves très peu convaincantes.
Que les Etats-Unis aient à présent des preuves ou non, selon Allan Friedman, chercheur au Cyber Security Policy Research Institute de la George Washington University, cela n’en reste pas moins une stratégie diplomatique sensée que d’imputer la faute avec autant d’aplomb. Pour éviter de créer un précédent, il était préférable de décourager d’autres pays à entreprendre ce genre d’action en sanctionnant fermement un état comme la Corée du Nord, même sur base d’un manque de preuves flagrant.
Une vision à long terme pour empêcher les cyber-attaques sera désormais nécessaire, surtout à présent qu’une target list d’infrastructures américaines critiques a pris la clé des champs. Il est cependant douteux que rouler des mécaniques fasse beaucoup d’effet sur les pirates anonymes.
‘That’s my kind of war on terror’
Un théoricien de la conspiration réduirait toute cette affaire à l’état de formidable campagne de marketing. Susciter l’angoisse, dynamiser le patriotisme, créer un effet à la Barbara Streisand, où tout un chacun veut voir ce qu’il ne peut voir. Sortir quand même le film pour que chacun le visionne comme pour marquer son opposition personnelle et brandir fièrement le doigt du milieu vers la Corée du Nord. Ceux qui ont déjà vu le film, tweetent du reste souvent ces mots: ‘that’s my kind of war on terror‘ (c’est ma façon à moi de mener une guerre de terreur).
Provoquer un conflit diplomatique pour la promotion d’un film? Rien n’étonne plus de nos jours. Le film a en tout cas réussi, délibérément ou non, à être l’une des plus importantes sorties numériques de l’histoire avec quelque 15 millions de dollars de rentrées en quatre jours seulement.
The Interview entrera à coup sûr dans les livres d’histoire, mais sans doute pas pour son contenu.
Nathalie Van Raemdonck, collaboratrice du Belgian Cybercrime Centre of Excellence (B-CCENTRE). En tant qu’étudiante master en sécurité internationale, elle a rédigé une thèse consacrée à la cyber-guerre et l’a présentée à l’OTAN.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici