Même s'il demeure une spéculation, voici ce qui semble être le scénario qui a permis à des hackers de dérober des giga-octets de données à Sony Pictures Entertainment.
Les résultats de l'enquête menée par le FBI sur le hacking de Sony Pictures Entertainment - qui en fin 2014 s'était conclu par la révélation publique de données confidentielles, emails, documents financiers, et même films proposés en téléchargement avant même leur diffusion en salle – n'ont pas encore été publiés.
Les seules informations qui ont été officiellement dévoilées sont l'origine de l'attaque, en provenance du gouvernement de Corée du Nord, ce que de nombreux observateurs doutent, et la suspicion que l'attaque viendrait de l'intérieur, elle serait passée par un administrateur Microsoft SCCM 2007 (System Center Configuration Manager), ce qui encore une fois reste soumis à interprétation.
L'information vient des données dérobées
Etonnamment dans cette affaire, on en sait plus par les informations dérobées que les hackers ont rendues publiques que par les enquêteurs. En effet, tout document utilisé laisse une trace ou une signature, qui renferme des renseignements que les experts en sécurité savent décrypter.
Le scénario de l'attaque de la division de Sony le plus probable nous est proposé par Stuart McClure, CEO et fondateur de Cylance, qui était précédemment le CTO de McAfee. Nous le décrivons ci-dessous, même si l'information demeure au conditionnel :
1 – Identifier les cibles sur LinkedIn
Les employés de Sony qui ont permis aux pirates de pénétrer son système d'information ont été repérés sur LinkedIn. Le réseau professionnel permet d'accéder au nom et à la fonction des personnes qui y sont inscrites.
2 - Appâter par un spear phishing
Les employés repérés, c'est à dire ceux qui offraient un fort potentiel de disposer d'un accès au réseau de l'entreprise, ont reçu personnellement un mail détourné, les invitant à valider leur identifiant Apple ID à la suite d'une tentative illégale d'accès au site d'Apple.
Rappelons qu'Apple ID est l'identifiant unique qui permet à un client Apple d'accéder à son compte iPhone, iPad, Mac, iCloud et/ou iTunes.
3 – Identifier un mot de passe… commun
Un employé (a minima) aura cliqué sur le lien qui lui est fourni par le mail, affichant une page copiée de la procédure Apple, et il a inconsciemment rempli ses identifiants… Beaucoup d'utilisateurs n'emploient qu'un mot de passe unique, le pirate n'a donc pas eu de difficulté pour obtenir un mot de passe reconnu sur le réseau de Sony.
4 – Passer par Microsoft SCCM
Imaginons maintenant que l'employé de Sony dont le compte a été dérobé était à l'origine identifié administrateur SCCM sur LinkedIn, ce qui fait le lien avec la seconde information 'officielle'… Le pirate dispose désormais d'un identifiant et d'un mot de passe identiques à ceux que l'employé utilise pour se connecter au réseau de l'entreprise en accédant à SCCM. Le mal est fait !
Via Microsoft SCCM, le pirate dispose des droits sur la distribution de l'application SCCM, ses mises à jours, les postes de travail, etc.
Alors, certes ce scénario n'est que spéculation, mais de plus en plus d'experts se rangent derrière Stuart McClure. Nous disposons donc certainement de la version la plus probable du hacking de Sony Pictures Entertainment.
