• 1 heure
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 15/12/2020

Tous les emails rendus publics (Sony)

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Nous sommes le 23 novembre 2014. En apparence, tout va bien chez Sony Pictures, le géant du film aux États-Unis. L'entreprise génère des milliards de dollars de revenus grâce à ses films et se prépare à en sortir de nombreux autres.

Tout va bien donc, mais en apparence seulement.

Le lendemain, 24 novembre 2014, un groupe de hackers qui se présente comme les "Guardians of Peace" (GOP) diffuse soudainement une grande quantité d'informations confidentielles de l'entreprise :

  • Des informations personnelles sur les employés et leurs familles sont diffusées ; 

  • Des milliers d'échanges d'e-mails entre employés deviennent tout à coup publics ; 

  • Des films qui n'étaient pas encore sortis se baladent désormais sur Internet ; 

  • Et pour couronner le tout, les données de nombreux serveurs de Sony sont supprimées. 

Le coup de massue pour Sony Pictures est massif. Difficile de savoir où donner de la tête quand autant de catastrophes surviennent simultanément. C'était sans aucun doute un des objectifs des Guardians of Peace : causer un maximum de dégâts. Mais pourquoi ?

Les causes du hack de Sony Pictures

Comme souvent dans les cyberattaques, il est difficile de savoir avec certitude qui est derrière l'attaque et exactement quelles sont ses intentions.

Bien qu'il n'y ait pas eu de preuve formelle, les soupçons se sont tournés vers la Corée du Nord. En effet, à cette époque, Sony Pictures s'apprêtait à sortir un film, The Interview, qui se moquait ouvertement de son leader Kim Jong-Un. En fait, le thème du film était... l'assassinat de Kim Jong-Un par de faux journalistes.

La sortie du film The Interview a été présentée comme la raison du hack de Sony Pictures
La sortie du film The Interview a été présentée comme la raison du hack de Sony

La sortie du film avait été accompagnée de menaces sur l'entreprise mais aussi sur les salles de cinéma qui le diffuseraient, faisant ressurgir le spectre du terrorisme (celui-là bien réel).

Le FBI a mené l'enquête aux États-Unis, et, si la Corée du Nord était toute désignée, rien n'exclut que les hackers puissent venir d'un autre pays. Faute de preuve, nous ne pouvons pas avancer plus de conclusions.

L'impact de la cyberattaque sur Sony

La cyberattaque sur Sony Pictures mérite d'être étudiée, car son impact a été massif et probablement sans précédent.

Mettons de côté les dégâts causés par les serveurs rendus inutilisables. Mettons aussi de côté l'impact financier lié à la sortie des films en ligne avant leur diffusion officielle en salle.

Concentrons-nous juste sur la diffusion des informations confidentielles, et notamment des e-mails internes de Sony. Ces e-mails sont aujourd'hui facilement accessibles en ligne sur Wikileaks. Ces e-mails sont tellement nombreux qu'il y a même un moteur de recherche pour les retrouver plus facilement.

Tapez "salary" et vous verrez tous les e-mails qui parlent de salaires en interne chez Sony. Il ne faut pas aller bien loin pour découvrir les salaires des plus hauts profils, ou bien pour apprendre que telle personne militait pour qu'une autre ne soit pas augmentée... Ou de taper tout simplement "confidential" pour trouver les informations les plus confidentielles...

Les conversations privées de Sony sont désormais publiques
Les conversations privées de Sony sont désormais publiques

Oh mon dieu ! Mais que peuvent-ils faire ? 😱
Porter plainte ? Interdire la diffusion des e-mails ?

Porter plainte, ils l'ont fait. Tenter d'interdire la diffusion des e-mails aussi. Mais c'est en réalité mission impossible : une fois que les e-mails sont publics, il suffit qu'une seule personne les mette à disposition pour que le mal soit fait.

Ce qu'il faut retenir

Évidemment, Sony n'était pas suffisamment préparé à une cyberattaque. La rumeur dit entre autres que des mots de passe simples étaient monnaie courante.

Mais la vraie leçon qu'on peut en tirer, selon moi, c'est qu'il n'existe plus de conversation privée dans l'absolu. Toute donnée enregistrée peut se retrouver un jour publique : tous les emails, tous les fichiers, tous les échanges enregistrés. Ils ne peuvent donc pas être considérés comme confidentiels.

Si vous ne voulez vraiment pas qu'une information puisse se retrouver publique un jour, ne l'enregistrez pas. Et si vous avez absolument besoin de l'enregistrer, utilisez le plus puissant système de chiffrement disponible. Pour vos emails, GPG est un outil qui vous permet de chiffrer vos échanges les plus confidentiels. Evidemment, il a un défaut : il n'est pas (hyper) simple à utiliser pour le grand public.

GnuPG (GPG) permet de chiffrer les emails
GnuPG (GPG) permet de chiffrer les emails

Si le cas de Sony laisse penser que le problème concerne surtout l'entreprise, que se passe-t-il quand une entreprise stocke des données confidentielles de centaines de milliers de citoyens ? Vous le saurez en lisant... le prochain chapitre !

Exemple de certificat de réussite
Exemple de certificat de réussite