Le «Lazarus Group», le groupe de hackers derrière le piratage de Sony, serait bien basé en Asie.
Le «Lazarus Group», le groupe de hackers derrière le piratage de Sony, serait bien basé en Asie. - KASPERSKY

Qui a hacké Sony Pictures ? C’est l’un des grands mystères technologiques de ces dernières années. Le FBI est convaincu qu’il s’agit de pirates employés par le gouvernement nord-coréen. Norse Security a évoqué la piste d’un « inside job » d’un ex-salarié. Quinze mois après l’attaque, douze acteurs de la sécurité informatique emmenés par Novetta et Kaspersky révèlent de nouveaux détails dans le rapport « Opération Blocbuster » (PDF). Ils accusent un mystérieux collectif qu’ils ont baptisé le « Lazarus Group », qui serait actif en Asie depuis 2009.

Le 24 novembre 2014 à 7h00 du matin, en allumant leur PC, des employés de Sony sont accueillis par un ultimatum signé par le groupe GOP, pour Guardians of Peace, un nom sans doute créé pour l’occasion : « Nous avons obtenu toutes vos données. Si vous ne nous obéissez pas, nous les publierons à 23h00 GMT. » Les disques durs de la moitié des salariés (3.200 sur 6.700) et des serveurs (837 sur 1.555) sont effacés, selon Forbes. Sony retourne à l’âge de pierre : papier, crayons et fax.

Un groupe sans doute basé en Asie

Le cauchemar dure plusieurs semaines et a été marqué par la publication d’emails embarrassants, la mise en ligne de cinq films pas encore sur les écrans et la sortie limitée de la comédie The Interview, jugée « insultante » à l’encontre du leader nord-coréen, Kim Jong-un, selon les pirates. Au total, la facture du fiasco a été estimée à plus de 30 millions de dollars pour Sony.

En analysant le logiciel utilisé, les experts ont confirmé qu’il contient du code et des commentaires « typiquement utilisés par des personnes qui parlent coréen, selon Kaspersky. Le fuseau horaire de l’activité des hackers correspond également à celui de la Corée, à « GMT + 8 ou 9 », selon l’entreprise. Même s’il n’y a pas de preuve absolue, le rapport conclut que « l’attribution du FBI à un groupe de hackers d’Etat » basés en Asie est soutenue par l’enquête.

Un groupe toujours actif

Le piratage de Sony n’était pas un coup d’essai. Le rapport a identifié 45 familles de malwares et des dizaines d’attaques menées depuis 2009 par le groupe. Il s’en est pris à des médias, à des banques et à des usines, souvent dans le cadre d’espionnage militaire ou industriel. Parfois, pour voler des données. Souvent, pour les détruire. Les attaques ont principalement visé Taïwan, les Etats-Unis, la Chine mais aussi le Japon et la Corée du Sud. Le groupe est toujours actif aujourd’hui, même s’il n’a pas mené d’opération médiatique depuis l’attaque contre Sony.

Comment le logiciel a-t-il été installé ? Le groupe a-t-il été aidé par quelqu’un de l’intérieur ? Le rapport ne se prononce pas. Mais il est possible que les hackers aient simplement cracké des mots de passe d’employés, surtout quand on sait que celui du patron du studio, Michael Lynton, était… « sonyml3 ».

Mots-clés :