Piratage de Sony : pourquoi est-il très peu probable que la Corée du Nord soit à l’origine de l’attaque ?

Le hacker nord coréen identifié par la NSA aurait une souris avec un gros bouton rouge, ça fiche la trouille non ?
Le hacker nord coréen identifié par la NSA aurait un ordinateur à roulettes et une souris avec un gros bouton rouge, ça fiche la trouille non ?
Sony aurait-il été une victime collatérale d’un conflit 100% asiatique ? Le piratage de l’entreprise fait pourtant son petit effet dans l’administration américaine et dans les médias. C’est forcément la culture de la plus grande puissance du monde libre qui est agressée, même si Sony est une entreprise japonaise, on apprécie d’y voir une vision fantasmée des studios hollywoodiens, ceux qui nous vendent du rêve et de la liberté, rêve et liberté que nous achetons les yeux fermés.

Quel ennemi de la liberté pourrait bien s’en prendre à la culture du monde libre sinon la Corée du Nord ? D’ailleurs ça ne peut être qu’eux, la preuve, les journaux de connexion relèvent la présence d’adresses IP nord coréennes.

Ainsi, la police fédérale a découvert plusieurs adresses IP (ndlr : le numéro d’identification d’un ordinateur connecté à internet), étant associées à des infrastructures nord-coréennes connues.

Et le truc, avec les adresses IP nord coréennes, c’est que c’est tellement pas banal qu’on les repère tout de suite. Et c’est surtout là que le doute commence à s’installer… L’Internet nord coréen, nous avons quand même un peu examiné ses tuyaux, et la tâche fut rendue assez simple, car cet Internet là, il a une particularité, celle de ne justement pas avoir de tuyau.

UPDATE : voir les données actualisées de l’excellent NKNetobserver (thx Athoune), avec un bloc de 1024 IP plus deux autres ranges.

powell

Question numéro 1 : Comment font les nords coréens pour mener une attaque d’envergure et très élaborée à en croire les services américains qui mènent l’enquête depuis leur propre territoire sans infrastructure ?

Quand on observe la Corée du nord de nuit depuis une imagerie satellite, on se dit que si nos hackers nords coréens ne bossent pas dans des bunkers, ils vont vite se faire gauler…

1 point blanc : 1 hacker nord coréen
1 point blanc = 1 hacker nord coréen

Séoul, mars 2013 : la Corée du Sud au bord d’un cyber apocalypse, ou presque.

Kim Jung Un en train d'inspecter les rampes de lancement de ses missiles ballistiques
Kim Jong Un en train d’inspecter les silos de lancement de ses missiles balistiques

Juste après les élections présidentielles en Corée du Sud, le pays était « cyber attaqué », mais pas trop fort quand même. Juste de gros embouteillages qui ont rendu indisponibles les plus grands médias du pays. Un bon gros déni de service distribué (DDoS), le truc qui fait des cyber bouchons, mais aucun cyber mort. Seoul s’empresse alors de dénoncer une attaque sans précédant émanant de Pyongyang… Mais quelque chose cloche. La Corée du Nord n’est pas un pays à se montrer peu fier de ses tout petits cybers attributs. La crème de la crème des hackers gouvernementaux nords coréens, officiant pour le bureau de reconnaissance du pays, sont formés en Chine, dans la prestigieuse Université Tsinghua, à Pékin, et qui regroupe à elle seule de gros laboratoires de recherche aux spécialités assez variées mais pointues.

Question Numéro 2 : La Corée du Nord n’est elle pas un ennemi commun un peu trop facilement désigné parce que ça arrange tout le monde ?

Vous avez dit manipulation politique ?

C’est la candidate Park Geun-hye du parti Saenuri, marqué à droite, qui remporte l’élection présidentielle et accède au pouvoir en février 2012. Un an après, la Corée du Sud est tellement cyber attaquée d’un coup d’un seul que c’est quand même un peu suspect. Toujours courant 2013, ce sont des banques sud coréennes qui sont victimes de DDoS, toujours pas de cyber morts, juste de gros embouteillages, une méthode un peu suspecte pour l’unité d’élite du bras armé cyber du Bureau 121.

Oui la Corée du Nord recèle surement de talentueux hackers, formés par des chinois non moins talentueux, qui n’auraient probablement pas manqué de leur apprendre les bases de l’anonymisation des connexions en vue d’une attaque au service d’un gouvernement, ou encore à se servir de rebonds depuis des pays tiers dotés d’infrastructures un peu moins en carton que celles de leur pays.

Mais Reuters n’hésite pas, dès le 5 décembre (!), à désigner le Bureau 121 comme étant à l’origine de l’attaque menée sur Sony. Il faudra 2 semaines aux autorités américaines pour appuyer ce qui n’est à ce moment là que pure spéculation mais les médias ont bien préparé le terrain, l’administration Obama n’a plus qu’à s’engouffrer dans la brèche pour balancer son plan de communication bien rôdé, avec des hackers asiatiques, du FBI, des trucs « super sophistiqués, et de la dictature avec du monde libre dedans.

Car passé la première barrière matérielle, à savoir trouver un ordinateur non monté sur roulettes et une souris sans gros nez rouge, il faut quand même un minimum de bande passante pour s’attaquer à des infrastructures importantes. Niveau Internet, le pays est tellement pauvre que la légende veut qu’il faut mettre de l’engrais au pied des poteaux téléphoniques pour pinguer son fournisseur d’accès… La poignée de privilégiés qui a accès à Internet surfent avec le débit que nous avions en 1996… le truc « un peu » léger quand on doit se farcir ne serait-ce que la phase de découverte de l’infrastructure de tous les gros médias sud coréens, étape préalable à l’attaque elle même. Le hacker nord coréen est probablement le hacker le plus patient du monde.

Un autre élément à avoir en tête, c’est que la connectivité internationale du pays est assurée par un satellite chinois… et par Sprint, une entreprise américaine. Ce petit détail n’est évidemment pas sans poser quelques petits problèmes pour mener « une attaque massive » sur le territoire américain. Pour vous rendre l’image plus simple, nous dirons que même avec un très gros zizi et après deux packs de bière, vous risquez d’avoir du mal à faire déborder un fleuve de son lit. Dernier point, une attaque massive depuis la Corée du Nord dont le flux passerait par un satellite chinois ou par les tuyaux d’une entreprise américaine qui scrute scrupuleusement le moindre paquet émis, niveau discrétion, on a déjà vu un peu plus élaboré.

Il n’y a qu’un seul opérateur en Corée du Nord, évidemment gouvernemental, il s’agit de Star Joint Venture Co, (STAR KP) et leur « infra » est très régulièrement KO. Les sites nords coréens, c’est pas non plus ce qui étouffe ou spam indexe Google. Comme le montre NKNetobserver, les autres ranges sont ceux du chinois KPTC et un range alloué par Satgate.

Pyongyang à l’assaut d’Hollywood

Kim et ses biatches
Kim et ses biatches

Quel magnifique scénario de blockbuster ! Les hackers nord coréens qui font plier une major américaine japonaise de l’entertainment. L’armée du peuple qui fait front face à l’impérialisme américain japonais pour laver l’honneur souillé, par une production hollywoodienne du dieu vivant Kim Jong Un.

La cible, Sony, est déjà connue pour ses systèmes informatiques poreux qui lui avaient valu des piratages à répétition avec des fuites massives de données. L’affront, un film nanard se voulant burlesque et bien lourdingue mettant en scène une tentative d’assassinat du leader nord coréen.

Et boum, Sony baisse son pantalon à la surprise générale devant « Les Gardiens de la Paix », un mystérieux groupe de hackers nord coréens.

Les USA volent au secours de Sony et annoncent une « réponse proportionnée » et montre les dents devant la dictature, il faut plus de lois contre les cybers attaques, plus de moyens… plus de tout. Le terrorisme numérique, c’est du lourd, même quand c’est fait par un clown avec une souris à gros nez rouge. Comme nous l’avons déjà expliqué ici, si les USA comptent répondre de manière proportionnée, il leur faudra 20 secondes pour mettre tout le pays dans le noir en frappant 4 points stratégiques et l’impact serait ridicule puisque la Corée du Nord n’a aucune infrastructure critique connectée au Net, et pire, le peuple lui même est connecté sur un gros intranet 100% nord coréen, le Kwangmyong. … mais pas à Internet.

Même le FBI est formel, il reconnaît les techniques de l’attaque des banques sud coréennes qui auraient paralysé ces dernières… la classe, des services intérieurs qui reconnaissent les flux d’attaques de banques étrangères, ils sont comme ça le FBI, c’est des cadors. Tellement des cadors qu’ils n’auront pas manqué de remarquer que les infrastructures nord coréennes sont tellement percées que n’importe qui peut trouver sans mal une ou deux ip sur place pour mener une attaque depuis là bas exploitant ce qu’il faut comme ressources en dehors du pays et grossièrement laisser traîner quelques logs qui attestent de rien du tout mais qui réveilleront quelques sentiments nationalistes en Asie comme aux USA.

Dernier point technique : un réseau depuis lequel on attaque est un réseau « vivant », mais voilà, le réseau nord coréen, lui il ne bouge pas. Pas de nouvelles routes, pas de nouveaux morceaux d’infrastructures, rien n’a bougé, tout semble figé depuis des mois. Rien qui ne pourrait donner la moindre indication sur la plausibilité d’une attaque « depuis la Corée du Nord ».

L’histoire du censeur qui partage au monde ce qu’il veut censurer, c’est un peu gros

C’est bien connu, quand vous cherchez à censurer un film, le premier truc que vous faites, c’est de le partager sur les réseaux peer to peer pour l’offrir au monde entier. Sony s’engage alors dans une action qui n’est pas sans rappeler les tentatives désespérées du gouvernement américain de censurer Wikileaks, en lançant des DDoS sur les sites qui partagent les films volés.

La farce est un peu grossière mais le FBI n’en démord pas, c’est bien Pyongyang le responsable… suspens, sueur froide, la Corée du Nord, c’est des vrais méchants, ils ont même un arsenal nucléaire… enfin non ça on n’y croit pas trop, mais c’est quand même des méchants et c’est toujours bien de montrer les dents devant une dictature après avoir joué les hippies communistes avec Cuba…

Mais alors qui pourrait bien chercher à faire accuser la Corée du Nord, en s’attaquant à des intérêts japonais, et assez fort pour faire réagir les USA ? Allo, Séoul ? Y’a un peu de friture sur la ligne…

Merci au Professeur Kavé Salamatian pour sa contribution à l’écriture de cet article

Twitter Facebook Google Plus email


76 thoughts on “Piratage de Sony : pourquoi est-il très peu probable que la Corée du Nord soit à l’origine de l’attaque ?”

  1. Merci Bluetouff car depuis quelques jours je ne comprends rien à la pseudo-polémiquo américano FBIènne.
    « Je me trompe mais je ne vois pas comment des Nord-Coréens peuvent faire cela sachant qu’ils ne sont pas inter-connecté à Internet, et que donc sont obligé de passer par des tuyaux ultra-connus pour sortir de leur intranet. Sauf à passer par la Chine? » Tu réponds à merveille dans ce billet.
    Moi ce que je vois c’est que Sony aime bien taper et taper très fort sur des individus à coup d’avocats et de juges, quitte à rendre la vie de Hackers bidouilleurs comme un enfer, mais faire la vierge effarouchée et la victime et appelle le FBI au secours quand leur politique commerciale de m… se fait un poil chahuter via leurs serveurs.
    Bref, encore un joli paquet cadeau béni et approuvé FBI pour encore monté un cran le mode sécuritaire sur Internet sous le couvert de la dameuse liberté d’expression et des méchant pirates terroristes

  2. Euh… Qui a dit que l’attaque venait « physiquement » de Corée du Nord ? Ils ont juste dit que les outils utilisés étaient les mêmes que ceux utilisés lors d’autres événements reliés à la Corée du Nord.

    Rien ne les empêche d’avoir mené l’attaque depuis un autre pays. Un peu tordu cet article trouve-je.

      1. Par contre tu te bases uniquement sur les IP, alors qu’il a été clairement annoncé (par Mandiant ou équiv. je sais plus) que les malwares utilisés avaient des points communs avec DarkSeoul (qui au passage est une belle daube, ce qui du coup fait bien penser à du cn/nk). Alors ok, le rapport n’a tjrs pas été releasé (ni les samples), et les entreprises de dfir US ont une sale tendance à la chinoisite aigue, mais je trouve que tout autant que ceux que tu critiques, ton article tire des conclusions hâtives (south korea qui ponce une boîte US juste pour ça, seriously ?!? et le rapport risque / profit, dans tout ça ?). Pour moi il aurait simplement suffit de dire que « se baser sur les IP c’est juste débile, attendons d’avoir plus de détails avant de se prononcer ».

  3. Mmmh, de ce que j’ai entendu sur les médias, l’attaque aurait été *commanditée* par la Corée du Nord, et « exécutée » depuis la Chine (toujours des méchants asiatiques un peu trop rouges), personne ne parle d’une attaque réellement effectuée par la Corée du Nord … sûrement pour les raisons évoquées dans cet article d’ailleurs.

      1. En parlant des IP nord-coréennes présentes dans le code malveillant, le FBI ne cherche pas à prouver que l’attaque a physiquement démarré de Corée du Nord.
        Je comprend pas trop pourquoi tu t’arc-boutes sur cette idée.

  4. Ouf ! Merci pour ce petit bilan qui rejoint de près ce que je pense aussi depuis le début de ce gag. Même si aujourd’hui on a pas de preuves « tangibles », Sony est une des cibles favorites des cryptozagitateurs par les temps qui courent, et je parie personnellement plus sur une grosse blague à la sauce potache, habillée d’un joli détournement idéologique en provenance de l’agence de désinformation du pays de l’oncle Sam.
    De mémoire, le dernier canular cyberné-médiatique populaire à base de corée du nord remonte à un pseudo déménagement de TPB en Mars 2013… A l’époque les journalistes avaient copié/collé (un peu trop) rapidement la nouvelle qui avait été techniquement démontée peu de temps après l’annonce, pour situer le nouvel hébergement au beau milieu de l’allemagne, contrairement à ce qu’indiquaient les traceroute qui eux perdaient le Nord en Corée bien sûr. Ça avait eu pour effet à l’époque de mettre en lumière la vestusté de l’infrastructure nord coréenne ci dessus décrite.
    En tout cas, on avait bien rigolé.
    Et là, on rigole encore plus fort, et mon petit doigt me dit que ce n’est pas terminé. ;-)

  5. Oui mais non :

    The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.

    Associated with known NK infrastructure ca very pas dire North Korean IP… Si la tournure est ambigüe cest peut être justement pour ne pas griller leur fuite ou ldurs infos. Cest le bureau chargé du contre espionnage hein, pas le café du commerce.

    1. Je rajoute que si Obama, la CIA, Roswell et les sages de Sion voulait mentir en pointant du doigt la Corée du Nord pour l’attaquer, ils peuvent prendre pour prétexte les essais nucléaires ou les « entorses » aux droits de l’homme, ils ont pas besoin de ca. La réponse d’Obama ressemblait plus à un embarras qu’à une déclaration de va-t-en guerre, surtout quand dans la même conférence de presse il fête la fin de la présence en Afghanistan… Et c’est bien SPE qui a été visé, société 100% américaine et non Sony.

      1. Moi ce que je sais, c’est que si j’étais l’élite des hackers nords coréens, je ne hardcoderai pas des IP de mon pays sur un soft d’exploitation. Les sages de Sion en feraient surement de même, mais c’est vrai, ils sont cons ces hackers nord coréens ;)

        Je vous ai exposé une opinion, elle demeure à mes yeux à ce jour aussi valable que les « preuves » avancées par la presse et les autorités américaines.

        1. La force de frappe et l’efficacité rappellent bien évidemment les méthodes chinoises.

          Mais je doute que le gouvernement américain veuille un conflit ouvert avec la Chine. Autant alors accuser les guignols de la Corée du Nord, même si ces derniers sont très intimement liés à la Chine.

          La réaction Nord Coréenne, qui demande une enquête conjointe, est très intelligente car la balle revient désormais dans le camps américain.

  6. Je te trouve un peu de mauvaise fois sur ce coup là, bluetouff. A partir d’une simple phrase ambiguë écrite très probablement par un attaché de presse qui n’y comprenait rien (et qu’on n’avais pas forcément mis trop au courant ^^), tu déroules tout ton article en te basant sur cette simple hypothèse pour réfuter la version américaine.

    Pourtant, tu écrivais toi-même dans l’article que tu as linké : « Il est aussi probable que les infrastructures offensives nord coréennes ne soient même pas situées sur son territoire. »
    Je pense que c’est plutôt ça l’explication, non ? D’ailleurs, dans un article du New-York Times ils parlent de serveurs de contrôle et commande situés en Bolivie et à Taiwan. Ils les relient à la Corée du Nord parce qu’ils avaient servi auparavant dans les attaques des ATMs et médias sud-coréens.
    Çà me parait assez cohérent comme raisonnement. Et tu sais très bien que les agences de renseignement partagent leurs infos, notamment entre des alliés comme la Corée du Sud et les USA. Donc rien d’étonnant à ce que le FBI soit au courant des modalités de ces attaques.

    Et rien ne dit non plus que c’est le gouvernement lui-même qui a mené ces attaques. Ils ont pu « sous-traiter » à des mercenaires ou c’est tout simplement l’oeuvre de sympathisants. Il y en a quelques uns dans le monde entier, c’est notamment eux qui alimentent les fils Twitter et Facebook de propagande. Si tu veux un exemple, regarde le site de leur agence de presse officielle (KCNA), hébergé sur l’Internet « public » depuis un domaine japonais…

    J’ai la désagréable sensation que vous virez progressivement au conspirationnisme depuis quelques mois. J’espère vraiment me tromper.

    1. Il faut suivre les liens des preuves du fbi pour comprendre mes interrogations. Quand ce dernier dit avoir trouvé une IP nord coréenne codée en dur dans un tool de sploitz, désolé je m’interroge.
      Oui la Corée du nord est parfaitement capable d’attaquer depuis l’as de KPCT, mais faut pas non plus les prendre pour des tanches au point de laisser des trucs aussi grossiers traîner.
      Menacer le territoire américain d’attentas dans les cinémas, ok je veux bien que tu achètes, moi pas. La Corée du Nord, c’est pas l’EIL non plus.
      Pour le moment j’attends de voir la moindre preuve tangible, je n’en vois pas. Je veux bien être taxé de conspirationniste pour avoir osé demander une preuve irréfutable, mais le constat est là, personne n’en a jusque là.
      PS pour KCNA, je peux même te dire qu’ils utilisent le Mod Antiloris d’Apache, signe qu’ils se mangent plus de ddos qu’autre chose.

      Pour le reste, si les USA avaient une action « proportionnée » et sensée vis à vis de ce pays, ce serait de le bombarder de téléphones 4G et de leur fournir une connectivité, et non de chercher à l’isoler encore un peu plus. Et puisque tu as lu l’article de mon blog qui date un peu, je me permets de te rappeler un truc : les gens qui communiquent ne se font pas la guerre.

      Désolé d’oser espérer autre chose qu’une escalade fondée sur de la merde… oui un film de ce cru, c’est de la merde et ça ne vaut pas qu’on isole un peuple.

      1. Je ne dis pas que ta théorie est infondée, mais juste que des deux côtés les preuves présentées sont insuffisantes pour conclure quoi que ce soit… Je ne crois pas aveuglément à la thèse américaine, mais pas plus à la tienne basée uniquement sur ce qui n’est peut être qu’une erreur de transcription / traduction (IP reliée à une « infrastructure Nord Coréenne » ne dit pas forcément que c’est une IP nord-coréenne qui ne sont – il est vrai – pas très nombreuses). D’ailleurs, je sais pas si tu as remarqué, mais il y a des sites en .kp qui n’ont pas forcément des IP nord-coréennes.

        Je ne connais pas plus les malwares que ça, mais des Ip codées en dur pour joindre les serveurs de contrôle, c’est si aberrant que ça ? Il y a plein de logiciels (légitimes) qui font ça !

        Après c’est sur que les menaces ne sont pas crédibles 5 minutes, mais aux US il suffit que tu prononces « 11 septembre » pour faire paniquer tout le monde.

        Sinon je suis d’accord avec toi, les USA n’ont donné aucune preuve tangible. Et tout ce délire autour d’un film à la con est assez ridicule. Et en ce qui concerne le peuple Nord-Coréen et son isolement, je ne suis pas convaincu que ce soit possible de les isoler encore plus !

        (HS, tu parlais de moyens de communication à « parachuter ». Regarde, il y a pas si longtemps les ambassades là bas laissaient leurs wifis ouverts et émettant à fond sans mot de passe pour permettre aux voisins de se connecter au monde : http://www.rfi.fr/asie-pacifique/20140915-wifi-coree-nord-kim-jong-un-acces-internet-censure-reseaux-technologie-3G/ )

        1. Le hardcoding d’ip en dur, quand c’est fait par TMG, ça ne m’étonne pas effectivement, quand c’est fait par un service d’un pays, ou l’un de ses sous traitants pour une blackops, je trouve ça tout de suite plus louche.

          Je persiste à penser qu’on a plus besoin de connecter ce pays que de jouer les gros bras en annonçant une riposte.

          1. Il ne faut pas exclure le fait que ça ait pu être mis pour du debug / resolve DNS / détection de connectivité Internet / etc. Et j’vous renvoie aux rapports d’analyse de malwares chinois qui fleurissent un peu partout pour constater que des oublis de ce genre, c’est pas rare du tout.

            Reste la question du : si un mec veut faire croire qu’il est moine, il a juste à foutre une soutane. Mais en attendant, là, personne peut vérifier.

          2. Il me semble que personne n’a dit que les IP en question font partie du bloc de 1024.

            Ils parlent de « « chevauchements importants » entre les infrastructures de ce piratage et celles utilisées dans d’autres attaques directement attribuées par le gouvernement américain à Pyongyang. » (ton premier lien)

            Donc pas des IPs officiellement attribuées à la Corée du Nord.

            De plus Pyongyang loue peut-être les services d’un groupe étranger (chinois ou autre). Apparemment certaines parties de l’attaque ont été effectuées depuis un hôtel en Thaïlande.

      2. Je ne sais pas, c’est peut etre une tentative de monter des « hackers » (le genre à DOSSer) contre la corée du nord.
        Le but etant plus de faire monter de la culture populaire contre la corée du nord que de réellement les pirater.

        Si l’on veux censurer un film, les gens vont se le partager, alors que là, un film merdique avec un humour graveleux, normalement ca n’interesse pas grand monde.
        Ca fait de la publicité à un truc anti nord coréen et à mon avis ca ne sert qu’à ça.

        1. Oui, mais franchement et comme l’a dit bluetouff, il n’y a quasiment rien à DDOSer en NK ! A part trois sites web codés avec FrontPage, je ne vois pas leurs infrastructures reposer sur internet. Eventuellement attaquer leur « intranet » qui est sûrement plus sensibles, mais vu qu’il est déconnecté physiquement d’internet, il va falloir que ton hacker vienne brancher son ordi directement en corée du nord^^.

          Sinon pour le film il est surement merdique, mais je me rappelle il y a quelques mois que « Kim Jong 2-1 » avait menacé de représailles si le film sortait. Donc ça devait l’intéresser, lui !

          1. Je sais, je sais.
            Je voulais dire que c’est plus pour mobiliser les gens autour de la corée du nord et oui c’est DDOS et pas DOSS

    2. « J’ai la désagréable sensation que vous virez progressivement au conspirationnisme depuis quelques mois. J’espère vraiment me tromper. » Hola, … tu veux dire qu’ils commencent à comprendre comment fonctionne réellement le Système et sa presse de révérence ?!? Mon Dieu !

  7. En effet, le coup de la Corée du Nord paraît peu vraisemblable. D’ailleurs, il est très étonnant que le Président des Etats-Unis ait clairement dénoncé la Corée du Nord dans cette affaire. Je veux bien que les USA n’aient rien à perdre ici, mais il aurait été plus sage d’être un peu plus nuancé, en parlant d’éléments, ou de conjectures. Peut-être veut-il unir l’opinion contre l’Axe du Mal, comme son prédécesseur ?

    Depuis l’affaire du piratage, Sony le cours de l’action s’est pas mal cassé la figure. Personnellement, je penche plutôt pour une attaque bêtement crapuleuse. Il faudrait voir qui a vendu les actions à découvert peu avant l’annonce du piratage, et qui a racheté depuis. Eventuellement, sur une période un poil plus longue, voire des actions connexes liées au cinéma ou aux loisirs. Bref, il sera difficile de trouver le coupable, j’imagine.

    Car le scénario officiel de la Corée du Nord a un gros souci : outre qu’il surestime probablement de loin les capacités de ce pays à mener de telles attaques (mais je peux me tromper sur ce point), et que c’est bien la première fois qu’on entend d’attaques de ce style (intrusion et persistance de données en masse) de la part de la Corée du Nord, je m’étonne que la Corée du Nord ne revendique pas, si c’est bien elle, être à l’origine de ce piratage. Elle qui n’a rien à perdre, et tout à gagner, à revendiquer son avance technologique, moquant deux des puissances étrangères qu’elle hait (Japon, USA), pourquoi dément-elle ? Je ne vois pas.

    Contrairement à l’article, je ne pense pas que l’attaque ait un quelconque lien politique, mais une motivation purement crapuleuse essayant de tirer un avantage financier de la situation ainsi provoquée. C’est d’autant plus crédible, je trouve, que Sony a déjà eu des soucis de sécurité informatique et que l’on dispose des cours boursiers, avec l’historique des annonces et autres articles de presse. C’est le scénario qui me paraît le plus réaliste, malgré l’exploitation de failles zéro day (que l’on peut acheter autant sur le marché gris que noir).

    Alors pourquoi accuser ce pays déconnecté ? Sans doute pour donner l’impression aux pirates qu’ils peuvent relâcher la pression, les invitant, sûrs d’eux, à commettre une erreur. Et par la même occasion trouver un coupable, plutôt que de s’avouer incapable de mener une enquête jusqu’au bout, l’arrestation et la condamnation des véritables coupables. Et si les autorités trouvaient quand même les pirates ? Ils pourraient toujours mettre au grand jour le plan de la diversion. Dans tous les cas, paraître gagnant.

    1. Je ne pense pas qu’il faille douter des capacités d’une unité 121 ou de n’importe quelle entité d’état par rapport à cette d’attaque. Ils ont tous largement les moyens de la mettre en œuvre.
      Ce qui devrait interroger c’est au contraire la qualité du malware utilisé : du rootkit bas de gamme assemblé avec du code buggé, des IP en dure (semble-t-il) et packagé avec un niveau d’offuscation faible. Ok …??
      Par contre les attaquants connaissaient très bien les faiblesses et le réseau interne de SPE et le malware les exploitait pleinement.
      Comment ce truc a été injecté ? et comment plus de 10To sont sortis de chez SPE en quelques dizaines d’heures ? On attend les explications du FBI

    1. En l’absence du moindre détail technique et sachant qu’on peut louer un botnet pas bien cher sur un blackmarket, la réponse me semble évidente, c’est oui.
      Oui, une mafia, une entreprise, un pays tiers, peuvent être à l’origine de cette attaque.
      Je ne nie pas qu’il y a eu une attaque, encore une fois je doute que dans ce contexte précis elle émane des autorités nord coréennes.
      Et vu que nous n’avons toujours pas de preuve de l’identité des assaillants sur les attaques précédentes des banques sud coréennes sur lesquelles s’appuie le FBI pour désigner la Corée du nord… et bien je doute toujours.

  8. « Quand ce dernier dit avoir trouvé une IP nord coréenne codée en dur dans un tool de sploitz, désolé je m’interroge. »

    Mais où lis-tu ça ? Où le FBI emploie-t-il ces termes ? Tu extrapoles sur une phrase très vague d’un communiqué de service de contre-espionnage, qui par définition, a plus d’éléments que toi et qui a intérêt a en garder la majorité confidientielle…

    1. Petaire, STP, fais un _tout_ petit effort, ça devient fatiguant, https://krebsonsecurity.com/2014/12/fbi-north-korea-to-blame-for-sony-hack/

      il y en a plein le net :

      http://goo.gl/RMNEkO

      cette information vient du FBI lui même.

      Je ne te demande pas d’acheter les yeux fermés ma version, je trouve sain et normal que des gens doutent, surtout avec le peu d’information concrètes que nous avons, je veux bien que tu me contredises mais n’essaye pas de me faire passer pour une personne qui sort des informations du chapeau alors que j’ai quand même attendu plusieurs pour comprendre et faire quelques recherches contrairement à l’immense majorité de la presse ayant écrit à ce sujet.

      -“Technical analysis of the data deletion malware used in this attack revealed links to other malware that the FBI knows North Korean actors previously developed. For example, there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks.”

      -“The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.”

      -“Separately, the tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks and media outlets, which was carried out by North Korea.”

      1. Ben oui mais non justement, 90% de ton argumentaire est « ce pays ne peut pas avoir mené une telle attaque, le premier ministre a une ligne 56K et les autres mangent des patates dans le noir », mais nul part (et j’ai bien regardé tes liens) le FBI ne dit que ces IP sont nord-coréennes mais qu’elles sont associés à des infrastructures nord-coréennes, ce qui est TRÈS différent. Le reste de l’argumentaire du FBI est assez peu convaincant, je trouve dommage de se focaliser là-dessus, c’est tout.

        1. Bon écoutes, je ne vais pas chercher à te refaire la démonstration puisque tu n’en veux pas par contre si tu avais par exemple cliqué sur les liens fournis dans l’article tu aurais peut être compris que :
          1° des infrstructures coréennes il n’y en a pas
          2° même si c’est hors de corée c’est un peu gros de retrouver ce genre de code goret dans un tool d’exploitation
          3° il y a tout un contexte historique et politique qui permet de penser à autre chose qu’une attaque nord coréenne

          Tout ton argumentaire à toi s’appuie sur le fait que « c’est sur c’est la même attaque que la corée du sud a essuyé »
          1° on a pas de preuves de ça
          2° des tools d’exploitation ça se vend sur un blackmarket.. c’est comme ça qu’ils sont réutilisés. Les gouv n’utilisent pas les mêmes soft pour plusieurs attaques en principe.

          Ensuite tu me sors un peu tout et n’importe quoi

          « d’un communiqué de service de contre-espionnage, qui par définition, a plus d’éléments que toi et qui a intérêt a en garder la majorité confidientielle… »

          De la confidentialité ? Parlons en… le FBI communique beaucoup d’informations soit disant confidentielles en ce moment, tu ne trouves pas ?
          En gros tu me dis que tu sais qu’ils mentent mais que tu as quand même toutes les raisons du monde de les croire.
          Ca vire à la schizophrénie là tu sais …

          1. « même si c’est hors de corée c’est un peu gros de retrouver ce genre de code goret dans un tool d’exploitation »
            NON.

  9. Allez ça y est, je suis dans le coup moi aussi c’est ça ?

    Je suis bien d’accord que les IP en dur, ainsi que sur la crédibilité géopolitique de l’histoire, je dis pas le contraire, je dis juste que ton procédé de s’attarder 90% de ton article sur le fait que ce serait des IP située physiquement en Corée du Nord alors que personne ne dit ça, ça décrédibilise tout. Et je n’ai jamais dit que KIm Jong était derrière les attaques en Corée du Sud, j’en sais rien du tout ! Je ne dis ça mais nulle part !

    Après que le FBI ait des infos qui prouvent que le DPRK soit derrière tout ça, et qu’ils n’aient pas intérêt à les diffuser en détails, c’est tout aussi crédible, pour pleins de raisons possibles : protection des assets, barbouzeries de leurs parts, mensonge éhonté pour les attaquer… C’est comme dire que nos services de renseignements intérieurs déjouent chaque année des tentatives d’attentats, ils ne donnent pas tous les détails pour beaucoup de raison, si ça se trouve ils déjouent rien du tout, mais c’est très compréhensible de ne pas tout savoir. Et non, je ne trouve pas qu’ils soient très communicants pour le coup.

    Et si c’est être schizo que de douter de tes « preuves » à base de photos satellites de nuit de la Corée du Nord, franchement…

    1. (Et si tu désirais vraiment peser le pour et le contre, tu mentionnerais que les fameuses infrastructures pourraient très bien être être le Chilbosan Hotel à Shenyang, dont les rumeurs en font un des QG du Bureau 121, l’unité de cyberguerre du DPRK, qui pour le coup est situé en Chine)

      1. Bon je te fais le résumé de tous mes points de doute :

        – le nom les guardian of peace : ça ne correspond pas à la rhétorique nord coréenne

        – la menace d’attentats de sales de cinémas… plus c’est gros…

        – le fbi s’appuie sur des attaques passées dont jamais rien n’a filtré pour désigner la Corée du nord. A titre de comparaison, nous avons vu des analyses très fines d’attaques bien plus graves comme Aurora ou Stuxnet.

        – un logiciel d’exploitation de pauvre qualité qui laisse trainer une IP nord coréenne écrite en dur dans le code… une pratique curieuse pour une attaque gouvernementale, doublé d’une autre incongruité, cetoutil avait déjà été utilisé dans le passé, « on pense » par les nords coréens… une affirmation toujours livrée sans la moindre preuve pour l’étayer. L’analyse la plus « complète » que nous ayons est celle de Symantec qui trouve dans cette attaque des similitudes avec l’outil de C&C (Command and Control) Volgmer et un outil d’effacement de données (en fait une bombe logique), utilisé pour l’attaque Jokra ciblant des banques sud coréennes, une attaque que l’on attribue à la Corée du Nord.

        – la diffusion des images que le groupe voulait soit disant censurer : ce film, personnellement, je doute que j’autrais songé à le télécharger, c’est un gros nanard… mais après tout ce buzz, comme des dizaines de milions de personnes, j’ai très envie de le voir.Les nord coréens ne connaissent probablement pas l’effet flamby (?).

        – cet alibi du film « The interview » est d’ailleurs très intéressant, car suite au piratage de SPE, les Guardian of Peace n’ont fait aucune mention à ce film pour expliquer leur revendications supposées… un détail fort curieux peut être un nouveau paradigme de communication pour un piratage aux revendications politiques : on revendique sans revendiquer.

        – La tentative d’extortion de fonds : Les guadian of Peace ne revendiquent pas une action politique mais le groupe a demandé de l’argent. Demander de l’argent, ok pourquoi pas, mais ce serait une première pour un hack gouvernemental.

        The Guadian 09/12/2014 : http://www.theguardian.com/technology/2014/dec/09/new-sony-pictures-hacking-north-korea-link
        ‘Pay the damage, or Sony Pictures will be bombarded’
        Evidence of extortion prior to the disabling of Sony Pictures computers and the releasing of private data has been found inside the stolen data.
        Hackers calling themselves “God’sApslts” sent an email dated 21 November in broken english to Sony Pictures chief executive Michael Lyton, chairman Amy Pascal and other high-ranking executives demanding money to avoid the movie studio being “bombarded”.

        – le WSJ a noté comme nous l’avons fait que mener une attaque à travers un satellite chinois, c’est quand même un peu compliqué. ON nous parle ensuite d’un hotel situé en Thaïlande, et maintenant d’un hôtel situé en Chine… olé.
        PS : quand on me parle d’IP « directement liée à l’infra nord coréenne »… comment te dire, j’imagine l’une des 1024 IP attribuées à ce pays.

        Dire que j’appuie mon raisonnement sur des « bouffeur de patates pas foutus de mener une attaque » est parfaitement hors de propos, j’y lis une volonté de me faire passer pour un con, et c’est tout.
        Il me semble avoir évoqué des motivations politiques et historiques que la Corée du Sud (et non les USA) auraient à une telle attaque.

        1. Et sur tout le reste je suis d’accord avec toi, ça tient pas la route deux secondes, comme je l’ai dit plus haut ! Je trouve juste que l’argument des bouffeurs de patates dessert tout l’article, notamment parce que tu utilises des images fortes, qui marquent plus que les autres arguments. On attend pas de reflets de faire du Charlie Hebdo mais d’avoir un regard technique sur la question. Or techniquement parlant, rien n’est contradictoire avec « des IP connues pour être liées à des infrastructures Nord-Coréennes », que ce soit un hôtel en Chine ou un bar à putes de Mexico. C’est tout ! Et donc oui, on ressort de ton article avec l’impression que tu as TOUT tiré par les cheveux alors que c’est uniquement cet argument là qui est de très mauvaise foi. Encore une fois, c’est pas pour voir ça que je lis reflets. Accepte le retour de tes lecteurs, c’est pas l’Express ici !

          Et donc, si je dois moi aussi résumer ce que je dis depuis le début : tous les autres arguments sont pertinents, je pense moi aussi que le DPRK n’avait aucun interêt à faire ça. Sauf celui-là, qui est ridicule, tient du guignolesque avec les images captionnées, et qui je pense, repose sur une interprétation biaisée de ta part du communiqué du FBI, que tu as interpreté comme « étant situé en Corée du Nord », alors que non.

          1. Je te concède que la forme aurait pu être plus travaillée.
            Mais pour tout te dire, je ne peux pas me dédoubler.
            Pour le moment, comme beaucoup, je cherche des éléments tangibles, incontrestables, pour appuyer une thèse ou une autre. En dehors de deux tout petits papers de HP et de Symantec, je ne trouve rien à me mettre sous la dent.
            Côté infra NK, pareil, je peux juste te dire qu’ils subissent actuellement des dénis de service, des « patriotes » du monde entier leur veulent du bien.

            Sur les conséquences de l’escalade verbales entre les différentes parties… et c’est bien là la motivation de mon article dont je me rend compte à te lire qu’elle es mal comprise, et c’est probablement lié à la forme de cet article. Je le répète : toute « réponse proportionnée » comme le dit les USA visant à isoler encore un peu plus ce peuple est une erreur. Si les USA veulent frapper un grand coup et le faire avec un peu de classe, qu’ils bombardent le pays de caisses d’iPhones ou de bidulesPhones 4G et offrent une connectivité gratuite à ce peuple pour lui permettre de s’ouvrir au monde.

          2. (J’arrive pas à réponde à ton nouveau commentaire donc je réponds ici)

            On est bien d’accord, c’est ultra-dangereux cette attitude de cow-boy, et bien entendu que c’est aux journalistes pros de faire leur boulot (qu’ils ne feront pas parce qu’un clash entre King Jong VS le reste du monde c’est plus sexy), et c’est d’autant plus pour ça qu’il faut être irréprochable dans son argumentaire. Je suis pas en train de te dire qu’il faut modifier l’article ou je ne sais quoi, mais ne te fourvoies pas là-dedans, les mots choisis dans le communiqué sont incroyablement bien choisis et laisse un champ large à l’interprétation. Si nous on a pu te le reprocher, imagine ce que pourrons faire tous les chroniqueurs télé/radio bidons…

          3. Pour info, vu la technicité de leurs « attaques » (attribuées et non revendiquées), pour moi la seule preuve recevable pouvant incriminer NK serait un rapport expliquant que sony a fait vraiment n’imp quoi et que c’est incroyable que des attaquants aussi nuls aient réussi cet exploit. Ou que l’attaque a été sous-traitée à un groupe extérieur.

            Rien que le fait de parler « d’attaque d’une ampleur jamais vue » (hem) absout NK de cette attaque. Un peu comme si le Japon se faisait raser de la carte en une nuit et qu’on rejetait la faute sur NK : oui, ils disent qu’ils peuvent le faire, oui ils sont agressifs mais non, ils sont trop retardés pour avoir pu ne serait-ce qu’imaginer le faire. NK n’a juste pas les moyens de conduire ce genre d’attaque (ou alors sony a vraiment zéro protection / sensibilisation / réactivité).

  10. Chacune de leurs actions me confirment ce sentiment de déjà-vu…
    Aujourd’hui les GoP se foutent ouvertement de la gueule du FBI : http://www.lemonde.fr/pixels/article/2014/12/21/dans-un-nouveau-message-les-pirates-de-sony-se-moquent-du-fbi_4544363_4408996.html

    Au niveau de la cible, il est étrange que ce soit à nouveau Sony qui en prenne plein la gueule. On se souvient du DDoS des Anonymous, du vol de données du PSN…

    Comme le souligne l’article, le scénario global de cette attaque n’est pas cohérent (La Corée du Nord attaque Sony? Pour un film? Et ils réussissent? ò_Ô). Comme si les Coréens étaient assez cons pour mener une attaque frontale sur Hollywood.

    Le mode opératoire : du teasing, une communication régulière et publique, du leak de données en plusieurs épisodes, un certain humour…

    Le nom du groupe : Guardians of Peace. C’est totalement étrange pour un soi-disant organe du gouvernement Nord-Coréen…

    Pour moi c’est un groupe style Lulzsec, en tout cas dans la même idéologie.

    1. Et ceci dit, l’inverse peut aussi être vrai : le DPRK peut aussi essayer de faire porter le chapeau à quelqu’un d’autre, tout en ayant réussi à causer des centaines de millions de dommages à Sony… Ca va être compliqué cette histoire…

  11. J’allais demander combien de facepalm pendant la découverte, l’analyse des infos et la rédaction du papier; mais au vu des commentaires, j’en déduis qu’il y en a eu bien plus pour eux que pour l’article proprement dit.

    Blague à part, je reste surpris par la réaction de SONY…

  12. Mais quel est donc le but de tout ce buzz ? Est-ce une forme de diversion ?

    Clairement on est en train de nous resservir le coup des armes de destruction massive là.

    Quelles données sensibles Sony s’est-il fait pirater hormis les numéros de portable de quelques stars du showbiz ?

    Est-ce que le simple camouflage de l’incompétence de Sony en matière de sécurité informatique (qui n’est pourtant plus à démontrer) justifie que M. Obama aille titiller un pays dirigé par des fous ?

    Comment 11 To de données ont-elles pu sortir par les routeurs de Sony sans que personne ne s’en aperçoive ?

    Ne serait-ce pas plutôt un « inside job », un employé avec un disque usb ?

    1. En même temps, 11 To qui sortent des routeurs de Sony ça peut paraitre beaucoup, mais n’oubliez pas d’une part la taille de l’entreprise (quelques milliers de salariés, ça fait un trafic énorme) et surtout son domaine d’activité !

      Pour un studio de cinéma, à mon avis ce n’est pas rare qu’ils transfèrent d’énormes quantités de données – vidéo notamment. Si le piratage s’est étalé sur quelques jours, il est très possible que ça ne se soit même pas vu dans les fluctuations sur le trafic échangé quotidiennement…

  13. « ils ont même un arsenal nucléaire… enfin non ça on n’y croit pas trop »
    Ben si… certes un arsenal de branquignoles, mais ça reste des armes nucléaires, avec trois tests grandeur nature jusqu’à présent. Et derrière, probablement les seuls types suffisamment tarés au monde pour risquer de s’en servir un jour, tellement déconnectés des réalités qu’ils n’en auraient rien à foutre de voir leur pays transformé en parking en retour.

  14. Voici mon analyse vu du côté de la stratégie marketting :

    Analyse d’un buzz :
    – Prenez une méga société qui réalise des chiffres monstrueux

    – Sortez un film à contre courant des blockbusters que vous ne savez pas comment vous allez le vendre…

    – Dîtes que vous venez de vous faire pirater, la planète entière va dire « Ho les pauvres ! » même si cette société est fondamentalement un banc de requins insatiables.
    Déjà, on ne parle que de cette société partout, sacré coup marketing n°1 en faisant la une sur tous les medias, maintenant, on commence la communication.

    – Maintenant qu’on nous voit partout, Dîtes que les données personnelles de miliers de personnes se retrouvent sur la toile, très certainement piratées par le seul pays qui est encore cablé en 56K (Vieux Modem Internet). Comme par hasard, ce pays est le même vilain que celui présent dans le film : ça aide bien, pas besoin de le présenter, tout le monde le connait !
    On ne parle que de cet évènement partout, sacré coup marketing n°2 en faisant correspondre le contexte de son film avec l’actualité et en titillant un peu les sentiments des gens : « Bouh, c’est mal, on ne vole pas les données de nos supers stars qui sont déjà pleines à gaver »
    – On dit pleins de choses pour faire monter la mayonnaise et faire tourner le monde en bourrique, dans un contexte où il ne faut pas titiller le chef du pays en question qui réagit aussi vite qu’un taureau devant une Muleta.
    En bref, tu ne dis pas à un gars que c’est un abruti surtout s’il te menace avec une hache

    – Le FBI débarque et confirme le vol par le super pays, finalement la société dit ne pas sortir le film pour protéger le monde et, fondamentalement, le monde sort son étandard : « NON NON ! La liberté d’expression ! Au secours ! »
    On ne parle que de ce film partout, sacré coup marketing n°3 en touchant les gens dans leur culpabilité et leur fondamentaux, la société se met en péril pour sauver la planète !

    – Enfin, cette société diffuse son film partout et tout le monde va le voir. A noter tout de même que ce film aurait pu précipiter le monde dans le chaos car l’excité de service a lui aussi un bouton pour faire le buzz. Bon ! on n’est vraiment pas sûr du tout que ses missiles vont faire plus de 500m, je l’admets…
    La société passe pour le gentil producteur qui va se sacrifier au nom de la liberté d’expression en faisant à la foule « Oui ! on vous a entendu ! » : On ne parle que de ce film partout, sacré coup marketing n°4, les gens vont se précipiter pour voir le film !

    Voilà, la lettre de Noël de la dîtes société a été entendue par le Papa Noël telle une bombe sonique ! Pas sûr que le père Noêl entende la vôtre après s’être fait éclater les timpans !

    Toy’s story 2, Al’s toy Barn : « You, my little cowboy friend, are gonna make me big buck, buck, bucks »

    Pour ma part, mon choix est fait… à vous de faire le vôtre !

    Joyeux Noël à tous au passage

  15. Une question: si je fais un film dans lequel je mets en scène un complot pour tuer le président français et que je présente ça comme étant bien/une libération, ne risquerais-je pas des ennuis judiciaires ?
    (Genre « incitation à commettre un crime » ?)
    Il y a des sacrés comique à défendre la liberté d’expression de cette façon.

  16. re:

    [Opinion personnelle] ceux film est vraiment de la merde en barres .

    sinon merci a reflets pour m’avoir fait découvrir l’ éléphantiasique d’un proxy .
    par insistance politique et malgré mes message je ne sais toujours pas pourquoi mon ADN internet et banni de votre site , pourtant je vous jure que je ne suis pas un nordiste hacker .

    Je ne suis toujours pas à l’abri d’écrire une connerie..

  17. Alors maintenant Wikileaks participe au grand complot US ? Ou c’est juste qu’eux savent se servir de leur ordi pour autre chose qu’émettre des théories débiles et absolument pas fondées ? oh wait ca me rappelle quelqu’un ;)
    faut croire qu’eux ont de meilleurs infos que vous, mais ca on s’en doutait bien
    #noobzzzz

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *