Au cœur de la guerre d’Hollywood pour sa sécurité informatique

Ulyces.co
Ulyces.co
Apr 16, 2016 · 32 min read

Depuis plus de dix ans, l’industrie du divertissement américaine et ses acteurs sont la cible de violentes attaques informatiques. Comment Hollywood compte y faire face ?

Image for post
Image for post
Illustrations by Kevin Tong
Image for post
Image for post

C’est une journée froide à Munich, et Oliver Stone, un des réalisateurs les plus provocateurs d’Hollywood, est face au hacker le plus recherché au monde, Edward Snowden — ou plus exactement l’acteur qui l’incarne, Joseph Gordon-Levitt. Le réalisateur est en plein tournage de son biopic controversé d’Edward Snowden. Le film, dont la sortie est prévue cette année, retrace le parcours du lanceur d’alerte, ancienne recrue des forces spéciales, engagé par la suite comme agent de sécurité par la NSA (National Security Agency), qui a révélé les programmes de surveillance secrets du gouvernement américain.

Mais Oliver Stone n’est pas uniquement préoccupé par le tournage de la saga des révélations incroyables d’Edward Snowden. Il veut s’assurer qu’aucun hacker ne piratera son film pour en livrer les secrets avant sa sortie dans les salles obscures. « C’est une source d’inquiétude pour tous les réalisateurs », me confie-t-il pendant une pause sur le tournage. Et ça l’est d’autant plus lorsque le film concerné promet de lever le voile sur un homme encore mystérieux aux yeux du monde. « Si quelqu’un parvient à pirater son histoire », annonce Oliver Stone avec prudence, « il aura touché le gros lot. » Oliver Stone réalise en quelque sorte un méta-film, du jamais vu, alors qu’il construit un véritable pare-feu autour d’une œuvre dont le sujet est une icône de la sécurité de l’information.

Ceci explique la présence d’un homme discret avec une barbichette à la Fu Munchu, qui s’affaire autour du plateau. Il s’agit de Ralph Echemendia, garde du corps du tout-numérique hollywoodien, ancien hacker revenu du côté obscur pour aider les cinéastes, les stars et les magnats des studios à protéger leurs précieuses données. Un défi qui ne fait que se corser à mesure qu’Hollywood, tout comme le reste du monde, transfère de plus en plus son contenu et ses communications sur Internet. «Le souci, c’est le manque de contrôle », m’explique Echemendia.

Oliver Stone précise que de telles précautions, quoique récentes, sont « d’avenir ». Suite au piratage massif de Sony Pictures Entertainment en novembre 2014, Hollywood joue à un jeu de la taupe de plus en plus délirant : dès que l’industrie parvient à frapper un hacker, un autre prend sa place aussi sec. Et c’est un jeu de plus en plus coûteux. En octobre 2015, des documents judiciaires ont révélé que Sony devrait verser près de 8 millions de dollars pour intenter un recours collectif avec des employés dont les données personnelles ont été piratées, et il ne s’agit là que de la partie visible de l’iceberg. Si les coûts engendrés par de telles attaques sont difficiles à évaluer, les estimations, basées sur des incidents similaires survenus dans d’autres entreprises, oscillent entre 150 et 300 millions de dollars.

C’est la version grand écran de la vulnérabilité qu’on éprouve en évoluant sur Internet de nos jours, de Beverly Hills à la Maison-Blanche. Il y a quelques mois, la boîte mail du directeur de la CIA, John Brennan, a été piratée par un adolescent (et son contenu mis en ligne par Wikileaks ). Et comme l’ont montré les Drone Papers, le dernier leak de documents orchestré par Edward Snowden sur le programme américain d’assassinats ciblés, l’Amérique a encore du chemin à faire pour se mettre à la page. Cette bataille met tout le monde sur les nerfs. Comme le dit Oliver Stone : « C’est un jeu de hasard, on ne sait pas comment ça finira. »

Mais cette histoire ne raconte pas seulement à quel point Hollywood s’est facilement fait avoir. C’est un récit plus vaste et teinté d’ironie, ou comment les studios de cinéma ont façonné le mythe du hacker dans l’imaginaire collectif avant d’en être victime dans la réalité. Il était peut-être plus simple de croire à la version grand écran de la menace, souvent représentée par un génie aux cheveux ébouriffés, tout vêtu de noir et entouré de murs recouverts d’écrans HD (comme dansWhite House Down) lui permettant d’entrer dans des systèmes de haute sécurité comme dans du gruyère. Car en réalité, pas besoin d’être un génie du mal ou un gouvernement pour contourner un pare-feu. En vérité, il n’est même pas nécessaire d’être un hacker.

Image for post
Image for post
Image for post
Image for post

La guerre d’Hollywood contre le piratage a commencé le 19 février 2004, par un simple coup de téléphone. C’est arrivé dans une boutique T-Mobile, près de Los Angeles. La personne qui appelait a dit au vendeur qu’elle travaillait au siège de T-Mobile à Washington. « Nous avons appris que vous rencontriez des problèmes avec les outils de votre compte client ? » a demandé le correspondant.

« Non, pas du tout », a répondu l’employé. « C’est juste un peu lent. »

« C’est pourtant ce qui est écrit dans le rapport », a poursuivi la personne au bout du fil. « Nous allons devoir vérifier ça rapidement.»

« D’accord, qu’est-ce qu’il vous faut ? » Et l’employé a consciencieusement donné à son interlocuteur l’accès à l’intranet de son entreprise pour gérer les comptes clients, en lui fournissant son nom d’utilisateur et son mot de passe. L’interlocuteur en question n’était en réalité qu’un jeune hacker de 16 ans du nom de Cameron Lacroix, résidant dans le Massachusetts. Il a expliqué plus tard au Washington Post qu’il lui avait suffi de quelques connaissances en ingénierie sociale pour réaliser le premier grand piratage d’Hollywood.

Une fois dans le système de T-Mobile, le jeune Lacroix n’a eu qu’à chercher les comptes des célébrités, réinitialiser leur mot de passe et accéder à leurs données. Il a commencé par appeler Laurence Fishburne et lui a récité des tirades de son personnage dans la trilogieMatrix. Et puis il a décroché le jackpot : le Sidekick de Paris Hilton, avec son carnet d’adresses, ses messages et ses photos nues — qu’il a mises en ligne pour que tout le monde les voie bien. Après avoir été arrêté et condamné à quatre ans de prison pour cette affaire et d’autres piratages, Cameron Lacroix a déclaré que voler les données des stars hollywoodiennes avait été « facile, trop facile ».

Et c’est ainsi que d’autres hackers solitaires dotés d’une poignée de compétences techniques ont réussi, à maintes reprises, à perturber une industrie pesant plusieurs milliards, sans qu’aucune solution pour l’empêcher ne se profile à l’horizon.

Quelle que soit la complexité d’un système de sécurité, il est aussi solide que le plus faible maillon de la chaîne. Chaîne au bas de laquelle se trouve généralement une personne qui n’a pas respecté le protocole établi. Cette lacune intrinsèque permet d’expliquer la popularité de l’une des tactiques de piratage les plus efficaces et les plus courantes : le spear phishing.

Lors d’une attaque de spear phishing, le hacker cible une entreprise précise en cherchant une personne négligente qui lui ouvrira la porte donnant accès au reste du réseau. En pratique, cela se traduit par l’envoi individuel d’e-mails qui ont l’air d’avoir été rédigés par quelqu’un de votre entourage, accompagnés d’un lien. En réalité, il s’agit d’un assaillant se faisant passer pour l’une de vos connaissances, et le lien n’est pas une vidéo de lol cat : c’est un malware qui lui donnera un accès total à votre ordinateur.

Et comme Hollywood regorge d’assistants, de secrétaires, de maquilleurs, de stylistes, d’agents, d’avocats et bien d’autres employés, les hackers n’ont qu’à attendre qu’une seule de ces personnes clique sur le lien pour pénétrer le système. Pire encore. Étant donné que chacun travaille sur ses propres appareils, les compagnies, elles-mêmes de plus en plus dématérialisées, permettent que leurs employés se connectent à leurs systèmes via un matériel informatique sur lesquels les contractants qui tentent de sécuriser leurs données n’ont aucun contrôle. Et comme cette communauté est en perpétuel mouvement, les employés actuels ne sont pas les seuls en cause : toutes les personnes ayant travaillé pour ces sociétés sont des cibles potentielles. « Hollywood fait face à un problème gigantesque, car on doit protéger toutes ces informations contre des milliers de personnes », me confie Ernie Liu, responsable des services enquêtant sur le piratage de Sony pour le compte de FireEye, une entreprise de sécurité informatique américaine.

Le confort est à ce prix. Nous voulons tous disposer d’un accès immédiat aux autres, à leur travail, leurs fichiers, leurs textes, leurs actualités, leurs potins, tout ça en un seul clic. Il y a un mot à la mode dans la Silicon Valley pour désigner ça : la « friction ». Les gens ne veulent plus ressentir de gêne entre eux et ce qui se trouve de l’autre côté de leur écran. Et ils sont prêts pour y arriver à couper la route en plein virage. C’est-à-dire à cliquer sur des liens sur lesquels ils ne devraient pas cliquer et, plus grave encore, créer des comptes très peu sécurisés.

Pas besoin d’être Thomas Gabriel, le méchant de Die Hard 4, pour plonger une ville dans le chaos. Il suffit d’un type solitaire avec beaucoup de temps libre.

L’histoire s’est répétée en 2008, quand Chris Chaney, un geek cinéphile au chômage résidant à Jacksonville, en Floride, a pénétré le fragile système hollywoodien mieux que quiconque avant lui. Il n’était même pas hacker, juste doué pour les devinettes. Après avoir visé juste avec l’adresse Gmail d’une célébrité, dont le nom s’est perdu au milieu de toutes celles qui ont suivi, il ne lui manquait plus que le bon mot de passe pour se connecter. Et pour récupérer un mot de passe oublié, il suffit parfois de répondre à une question de sécurité.

J’ai rendu visite à Chris Chaney après son arrestation et il m’a expliqué sa stratégie : les célébrités adorent leurs animaux de compagnie, elles en parlent dans les interviews et posent avec eux dans les magazines. Il a donc tout simplement entré le nom du chien de l’actrice en réponse à la question secrète. Une fois connecté à son compte, il a utilisé le carnet d’adresses de l’actrice pour trouver les adresses e-mail d’autres stars, d’avocats et d’agents. Il a ensuite procédé personne après personne, devinant la réponse à leur question de sécurité et lisant leurs messages. Il a même installé un système de transfert automatique qui le prévenait dès qu’une victime changeait son mot de passe.

La leçon à en tirer est simple : quand le maillon faible est humain, ce qui est souvent le cas, pas besoin de skills avancés en matière de piratage, ni de vulnérabilité Zero day, ni de pro du clavier comme on en voit souvent dans les séries telles que NCIS ou dans le film Opération Espadon.

« Comparé à n’importe qui dans le milieu, ses compétences techniques sont dérisoires », m’a récemment confié Josh Sadowsky, l’agent spécial qui a enquêté sur l’affaire, au bureau du FBI à Los Angeles. « Mais il était plein de ressources et il avait beaucoup de temps libre. »

Image for post
Image for post
Christopher Chaney (AP)

Chris Chaney a ainsi eu accès à plusieurs centaines de milliers d’e-mails échangés entre ses victimes et leur entourage (agents, famille et amis). Hollywood était comme enfermé dans une boule à neige qu’il tenait dans ses mains. Il connaissait toutes les magouilles, les futurs blockbuster, les liaisons secrètes, les peurs inavouées, l’acteur qui passait pour un coureur de jupons et qui se révélait être gay, la starlette qui avait été diagnostiquée d’un cancer à l’insu des médias…

Alors que les tabloïds fouillent dans tous les coins à la recherche de la moindre miette de scoop, Chris Chaney détenait des informations qui valaient des millions. Il est passé inaperçu pendant trois longues années, tranquillement assis chez lui, lisant des milliers de mails et regardant des photos dénudées de femmes célèbres. Il en savait plus sur Hollywood que toute personne travaillant dans l’industrie du cinéma. Ce n’est qu’après n’avoir pu s’empêcher de transmettre des photos dénudées de Scarlett Johansson à un black hat qu’il a fini par être arrêté.

Malgré la lourde peine imposée à Chris Chaney — dix ans d’incarcération dans une prison fédérale –, ni les futures victimes potentielles, ni les hackers n’ont compris le message. En août 2014, quelques mois avant le piratage de Sony, un autre grand scandale a éclaboussé le tout Hollywood : des centaines de photos intimes de célébrités, parmi lesquelles Jennifer Lawrence, Kate Upton et Kaley Cuoco, ont fuité sur la toile. Cette affaire a été surnommée The Fappening, de l’anglais « fap », terme vulgaire qu’on retrouve sur Internet pour désigner le bruit produit lors de la masturbation.

Comment cela a-t-il pu arriver ? C’est ce que tout le monde voulait savoir. Et là encore, la réponse a été moins compliquée que ce à quoi on pouvait s’attendre. Les stars s’étaient faites pirater de la même manière qu’avec Chaney. Les hackers ont ciblé les comptes des célébrités sur le service de stockage iCloud d’Apple et, à l’instar de Chris Chaney, ils ont deviné les réponses de leurs questions de sécurité pour récupérer les mots de passe. Un porte-parole d’Apple a déclaré qu’il s’agissait d’ « une pratique devenue bien trop courante sur Internet ».

Ce n’est pas une surprise pour Wes Hsu, le directeur de l’unité de cybercrime du bureau du procureur fédéral de Los Angeles. C’est lui qui engage des poursuites à l’encontre de la plupart des crimes liés au piratage à Hollywood. « Les choses vont empirer avec le temps », m’a-t-il confié à son bureau du centre-ville de Los Angeles. « Plus nous serons dépendants des technologies, plus le problème va s’aggraver, c’est facile à prévoir. »

Nous sommes face à un comportement inexplicable : chacune de ces attaques a enseigné des leçons simples sur la sécurité et les risques liés au stockage de données personnelles ou relevant de la propriété intellectuelle en ligne. Mais ces enseignements sont systématiquement ignorés. Pour Hsu, Sadowsky et les autres experts en première ligne, il ne s’agit plus de savoir si un individu ou une société sera massivement piraté à Hollywood, mais plutôt quand. « On assiste à un changement de mentalité », explique Liu, de FireEye. « On part du principe qu’on sera piraté, donc quand ce sera le cas — pas si –, comment devra-t-on réagir ? »

Image for post
Image for post
Image for post
Image for post

Nous sommes début janvier 2015, un peu plus d’un mois après le piratage de Sony, et je me rends à l’endroit idéal pour en parler : le ShmooCon, un rassemblement annuel organisé à Washington D.C. pour les hackers les plus doués du pays. Quelques milliers de geeks, les cheveux ébouriffés et habillés en noir, ont pris d’assaut le Hilton pour parler lock-picking et arpenter le hall d’entrée avec des casques de réalité virtuelle.

Parmi les hackers les plus connus, on trouve Marc Rogers, un Britannique de 41 ans, grand et tatoué, qui est en train d’inhaler son repas en face de moi. Il a beaucoup appris pendant les décennies qu’il a passées dans le monde de l’informatique underground. Il a commencé comme black hat, il a fait des choses qu’il ne peut s’empêcher de raconter avec un sourire malicieux, et il travaille aujourd’hui comme ingénieur sécurité pour CloudFlare, une grande entreprise spécialisée dans la sécurité informatique. Marc Rogers est aussi responsable de la sécurité informatique du Def Con, le plus grand rassemblement de hackers du monde organisé à Las Vegas chaque été. Sa mission : empêcher les participants de pirater les clés des chambres et de voler les antennes paraboliques sur le toit.

Ici au ShmooCon, les hackers utilisent le piratage de Sony comme étude de cas pour montrer comment les entreprises peuvent s’exposer à de pareilles attaques. Le hack de Sony est encore frais dans les mémoires, et ce qu’il s’est réellement passé demeure un mystère. Chris Rogers est l’un des principaux investigateurs qui enquêtent de manière indépendante sur l’infiltration, et il partage ses conclusions. Mais même lui reste impressionné et atterré par le piratage de Sony. Le récit grand public de l’attaque s’en tient au scénario de la Corée du Nord : un dictateur irascible n’appréciant pas du tout le dernier film de Seth Rogen décide de pirater le studio de cinéma pour se venger. Mais pour les spécialistes de la sécurité informatique comme Chris Rogers, qui connaissent mieux le milieu, cette histoire ne reste pas seulement à prouver, elle est aussi gênante et dangereuse. « Lorsqu’on nous dit qu’un gouvernement est impliqué, on lève les mains au ciel en disant : “Oh ! Ça n’aurait jamais pu être évité en ce cas” », explique Chris Rogers. « C’est faux. Nous devrions vraiment parler de la façon dont c’est arrivé. »

Image for post
Image for post
George Hotz (AP)

Et pour comprendre comment c’est arrivé, il faut savoir que ce n’était pas la première fois que Sony se faisait pirater. Il y a plus de quatre ans, l’entreprise a été la cible d’attaques suite à des poursuites engagées contre un jeune programmeur, George Hotz, qui avait piraté la PlayStation 3, réputée inviolable. Sony craignait que Hotz soit parvenu à jouer à des jeux piratés sur son système, mais il était en réalité plus intéressé par le fait de restaurer la possibilité d’installer le système d’exploitation Linux sur la PS3, une possibilité que Sony avait supprimé malgré la demande des geeks sur Internet. « Mauvaise idée ! » m’avait confié Hotz peu de temps après. «Sony le regrette probablement beaucoup aujourd’hui. »

Les hackers ont donc piraté le PlayStation Network , le système de jeux en ligne de Sony, dévoilant les adresses e-mail, mots de passe, dates de naissance et adresses des 77 millions d’abonnés du PSN. Il s’agit de l’une des cinq plus grandes fuites de données dans l’histoire de la sécurité informatique. Quelques jours plus tard, les hackers ont décelé des failles de sécurité sur Sony Online Entertainment, ce qui leur a permis de divulguer les informations concernant 24 millions de comptes personnels.

Sony a été déstabilisé par le leak, mais aussi et surtout par la facilité avec laquelle les hackers s’y étaient pris. Et ce qui n’était au départ qu’une sorte d’expédition façon Robin des Bois dans le but de défendre l’un des leurs s’est terminé en démonstration de la faiblesse de la sécurité chez Sony.

« Nous avons eu accès à TOUT », écrivait l’un des groupes de hackers, concluant le post avec une question rhétorique : « Pourquoi faites-vous autant confiance à une entreprise qui ne fait rien pour se protéger contre des attaques aussi basiques ? » Cet acharnement a fait du tort à la société, qui a perdu beaucoup d’argent. Jim Kennedy, vice-président des communications stratégiques de Sony Corporation of America, la filiale américaine du géant japonais, m’avait dit à l’époque que l’entreprise avait retenu la leçon. « Il faut bien reconnaître que finalement, aucun système n’est infaillible », m’avait-il écrit dans un e-mail. « Une vigilance permanente est essentielle. »

Mais comme le font remarquer ironiquement Chris Rogers et ses acolytes — qui se définissent comme des « révélateurs » — lors du ShmooCon, Sony ne semble pas avoir compris la leçon. La sécurité a encore une fois été laissée de côté car on a jugé qu’il s’agissait d’une dépense superflue, ou quelque chose qu’ils pensaient maîtriser.

Dans une interview de 2007 réalisée par le magazine CIO, le vice-président de la sécurité des informations de SPE, Jason Spaltro, a reconnu que la stratégie de défense numérique de Sony était gouvernée par l’argent. « Accepter le risque d’une faille de sécurité fait sens pour l’entreprise », a-t-il déclaré. « Je ne vais pas investir dix millions de dollars pour éviter une perte éventuelle d’un million de dollars. » D’après Fusion, les fichiers qui ont fuité ont révélé que seuls onze membres du personnel de sécurité travaillaient au moment du piratage, la plupart occupant des fonctions managériales (trois analystes de sécurité informatique, trois managers, trois directeurs, un directeur exécutif et un vice-président). On ignore si la conception de la sécurité informatique de Sony Pictures a beaucoup évolué depuis ou si la hausse des coûts liée aux récentes failles ont modifié le calcul du risque interne…

La perspective d’un faible retour sur investissement permettrait donc d’expliquer cette défaillance et le chaos qui en a découlé avec le piratage de Sony à l’automne dernier. Chris Rogers s’est attelé à la tâche après avoir vu une photo douteuse faire le tour de Twitter. On y voyait un tract affiché dans un ascenseur de Sony Pictures à Londres, sur lequel était écrit en gros lettres : « MERCI DE NE PAS VOUS CONNECTER À VOTRE ORDINATEUR OU AU WIFI DE L’ENTREPRISE JUSQU’À NOUVEL ORDRE. » Une image étrange était soudain apparue sur les écrans d’ordinateurs dans les bureaux de Sony Pictures, de Los Angeles à Londres. On aurait dit un poster rétro-éclairé d’Iron Maiden : un squelette rougeoyant se détachait d’une enclave rocheuse violette, avec des araignées vertes rampant tout autour.

Les mots « Hacked by #GOP » étaient écrits sur l’image, accompagnés de la menace suivante : « Nous vous avons déjà prévenu, et ceci n’est que le début. Nous avons obtenu toutes vos données internes, y compris les informations secrètes et top secrètes. Si vous ne nous obéissez pas, nous dévoilerons ces données au monde entier. » Sous le message se trouvaient cinq liens vers ce qui semblait être les données internes de Sony. « C’était comme un grand seau d’eau froide », se souvient Chris Rogers. « Je me suis dit : “Wow, il se passe un truc de fou là !” »

Rogers et un autre type qui se joint à nous pour le repas — Dan Tentler, chercheur en sécurité informatique, affublé d’une queue de cheval et d’un bouc — font partie de ceux qui se sont plongés dans le code pour comprendre ce qui s’était vraiment passé. Tentler a cofondé Carbon Dynamics, une société qui effectue des tests de sécurité pour contrer les menaces informatiques auxquelles font face les entreprises et les particuliers fortunés — dont les célébrités. Dan Tentler et ses confrères n’ont pas été surpris de voir Sony une nouvelle fois en bout de chaîne. « Leurs réseaux ne sont pas du tout sécurisés et tout le monde peut y accéder comme bon lui semble », dit Tentler.

Le porte-parole de SPE Jean Guérin avait minimisé la faille auprès de la presse, en commençant simplement par dire : « Nous cherchons à résoudre un problème informatique. » Mais le hack n’a pas tardé à voler de ses propres ailes et il n’a laissé aucun doute quant à son ampleur et son sérieux.

Les fichiers qui avaient fuité incluaient notamment des tonnes d’emails parlant d’acteurs majeurs d’Hollywood dans des termes peu flatteurs, dont beaucoup étaient écrits par (ou envoyés) à Amy Pascal, l’ancienne co-présidente de Sony Pictures Motion Picture Group, qui a perdu son travail peu après le hack. Dans un de ces échanges, le producteur Scott Rudin disait d’Angelina Jolie qu’elle était « une morveuse pourrie-gâtée et sans talent ». Dans un autre mail, Pascal et Rudin plaisantaient à propos des goûts cinématographiques de Barack Obama, suggérant plusieurs films centrés sur l’histoire des Afro-Américains : « Est-ce que je dois lui demander s’il a aimé Django ? » écrivait Pascal. « 12 Years », a répondu Rudin. Et Pascal a renchéri avec d’autres films dans lesquels des personnages afro-américains sont au premier plan : « Ou le majordome. Ou think like a man [sic] ? » (Pascal a refusé de répondre à mes questions pour cette histoire.)

Fin novembre, les employés de Sony Pictures n’avaient toujours pas accès à Internet ou à leurs ordinateurs. Ce que voulait le GOP (pour Guardians of Peace, les gardiens de la paix) demeurait flou tandis que les fuites ont inondé la Toile durant les premiers jours de décembre : des films pas encore sortis (Fury, Annie, Mr. Turner, Still Alice et To Write Love On Her Arms), les données confidentielles des employés (numéros de sécurité sociale, salaires, mots de passe, noms d’utilisateurs, passeports en .pdf — dont ceux d’Angelina Jolie et Jonah Hill –, et même des commandes sur mesure de bijoux de chez Tiffany), ainsi que les données financières de la société (rapports budgétaires, accords de licence et déclarations fiscales).

Grâce aux mots de passe de Sony trouvables sur Internet, les « révélateurs » ont sélectionné un échantillon qu’ils ont analysé. Ils ont étudié la longueur des mots de passe, cherché à savoir s’il y avait une politique d’entreprise en matière de complexité de ces derniers et, si oui, si elle était bien appliquée. Ils sont tombés des nues lorsqu’ils ont découvert que de nombreux mots de passe étaient tout simplement contenus dans des documents texte intitulés « mot de passe », et que pour beaucoup d’entre eux, ils étaient seulement « mot de passe ». « Il ne s’agit pas d’une simple erreur », dit Rogers, « C’est un grave manquement à l’échelle de toute une organisation. Ils n’ont pas mis en place quoi que ce soit qui ressemble à une architecture de sécurité. » Le verdict à propos de la vulnérabilité de Sony est sans appel : « Les informations de Sony que nous avons analysées ne disaient rien de bon », dit Tentler, « mais ce n’était pas pire que chez n’importe qui d’autre. »

La sortie de The Interview étant prévue pour les fêtes de Noël, les soupçons se sont tournés vers la Corée du Nord, qui avait déjà dit du film qu’il constituait « un acte de provocation malveillant ». Après des semaines de spéculation, le FBI a publié un communiqué confirmant que « le gouvernement nord-coréen [était] responsable de ces actions ». L’une des principales raisons à cette conclusion, invoquée par le FBI, était que le malware utilisé pour attaquer Sony était semblable à un autre malware dont la piste remontait jusqu’en Corée du Nord.

Les révélateurs n’étaient pas de cet avis.

Le malware en question était librement disponible depuis un certain temps, il aurait pu être utilisé par n’importe qui. Et le code retrouvé dans les machines de Sony empruntait des chemins bien spécifiques pour accéder aux mots de passe, jetant les soupçons sur une personne ayant une connaissance intime des systèmes de la firme. Sans compter qu’il n’y avait eu aucune référence à The Interview en lien avec les attaques, en tout cas pas avant que les médias ne désignent le film comme une possible explication du problème. Sans compter le fait de révéler au grand jour les données internes de Sony — plutôt que de les utiliser pour du renseignement ou de les revendre — suggérait plutôt que le leitmotiv était la vengeance, plutôt que l’espionnage ou l’extorsion. « Les assaillants auraient pu devenir riches de bien des manières », conclue Rogers. « Et pourtant, ils ont choisi de balancer les données, les rendant inutilisables. Tout comme je trouve difficile à croire qu’un “État-nation” qui vit grâce à la propagande serait prêt à se débarrasser avec une telle désinvolture d’un accès sans précédent au cœur même d’Hollywood. »

Norse, une société de sécurité cherchant également à résoudre l’affaire, a affirmé que la responsabilité était plutôt à chercher du côté d’un technicien que Sony avait renvoyé, utilisant le pseudonyme de Lena. D’après le vice-président de Norse Kurt Stammberger, le GOP n’était pas le nom d’un collectif de hackers nord-coréens, mais plutôt celui d’un groupe d’anciens employés de Sony qui avaient été traités sans ménagement et avaient cherché à se venger de leur ancien employeur. « Nous sommes en présence d’une entreprise qui a explosé de l’intérieur », confiait-il à CBS News peu après l’attaque.

Sa compagnie doit encore produire les preuves de ce qu’elle avance. Mais, comme dans n’importe quel bon scénario, il y a des twists et des soupçons de conspiration. Tentler raconte que sa petite amie était chez lui quand elle a reçu la visite d’agents du FBI qui voulaient jeter un œil aux données de Sony qu’il était en train de télécharger. « Juste pour prévenir mes collègues de l’infosec qui travaillent sur le hack de Sony : je viens de recevoir la visite du FBI », a-t-il tweeté, peu après son retour à l’appartement. « Je n’étais pas là, donc je ne sais pas ce qu’ils voulaient. » Tentler n’a jamais plus entendu parler d’eux. Mais la question demeure : pourquoi le FBI s’intéresserait-il à des geeks faisant des recherches sur le hack de Sony, s’ils sont si sûrs que les Nord-Coréens sont les responsables ? Le FBI non plus n’a pas souhaité répondre à mes questions.

Image for post
Image for post
Image for post
Image for post

Par un matin frisquet de février, j’arrive aux bureaux de L.A. de FireEye, la société de sécurité informatique engagée par Sony pour enquêter sur le piratage. Curieusement, je les trouve vides. Les lumières sont éteintes. Personne pour occuper les chaises de bureaux dans les box aux cloisons grises. Une balle de ping pong gît sur le sol, sous la table abandonnée. Liu, un investigateur de FireEye qui travaille sur l’affaire, m’explique qu’il y a de bonnes raisons pour que l’endroit soit si calme. Depuis que la société travaille sur l’affaire, début décembre 2014, ses employés campent littéralement chez Sony. « C’est la première fois que je viens au bureau depuis un mois », dit ce jeune homme aux cheveux coiffés en pointes, les yeux rougis de fatigue dans son costume tout juste sorti du pressing.

FireEye et une compagnie dont ils ont récemment fait l’acquisition, Mandiant, sont sur le front de la guerre qu’Hollywood mène contre le piratage depuis que la société s’est lancée, en 2004. Leur mission ne se limite pas à faire face aux incidents, ils apportent aussi leur aide pour toutes sortes de choses, des relations publiques aux affaires légales. Liu compare son travail à du suivi de deuil. « J’ai vu des gens fondre en larmes devant moi parce qu’ils étaient bouleversés », me dit-il.

Les recherches de FireEye donnent un peu plus de corps la théorie nord-coréenne : les piratages soutenus par des gouvernements, semble-t-il, ne sont pas juste l’expression de la paranoïa cyber-sécuritaire des responsables américains, ou le produit de l’imagination trop fertile des scénaristes hollywoodiens. C’est une réalité, et certaines preuves indiquent que des studios comme Sony pourraient bien se trouver dans le viseur, même si la Corée du Nord n’est pas la source la plus évidente d’attaques de ce type.

FireEye a lancé des cris d’alarme concernant la vulnérabilité d’Hollywood dès mars 2014, des mois avant le piratage massif de SPE. Ils publiaient alors un rapport affirmant que différents groupes de hackers basés en Asie du Sud-Est avaient Hollywood dans leur collimateur. « Mandiant a observé un grand nombre de cyber-intrusions provenant de Chine, dirigées contre des industries que les autorités gouvernementales chinoises considèrent comme stratégiques — et le divertissement n’y échappe pas », dit le rapport. « Nous nous attendons à ce que la Chine prenne de plus en plus pour cible l’industrie du film et du divertissement. »

Les hackers chinois avaient deux motivations principales, d’après Mandiant : à la fois garder un œil sur la production hollywoodienne qui risquerait de concurrencer leurs propres sorties et, peut-être plus important encore, voir la façon dont la Chine était représentée dans les films à venir. Mandiant avait précédemment découvert qu’un groupe de hackers de l’armée chinoise « avait piraté l’un des plus grands conglomérats du divertissement américain, qui produit et distribue ses propriétés créatives dans le monde entier ». (Le « conglomérat » en question n’était pas nommé.) La menace de cyber-espionnage a grandi continûment depuis février 2013, quand des chercheurs en sécurité ont remonté la trace de centaines de téraoctets de données volées à des compagnies du Fortune 500 jusqu’à des hackers à Shanghai.

Et ces attaques promettent de se multiplier dans un futur proche, de l’avis des experts en sécurité, exposant les compagnies d’Hollywood et au-delà non seulement à desphishers isolés, mais également à des hackers bien plus disciplinés et sophistiqués, avec pour objectif à long-terme de réaliser des exploits de plus en plus impressionnants en la matière. « Les cyber-défis dont nous parlons ne sont pas théoriques, c’est une réalité », a déclaré l’amiral Michael Rogers, commandant de l’US Cyber Command et directeur de la NSA, devant la commission sur le renseignement de la Chambre des représentants américaine en novembre 2014, après le piratage de Sony. Rogers a mis en garde contre le fait qu’une telle incapacité à répondre à ces attaques et à se prémunir contre elles pourrait causer « de véritables catastrophes ».

Image for post
Image for post
Image for post
Image for post
Image for post
Image for post

C’est l’heure des cocktails à Hollywood. Du beau monde se presse autour d’une table où sont présentés des fromages affinés et du vin. Un patron de studio est en pleine conversation avec un producteur portant des jeans serrés, pendant qu’une starlette picore du raisin en les écoutant. Mais il n’ont aucune idée de ce qui les attend ce soir.

Un peu plus tard, ils se rassemblent dans une salle de conférence sans fenêtres où le « pirate d’élite » de la ville, comme Ralph Echemendia se décrit lui-même, joue l’un de ses tours habituels : coller une frousse énorme aux célébrités, aux agents et aux producteurs de films. Echemendia a mis de côté le film d’Oliver Stone pendant quelques jours. Ce soir, il est ici dans les bureaux élégants d’Anonymous Content — qui produit des films et des séries, parmi lesquels True Detective et Winter’s Bone — pour animer un atelier qu’il appelle « Pirater Hollywood ».

C’est un cours accéléré qu’il donne partout en ville, des locaux de sociétés de production comme celle-ci à des séminaires privés organisés dans des clubs du Sunset Strip. Le but est de refaire l’éducation des créateurs en matière de sécurité informatique, particulièrement après qu’a eu lieu le piratage de Sony. Et comme on est à Hollywood, il y a aussi des producteurs et des scénaristes venus ici pour trouver l’inspiration. « Je veux sonner aussi vrai que possible », me dit Sam Esmail, réalisateur de la série Mr. Robot, qui est ici ce soir en compagnie de la star du show, Rami Malek.

Esmail a engagé des hackers, et parmi eux Echemendia, en tant que conseillers sur la série. Ce qui aura servi avant tout à souligner le gouffre qui existe entre les deux mondes. Pour un épisode, les conseillers ont suggéré à Esmail d’utiliser une pratique réelle dans laquelle des hackers jettent aux ordures des clés USB piégées, dans l’espoir qu’une victime potentielle en ramassera une pour la brancher sur son ordinateur. Sitôt fait, le virus sera installé.

On raconte que c’est la méthode qui a été employée pour infecter les centrifugeuses nucléaires iraniennes avec le ver informatique Stuxnet, une attaque attribuée à Israël et aux États-Unis qui, d’après certains experts, a mis en pause le programme d’enrichissement d’uranium iranien pendant des mois. Esmail — qui se décrit lui-même comme un « geek fou de tech » — et ses co-auteurs ont trouvé l’idée trop simple pour être croyable. « On s’est dit : “Mais qui est assez stupide pour faire ça ?” » raconte-t-il. « On en a parlé à Ralph et il nous a cité les chiffres hallucinants des gens de la Sûreté nationale qui sont tombés dans le panneau. Je trouve toujours ça dingue ! »

La réalité, comme lui et d’autres commencent à le comprendre, est plus dingue que tout ce qu’on peut imaginer. « Sony a brutalement ouvert les yeux à tout le monde », me confie l’organisateur de l’événement, le producteur d’Anonymous Content Chad Hamilton. « Les gens sont terrifiés. » Hamilton a demandé à Echemendia de venir ici ce soir pour foutre encore plus les jetons aux personnes présentes. Il l’espère les encourager de cette façon à se mettre au niveau sur le plan de la sécurité informatique, afin qu’il ne vivent pas le même calvaire que d’autres victimes de piratage avant eux.

Echemendia a enfilé le costume d’usage pour l’occasion. Il est habillé tout en noir avec des bijoux d’argent qui cliquettent et le font ressembler à un prêcheur hi-tech tout droit sorti de Matrix. À un moment de la conférence, il fait sonner comme par magie le téléphone d’un producteur assis dans la salle. Sur le téléphone est affiché le nom d’un scénariste assis à l’autre bout de la table. « Putain de merde », laisse échapper le producteur en regardant son téléphone. « Comment vous faites ça ? »

« Ça s’appelle du spoofing », explique Echemendia. Cela permet de passer un appel ou d’envoyer un message en vous donnant l’impression d’être contacté par quelqu’un que vous connaissez. Lespoofing a fait toutes sortes de ravages à Hollywood. Les hackers passent de faux appels au 911 qui ont l’air de provenir de la maison de stars comme les Kardashian ou Justin Bieber. Des équipes du SWAT se pointent alors sur le palier des célébrités, qui ne comprennent pas ce qui leur arrive. Ashton Kutcher, Justin Timberlake, Selena Gomez et, plus récemment, Lil’ Wayne, ont tous été victimes de ces usurpations.

Mais il y a un twist : le spoofing, en dépit du mélange d’effroi et d’admiration ressenti par le producteur, n’est pas difficile à faire. N’importe qui peut aller sur le web et acheter ce qu’on appelle une « Spoof Card », qui permet facilement de réaliser le tour. C’est légal en plus, car les médecins et les avocats les utilisent parfois pour donner l’impression qu’ils appellent de leur bureau plutôt que de leurs téléphones. Naturellement, comme n’importe quel outil, son utilisation peut être détournée. Et cela fait partie des messages principaux qu’adresse Echemendia à l’assemblée : pour devenir expert en piratage, il n’y a même plus besoin d’être un pirate.

Echemendia sait ça mieux que quiconque à Los Angeles. Né à Cuba et élevé à Miami, il pirate depuis qu’il a 14 ans — dont au moins une fois illégalement. « Mes parents avaient une grosse facture téléphonique », me dit-il avec un sourire. « Je l’ai fait disparaître. » Mais Echemendia, comme beaucoup de black hats entreprenants, a vu un avenir tout tracé devant lui, et il a mis à profit ses compétences dans le cadre de formations sur la sécurité informatique. Après avoir connu son premier succès à Miami en créant un système de billetterie en ligne sécurisé pour la famille Marley, Echemendia est devenu une sorte de cyber-videur pour les célébrités. Quand l’album d’Eminem a fuité avant sa sortie, Echemendia faisait partie des enquêteurs sur le coup.

Les fuites de contenu, et pas seulement les photos dénudées, sont un problème grandissant à Hollywood. Pendant des années, la plupart des copies pirates étaient faites à partir des screeners DVD envoyés chaque année au jury de professionnels des Oscars, mais les pirates se tournent désormais vers davantage de sources alternatives en qualité HD. Wolverine, The Hateful Eight et Twilight sont parmi les films à avoir fait les frais d’une sortie prématurée sur le net. Le leak de Twilight a eu lieu après que le pirate a eu accès à la boîte mail de Stephanie Meyers. Bien que la méthode de l’attaque n’ait jamais été révélée, la plupart des infiltrations ont lieu grâce au phishing.

Une fois à l’intérieur du compte de Meyers, l’attaquant a simplement hameçonné d’autres adresses à partir des contacts de Meyers. Le fait que le contenu soit de plus en plus dématérialisé aggrave considérablement le problème, les films n’étant plus que de simples fichiers se baladant dans les boîtes mails du département de production. « Dans cette industrie », fulmine Echemendia, « rien n’a été fait, zéro, que dalle pour se préparer au fait qu’elle allait devenir entièrement numérique. »

Bien sûr, Echemendia et d’autres spécialistes en matière de sécurité vivent de ces vulnérabilités. C’est une critique répandue vis-à-vis de l’industrie de la sécurité : ils vous font peur pour que vous vous sentiez obligé de les engager pour vous aider. Mais il n’a pas tort. Tandis que les studios peuvent investir 150 millions de dollars dans le budget d’un film, quelle part de cet argent est allouée à la protection des données ?

Au sein de la plupart des compagnies, quand quelque chose va de travers, on s’en remet au département informatique. Mais peut-être qu’elles auraient davantage besoin de chefs de la sécurité informatique, chargés spécifiquement de protéger leurs biens. « Si votre compagnie est basée sur de la propriété intellectuel dématérialisée, vous avez tout intérêt à avoir un responsable chargé de la protéger », dit Echemendia, « car votre compagnie peut disparaître en un coup de vent si quelqu’un y a accès. »

Certains cinéastes semblent prêts à changer de mode de fonctionnement. Pour Stone, Echemendia a créé un système de sécurité spécial qui assure que chaque partie de la production — de la dernière note journalière aux communications de Stone avec Snowden lui-même — est chiffrée et parfaitement sécurisée. Plutôt que de se fier à des services de messagerie ordinaires, la production utilise un système développé spécialement pour toutes leurs communications — des emails au partage de fichiers. Et au lieu d’envoyer des notes journalières via Dropbox, ils utilisent leur propre système. Ils disposent également d’un système de surveillance programmé pour envoyer des alertes en cas d’anomalies dans le trafic. Stone ne tient pas à révéler le coût de ce système, mais Echemendia m’assure que d’autres films pourraient faire la même chose pour moins d’1 % de leurs budgets.

Il n’existe pas de chiffres spécifiques sur les dépenses d’Hollywood, mais Gartner, une société de recherche technologique, rapporte que les entreprises américaines dépensent plus d’un milliard de dollars par an pour protéger leurs données. En plus des réalisateurs comme Stone, qui engagent des conseillers de sécurité privés, les studios emploient les services de firmes comme Watchdox, IntraLinks et Varonis, révèle un article paru dans le New York Times. Lulu Zezza, directeur de la sécurité numérique pour New Regency pictures, s’est confié au Times. « Après Sony, convaincre les gens de coopérer avec moi a été complètement différent. Tout le monde comprend bien que les choses doivent changer. »

Survivre à l’ère de ces piratages massifs n’est pas juste une question de prouesse technique. Peu importe combien une compagnie est sécurisée, il suffit d’un seul clic pour ouvrir grand les portes aux intrus. Le défi, de ce fait, n’est pas tant de construire le plus impénétrable des firewalls, mais de devenir assez souple pour pouvoir stopper l’intrusion avant qu’elle ne fasse trop de dégâts. Il s’agit également de former les équipes qui travaillent à la conception des films pour que les individus qui les composent prennent leur intimité et leur sécurité au sérieux.

À la réunion Anonymous Content, par exemple, la discussion en vient au Fappening et à la façon dont les stars, certaines d’entre elles étant présentes dans la salle, utilisent désormais la vérification en deux étapes (qui requiert un code spécial envoyé par message en plus du mot de passe) pour accéder à leurs réseaux sociaux. Mais lorsque Echemendia leur apprend à quel point il est facile de pirater des webcams, même l’une des victimes du Fappening présentes dans la salle, la star de Shameless Emmy Rossum, reste incrédule. « Combien de fois j’ai laissé mon ordinateur ouvert et je me suis baladée dans la pièce en faisant Dieu sait quoi ? » dit-elle, avalant une gorgée de vin. « Il suffit donc de vivre avec un petit bout d’adhésif sur sa webcam ? C’est noté. »

Ce n’est pas la seule astuce à se propager en ville. Étant donné la teneur des emails personnels qui ont été révélés au grand jour par les pirates — que ce soit ceux de Pascal ou de Brennan –, les gens semblent enfin comprendre qu’il vaut mieux s’en tenir au téléphone ou aller déjeune pour parler. « Après le piratage de Sony », me dit Rossum pendant une pause, « tout le monde s’est dit qu’il valait mieux ne pas dire par email de choses méchantes. »

Pour Stone, qui met les dernières touches à son film sur Snowden, les menaces liées à la guerre que mène Hollywood depuis plus de dix ans contre les hackers sont claires et nettes. « On a vu ce qui est arrivé avec Sony », ajoute Stone. « Tout ce travail investi dans un film pour qu’il soit piraté et qu’il apparaisse gratuitement sur le net… il n’y a vraiment pas de quoi se réjouir. » Et soit dit en passant, Stone ne croit pas une seconde que la Corée du Nord ait quoi que ce soit à voir avec le hack de Sony. « Je pense que ce sont des conneries », me dit-il. « La preuve qu’on nous a montrée n’était que de la propagande gouvernementale. » Mais qui était derrière dans ce cas ? « Ça a probablement été fait par quelqu’un de l’intérieur, qui connaissait intimement la compagnie », dit-il, « et qui n’était pas enchanté par leur situation. »

Tandis que Stone prépare la sortie de son biopic, le piratage continue. Spectre, le dernier James Bond, était disponible sur les sites de peer-to-peer le 6 novembre, le jour que sa sortie cinéma américaine. Pendant ce temps, quelques mois seulement après le piratage massif de Sony, des photographies de la mannequin Charlotte McKinney nue sont apparues sur la Toile, donnant lieu à des gros titres comme : « Assiste-t-on à un nouveau Fappening ? » Le lendemain, le trailer de Batman vs. Superman fuitait sur le web. Quelque part sur Internet, les pirates qui venaient de sortir la vidéo regardaient le Chevalier noir railler Superman, tout comme ils avaient joué un sale tour aux studios. « Dis-moi, est-ce que tu saignes ? » mugit Batman. « Tu saigneras. »

Traduit de l’anglais par Laura Orsal et Nicolas Prouillac pour Ulyces.

Image for post
Image for post

Ecrit par David Kushner. Edité par Evan Hansen et relu par Rachel Glickhouse.

Medium France

La publication officielle de Medium en France.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store