Piratage de Sony Pictures Entertainment
Une attaque destructrice par wiper nord-coréenne, liée à la sortie du film « L'Interview qui tue », a détruit environ la moitié du parc informatique de Sony Pictures et divulgué des téraoctets de documents internes, d'e-mails et de films inédits.
- Victime
- Sony Pictures Entertainment
- Perte
- $100.0M
- données
- 1.0M
- utilisateurs
- 47.0K
Le 24 novembre 2014, le matin précédant Thanksgiving, les employés de Sony Pictures Entertainment à Culver City se sont connectés pour découvrir un crâne stylisé sur chaque poste de travail et un message d'un groupe jusqu'alors inconnu se faisant appeler « Guardians of Peace ». Derrière cette façade se trouvait le Lazarus Group nord-coréen, qui avait déclenché un wiper destructeur sur environ la moitié du parc informatique de Sony et exfiltré des téraoctets de données internes avant la destruction.
Ce qui s'est passé
Les opérateurs de Lazarus étaient présents sur le réseau de Sony Pictures depuis environ septembre 2014, ayant obtenu un accès via le harponnage de cadres dirigeants et y séjournant pendant des mois afin de collecter des identifiants et de cartographier l'environnement. L'analyse ultérieure du FBI américain a suggéré que des identifiants avaient été compromis au cours des mois précédents et stockés en vue de la charge utile destructrice finale.
Le 24 novembre, les opérateurs ont déclenché le wiper. Le logiciel malveillant a :
- Détruit les données sur ~3 000 serveurs et ~6 000 ordinateurs portables d'employés — soit environ la moitié du parc informatique total de Sony Pictures.
- Désactivé la messagerie interne, les systèmes téléphoniques, la paie et la majeure partie de l'infrastructure liée à la production de Sony Pictures.
- Laissé des employés physiquement présents au bureau sans aucun ordinateur fonctionnel, réduits à utiliser des documents papier et leurs téléphones personnels pendant plus d'une semaine.
En parallèle, Guardians of Peace a commencé à divulguer en ligne les données exfiltrées :
- Cinq films inédits, dont « Annie », « Fury » et « Mr. Turner » (Sony a déclaré 5 millions de dollars de pertes de revenus consécutives).
- E-mails internes entre dirigeants, agents et producteurs, comportant des remarques embarrassantes sur des acteurs et des personnalités majeures d'Hollywood.
- Données personnelles de 47 000 employés actuels et anciens — noms, numéros de sécurité sociale, demandes de remboursement médical, détails familiaux.
- Scénarios inédits et documents contractuels.
L'Interview qui tue
L'attaque a été largement interprétée comme des représailles à la sortie de « L'Interview qui tue », une comédie de Sony mettant en scène l'assassinat du dirigeant nord-coréen Kim Jong-un, dont la sortie en salles était prévue pour le 25 décembre 2014. Le 16 décembre, Guardians of Peace a publié un message menaçant de mener des attaques de type 11-Septembre contre les cinémas projetant le film.
Les quatre grandes chaînes de cinémas américaines — AMC, Regal, Cinemark, Carmike, Cineplex — ont retiré le film. Sony a annulé la sortie en salles. Les critiques publiques, y compris du président d'alors Obama, ont poussé Sony à revenir sur sa décision et à distribuer le film via une diffusion limitée en salles et en streaming.
Impact
- Coût direct de remédiation informatique : ~35 millions de dollars.
- Pertes de revenus, interruption d'activité et règlements de recours collectifs : ~50 millions de dollars et plus au cours des années suivantes.
- Règlement de recours collectif sur les données personnelles : 15 millions de dollars aux employés actuels et anciens en 2015.
- La perte de la sortie en salles de « L'Interview qui tue » et sa ressortie en vidéo à la demande ont été estimées à 30 millions de dollars de revenus perdus.
- Le PDG Michael Lynton et plusieurs cadres dirigeants ont démissionné au cours des deux années suivantes.
Attribution
Le FBI américain a attribué publiquement l'attaque à la Corée du Nord le 19 décembre 2014 — à l'époque, l'attribution gouvernementale américaine d'une cyberattaque à un acteur étatique la plus explicite jamais enregistrée. En septembre 2018, le DOJ a rendu public un acte d'accusation désignant Park Jin Hyok, un opérateur de Lazarus, comme participant à l'attaque de Sony ainsi qu'à WannaCry (2017) et au braquage SWIFT de la Banque centrale du Bangladesh (2016). Le dossier forensique a relié les trois opérations via du code de logiciel malveillant et une infrastructure de commande et de contrôle partagés.
Pourquoi c'est important
Sony Pictures est la première cyberattaque nation-État largement connue contre une entreprise privée pour des motifs politiques, et demeure le cas canonique du cyber-destructeur comme outil de coercition. Elle a également établi un schéma que Lazarus a réutilisé à grande échelle depuis : présence prolongée, préparation d'identifiants, effacement destructeur, extorsion publique à cadrage politique. La même filiation opérationnelle a conduit à WannaCry, au braquage de la Banque centrale du Bangladesh et à plus de 3 milliards de dollars de vols de cryptomonnaies ultérieurs.
L'incident a également redéfini la réflexion des entreprises sur :
- L'exposition de données internes — la fuite d'e-mails de Sony est encore citée comme l'exposition de messagerie d'entreprise la plus lourde de conséquences de l'histoire.
- L'assurance contre les attaques nation-État — l'incident Sony a été un cas test précoce de ce que couvre la cyberassurance lorsque l'attribution pointe vers un acteur étatique.
- La responsabilité cyber au niveau de la direction — le renouvellement de la direction après Sony a préfiguré les règles de divulgation ultérieures de la SEC concernant les incidents cyber significatifs.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$35.0M
- Remédiation$50.0M
- Amendes & règlements$15.0M
Chronologie
Des opérateurs de Lazarus établissent une tête de pont dans le réseau de Sony Pictures via le harponnage de cadres dirigeants, leurs identifiants ayant prétendument été collectés au cours des mois précédents.
Des cadres dirigeants de Sony reçoivent un e-mail d'extorsion de « Guardians of Peace » exigeant une compensation financière ; l'e-mail est écarté comme du spam.
Le matin précédant Thanksgiving, le wiper destructeur se déclenche sur l'ensemble du réseau de Sony. Les employés découvrent une image de crâne sur chaque poste de travail et un message de « Guardians of Peace ».
Le wiper détruit les données sur environ la moitié des serveurs de Sony Pictures et 75 % des ordinateurs portables du personnel. La messagerie, la paie, la messagerie vocale et la plupart des systèmes internes sont hors service.
Un premier lot de documents dérobés est divulgué en ligne, dont cinq films inédits et des e-mails internes.
Les données personnelles de 47 000 employés actuels et anciens de Sony sont publiées. Détails salariaux, numéros de sécurité sociale, demandes de remboursement médical et correspondance personnelle sont exposés.
« Guardians of Peace » menace de mener des attaques de type 11-Septembre contre les cinémas projetant « L'Interview qui tue ». De grandes chaînes américaines retirent le film.
Le FBI attribue publiquement l'attaque à la Corée du Nord.
Le DOJ américain rend public l'acte d'accusation visant l'opérateur de Lazarus Park Jin Hyok pour l'attaque de Sony, ainsi que pour la Banque centrale du Bangladesh (2016) et WannaCry (2017).
Sources
- justice.govhttps://www.justice.gov/opa/press-release/file/1092091/dl
- fbi.govhttps://www.fbi.gov/news/press-releases/update-on-sony-investigation
- reuters.comhttps://www.reuters.com/article/us-sony-cybersecurity-cost-idUSKBN0LB1XK20150207