Assez rapidement après les cyberattaques contre le studio de cinéma Sony Pictures Entertainment, le Président Barack Obama a affirmé que les responsables étaient nord coréens et a ordonné des mesures de rétorsion contre la dictature, dix de ses membres éminents, ainsi que des entreprises d’armement.
La communauté de la cybersécurité n’a pas du tout été impressionnée par ces affirmations sans le moindre début de preuve.
Lors d’un discours durant la conférence sur la cybersécurité de la Fordham Law School, le directeur du FBI, James Comey, est venu au secours du président en affirmant qu’il avait une forte certitude que les attaques pouvaient être attribuées aux dirigeants nord coréens.
Malheureusement, ici encore, sans l’ombre d’une preuve. Le directeur demande au public de le croire, car il a vu des preuves qu’il ne peut rendre public pour des raisons de sécurité. Parlant des sceptiques, il note :
« Ils n’ont pas les faits que je détiens. Ils ne voient pas ce que je vois. »
Comme l’affirme Bruce Schneier, faut-il croire au FBI comme l’administration Bush avait demandé aux gens de la croire sur les armes non-existantes de destruction massive ?
Seule esquisse de preuve, les attaquants auraient à maintes reprises oublié d’utiliser un réseau virtuel privé (VPN) pour cacher leurs adresses IP originales. Et dans ces cas toutes les adresses seraient d’origine nord coréenne.
Ce à quoi les spécialistes rétorquent que ces adresses IP nord coréennes pourraient aussi bien être le résultat de l’utilisation de VPN, pour brouiller les cartes.
Le contre argument le plus fiable contre la thèse d’une responsabilité nord coréenne, ou du moins pour une saine hésitation, est que le groupe de pirates, qui se prénomment ‘Guardians of Peace‘, n’a commencé à mentionner le film comique qui irrite Kim Jong Un, The Interview, que tard dans la conversation, après des spéculations dans la presse. Toutes les premières menaces et les premières demandes n’ont jamais mentionné le film, et cherchaient à extorquer un maximum d’argent.
Pour Comey, il faut applaudir l’attitude de l’administration Obama, et à l’avenir, utiliser plus souvent la stratégie du ‘naming and shaming‘ (nommer et humilier) contre les cyberattaques étatiques. Encore faudrait-il au moins convaincre quelques spécialistes mondialement connus de la sécurité, et ne pas se réfugier derrière l’affirmation que ‘la NSA est d’accord avec nous.’