Si vous êtes du genre à penser que derrière les cyberattaques, c’est juste des Tanguy qui volent des mots de passe, j’ai une histoire qui va vous retourner le cerveau.
Le 24 novembre 2014, Sony Pictures s’est fait défoncer la tronche comme jamais à cause d’une comédie pourrave avec Seth Rogen qui voulait buter Kim Jong-un. Et je vous explique aujourd’hui pourquoi c’est l’un des hacks les plus dingues de l’histoire.
Ce matin-là, les employés de Sony Pictures à Culver City ont vécu l’enfer. Imaginez, vous arrivez au taf, vous lancez le PC et au moment de checker vos emails, BAM ! Un crâne rouge fluo avec des doigts squelettiques s’affiche avec un message des “Guardians of Peace” (GoP) : “On a tout volé, vos secrets, vos fichiers, TOUT. Vous avez jusqu’à 23h pour négocier.” Ambiance garantie dans l’open space.
– Le crâne rouge des Guardians of Peace - L’écran de la mort qui a terrorisé Sony
Ce que les employés ne savaient pas alors, c’est que 3 jours avant, le 21 novembre, les gros bonnets de Sony avaient reçu un email d’avertissement. Un groupe qui se faisait appeler “God’sApstls” leur demandait du fric : “Payez-nous ou Sony Pictures sera bombardé dans son ensemble.” Bah oui tranquille, qui va prendre au sérieux un email de rançon avec des fautes d’orthographe ? Les execs l’ont pris pour du spam et l’ont jeté à la corbeille. Les couillons.
Quelques jours plus tard, ces hackers récupéraient alors 100 TÉRAOCTETS de données. Pour vous donner une idée, c’est comme si vous aviez piraté l’intégralité de Netflix. Dedans, y’avait absolument tout : 47 000 numéros de sécu sociale, les salaires de tout le monde (spoiler : les femmes étaient bien moins payées), des films pas sortis, et surtout… les emails. Oh putain, les emails.
– Amy Pascal et Scott Rudin - Le duo explosif dont les emails ont fait scandale
Les emails entre Amy Pascal (co-présidente de Sony Pictures) et Scott Rudin (producteur star), c’était du caviar. Ces deux-là s’envoyaient des vannes bien salées sur tout Hollywood. Rudin a littéralement traité Angelina Jolie de “gamine pourrie gâtée avec un talent ridicule”. Pourquoi ? Parce qu’elle voulait faire son film Cléopâtre avec David Fincher. Il a écrit : “Je ne suis pas du tout intéressé à présider un bain d’ego à 180 millions de dollars.” Brutal.
Mais attendez, ça devient encore plus croustillant notamment dans ce mail où Pascal demandait à Rudin ce qu’elle devrait dire à Obama lors d’un petit-déj’ de levée de fonds. Réponse du mec : “Demande-lui s’il a aimé Django.” Pascal : “Ou 12 Years a Slave.” Rudin : “Think Like a Man ?” Pascal : “Ride Along. Je parie qu’il adore Kevin Hart.” En gros, ils faisaient des blagues racistes en suggérant qu’Obama ne regardait que des films avec des Noirs. Quand c’est sorti dans la presse, ce fut un Hiroshima médiatique.
Pour réussir leur attaque, les hackers ont utilisé une variante du malware Shamoon, rebaptisée “Destover” ou “Wipall” et ce truc effaçait les disques durs ET le Master Boot Record ce qui faisait, grosso modo, que les PC touchés devenaient des presse-papiers à 2000 balles.
Tom Chapman d’EdgeWave a alors analysé l’attaque pour trouver que tout avait commencé par un simple email de spear phishing. Un employé lambda a cliqué sur le mauvais lien (probablement un truc du genre “Cliquez ici pour voir les photos du pot de Noël”), et hop, les hackers ont pris le contrôle du serveur mail et de l’Active Directory. Game over.
Le plus flippant c’est que ces enfoirés étaient dans le réseau depuis AU MOINS deux mois. Certains experts parlent même d’un an ! Ils se baladaient tranquilles dans les serveurs de Sony, pompant des données comme des malades. Ils connaissaient le réseau par cœur : les noms des serveurs, les mots de passe admin, et tout était hardcodé dans leur malware. Du travail de pro, pas des script kiddies de 4chan.
Maintenant, parlons du film qui a foutu le bordel : “The Interview”. Cette comédie débile avec James Franco et Seth Rogen racontait l’histoire de deux journalistes crétins recrutés par la CIA pour assassiner Kim Jong-un. En gros, ils obtiennent une interview exclusive avec le dictateur et doivent le buter pendant l’émission. Hilarant, non ? Bah apparemment, le vrai Kim Jong-un a moyennement apprécié l’humour.
– The Interview - Le film à 44 millions qui a failli déclencher la 3ème guerre mondiale
Le 16 décembre, les GoP balancent la menace ultime. Ils promettent des attentats type 11 septembre dans les cinémas qui oseraient projeter le film : “Nous recommandons à ceux qui vivent près des cinémas de se tenir éloignés. Si votre maison est proche, partez.” C’est plus du hacking, c’est du terrorisme pur et simple. Les grandes chaînes (AMC, Regal, Cinemark) chient alors dans leur froc et annulent tout. Le 17 décembre, Sony capitule et annule la sortie du film.
Barack Obama était vénère. En conférence de presse, il balance : “Nous ne pouvons pas avoir une société où un dictateur impose la censure aux États-Unis.” Il qualifie ça de “cyber-vandalisme” (pas d’acte de guerre, faut pas déconner) et promet une réponse. Et comme par hasard, le 22 décembre, tout Internet en Corée du Nord tombe en panne pendant 9h31. Les US nient toute implication. Bien sûr.
– Obama furieux - “On ne peut pas laisser un dictateur censurer Hollywood”
George Clooney, lui aussi a pété un plomb. Avec son agent Bryan Lourd, il rédige une pétition de soutien à Sony. Le message ? “C’est pas juste Sony qui se fait attaquer, c’est toute notre liberté d’expression.” Résultat des courses : ZÉRO signature. Nada. Que dalle. Tout Hollywood avait les chocottes de devenir la prochaine cible.
Clooney l’a alors dit cash dans Deadline : “Personne n’a signé. Pas un seul. Amy Pascal m’a appelé pour me remercier, c’était tout. C’est la définition du terrorisme : on nous dit qu’on peut pas voir un film à cause de Kim Jong-un, putain !” Le mec était dégoûté de la lâcheté d’Hollywood.
Puis finalement, Sony fait un doigt d’honneur aux hackers en sortant quand même le film le 25 décembre dans 331 cinémas indépendants et en VOD. Résultat, 40 millions en digital, 12,3 millions au box-office. Pas mal pour un film “censuré” ! Les Américains l’ont regardé par principe, genre “personne ne nous dit quoi regarder”. ‘Murica!
Mais parlons maintenant du cerveau derrière tout ça : le groupe Lazarus dont je vous conté les exploits y’a pas si longtemps. Ces mecs, c’est pas des amateurs du dimanche. Actifs depuis 2009, ils bossent pour le Bureau 121, l’unité cyber de l’armée nord-coréenne. 6000 hackers d’élite basés en Chine, Russie, et autres pays sympas. Leur CV ? L’attaque WannaCry de 2017, le vol de 81 millions à la Bangladesh Bank, des attaques contre la Corée du Sud…
Le FBI les a identifié car ils avaient été “négligents” avec leurs proxys. Traduction : ces génies se sont connectés directement depuis des IP nord-coréennes plusieurs fois. Erreur de débutant ou arrogance ? On ne saura jamais. Et en 2018, les autorités américaines ont inculpé Park Jin-hyok, un hacker du Bureau général de reconnaissance qui bossait sous couverture pour Chosun Expo Joint Venture.
Il y eu pas mal de dégâts collatéraux. “Fury” avec Brad Pitt : 1,2 million de téléchargements illégaux. “Annie” (le remake pourri) : 206 000 téléchargements avant même sa sortie, soit au total, 5 films dans la nature. Mais le pire, c’était les données perso. Des employés ont trouvé leurs numéros de sécu en vente sur le dark web des années après.
Et dans les emails leakés, y’avait un dossier “Passwords” avec 139 fichiers avec dedans, les mots de passe Facebook, Twitter, YouTube de tous les comptes marketing des films. Certains passwords étaient du genre “password123” ou “sony2014”. La sécu chez Sony, c’était niveau CP. J’imagine même pas la tête des mecs de l’IT quand ils ont vu ça.
Il y avait également d’autres perles dans les emails : Jennifer Lawrence payée moins que ses co-stars masculins dans American Hustle (elle touchait 7% contre 9% pour les mecs). Kevin Hart traité d’artiste “coquille vide” qui demande trop d’argent. Leonardo DiCaprio qualifié d’“horrible pour attirer un public”. Les producteurs qui se plaignent qu’Adam Sandler fait des films de merde mais qu’ils continuent à le payer parce que ça rapporte à l’international.
Michael Lynton, le CEO de Sony Entertainment, a aussi raconté l’après-hack. Ils ont dû ressortir les vieux BlackBerry du placard pour communiquer. Plus d’emails, plus de téléphones fixes, plus rien. Ils utilisaient des MACHINES À CHÈQUES MÉCANIQUES pour payer les employés ! En 2014, c’était retour aux années 80.
Et les employés ont morflé grave. Les hackers leur envoyaient des menaces perso : “Vous et votre famille serez en danger.” Des mecs ont fait surveiller leurs gamins à l’école. D’autres ont payé des services de protection d’identité de leur poche. L’ambiance chez Sony était tellement toxique que beaucoup se sont barrés.
– Les bureaux de Sony Pictures (source)
Et niveau thunes, c’est le flou total. Sony annonça 15 millions de “coûts d’investigation” au Q1 2015 mais les analystes parlent de 100 à 200 millions au total. 8 millions rien que pour le procès collectif des employés et heureusement qu’ils avaient une assurance cyber de 60 millions. Une goutte d’eau dans l’océan des emmerdes.
Aaron Sorkin (le mec qui a écrit The Social Network) a également pété un câble contre les médias. Pour lui, publier les emails volés, c’était “aider les terroristes”. Il a écrit dans le NY Times que les journalistes étaient “moralement traîtres”. Les journalistes ont répondu : “C’est de l’intérêt public, on révèle le vrai visage d’Hollywood.” et ce débat fait encore rage aujourd’hui.
D’ailleurs, dans les emails de Sorkin lui-même, on découvre qu’il galère avec le biopic de Steve Jobs. Il écrit aussi que les actrices ont la vie facile aux Oscars comparé aux acteurs. “Les femmes gagnent juste en étant bonnes, les hommes doivent transformer leur corps et souffrir.” Sympa l’ambiance #MeToo avant l’heure.
Seth Rogen, des années après, reste traumatisé : “C’était l’apocalypse. Amy Pascal virée, des carrières brisées, Hollywood paralysé par la peur. Tout ça pour notre film débile.” James Franco, lui, en rigole : “Au moins, tout le monde a vu le film. Meilleure promo ever !”
L’impact sur Hollywood a également été énorme. Maintenant, tout est chiffré (enfin, on espère) et les formations anti-phishing sont obligatoires. Les emails sensibles passent par Signal ou des trucs sécurisés, mais surtout, tout le monde a compris : dans le monde numérique, tes secrets les plus noirs peuvent devenir publics en un clic.
Aujourd’hui, “The Interview” passe tranquille à la télé et ce film qui a failli déclencher la 3ème guerre mondiale est devenu un truc qu’on regarde en mangeant des chips. 51% sur Rotten Tomatoes… Tout ça pour ça.
Quoiqu’il en soit, ce hack restera dans l’histoire comme le jour où un dictateur a réussi à censurer Hollywood. C’est aussi la première fois qu’un pays est sanctionné pour une cyberattaque contre une boîte privée. Un précédent qui fait flipper car si un film peut déclencher ça, qu’est-ce qui se passera avec un truc vraiment sérieux ?
En tout cas, la prochaine fois que votre boîte vous saoule avec ses formations sécu, pensez à Sony. Pensez à Amy Pascal qui s’est fait virer pour des vannes privées. Pensez aux employés qui ont vu leurs numéros de sécu en vente sur le dark web. Et surtout, ne cliquez pas sur ce putain de lien suspect. À vous de voir maintenant.
– Source :
https://korben.info/sony-pictures-hack-2014-histoire-complete.html