Le phishing, impliqué dans l’attaque de Sony Pictures
Les e-mails internes à Sony Pictures publiés par WikiLeaks laissent à penser que l’attaque de Sony Pictures a commencé par du hameçonnage ciblé.
Au moins cinq e-mails de même type se trouvent dans la base de données dérobées à Sony Pictures et mise en ligne par WikiLeaks. Dans chacun d’eux, l’expéditeur essaie de se faire passer pour Apple et évoquer un blocage préventif de l’identifiant Apple ID du destinataire, l’invitant à se connecter à une page Web pour le vérifier ou certifier selon les messages.
Ces messages apparaissent d’autant plus troublants qu’ils semblent avoir été envoyés régulièrement entre juin et septembre dernier – Michael Lynton, Pdg de Sony Pictures Entertainment en a reçu un le 19 septembre. De quoi laisser à imaginer une véritable campagne et ainsi étayer la thèse de Stuart McClure.
De fait, pour ce dernier, Pdg de Cylance, les attaquants auraient commencé par détourner les identifiants Apple ID d’employés du studio, avant de « se tourner vers leurs profils LinkedIn pour déduire leurs identifiants réseau internes en espérant que les utilisateurs emploient le même mot de passe pour leurs comptes privés et professionnel », indiquent nos confrères de Politico.
Une culture de la sécurité limitée
Une thèse qui apparaît aujourd’hui d’autant plus probable que Sony Pictures n’a pas vraiment fait la démonstration d’une culture de la sécurité informatique très étendue.
La base de données publiée par WikiLeaks produit parfois des résultats édifiants. Une simple recherche sur le mot « password » génère ainsi plus de 2300 résultats. Un nombre important de ceux-ci ne sont autres que des fichiers contant des listes de noms d’utilisateurs et de mots de passe pour des services en ligne, des services internes, des serveurs, etc.
Comme le relève Graham Cluley dans un billet de blog, on trouve là des exemples où le mot de passe est « password », ou bien le nom d’utilisateur du compte administrateur : « cela vous donne envie de vous cogner la tête contre un mur en briques », résume l’expert. Pour lui, il ne s’agit pas de se moquer de Sony mais plutôt de profiter de l’exemple pour se pencher sur ses propres pratiques internes.
Dès la mi-décembre, les pratiques de sécurité informatique à l’œuvre au sein du studio ont été mises en doute. C’était quelques jours avant que d’anciens salariés ne déposent une plainte collective, accusant Sony Pictures de ne pas avoir « réussi à sécuriser ni à protéger ses systèmes informatiques, ses serveurs et ses bases de données, ce qui a conduit à la publication des noms des plaignants ».