Après l’attaque informatique qui a touché Sony Pictures, les soupçons envers la Corée du Nord, puis d’autres éléments soulignant entre autres la sécurité défaillante du groupe, ce sont les employés qui sont directement visés.
En parallèle, la VES publie des consignes de sécurité à destination des artistes, quel que soit leur studio.
Nouvelle attaque contre Sony Pictures
Un e-mail de menaces a été envoyé à une partie des artistes de Sony Pictures dans un anglais approximatif.
L’auteur affirme représenter le GOP (Guardians of Peace), nom du groupe qui a revendiqué l’attaque. Il menace directement les employés mais aussi leurs familles, promettant qu’elle seront « en danger » s’ils n’envoient pas au GOP leur nom « en signe de désaccord avec le faux [sic] de la société ».
Voici le message reçu :
I am the head of GOP who made you worry.
Removing Sony Pictures on earth is a very tiny work for our group which is a worldwide organization. And what we have done so far is only a small part of our further plan. It’s your false if you think this crisis will be over after some time. All hope will leave you and Sony Pictures will collapse. This situation is only due to Sony Pictures. Sony Pictures is responsible for whatever the result is. Sony Pictures clings to what is good to nobody from the beginning. It’s silly to expect in Sony Pictures to take off us. Sony Pictures makes only useless efforts. One beside you can be our member.
Many things beyond imagination will happen at many places of the world. Our agents find themselves act in necessary places. Please sign your name to object the false of the company at the email address below if you don’t want to suffer damage. If you don’t, not only you but your family will be in danger.
Nobody can prevent us, but the only way is to follow our demand. If you want to prevent us, make your company behave wisely.
La présence de plusieurs erreurs manifestes de grammaire et vocabulaire peut faire penser que l’anglais n’est pas la langue native de l’auteur. Toutefois, d’autres tournures et expressions sont plutôt celles de quelqu’un qui maîtrise un minimum cette langue : il pourrait donc s’agir d’erreurs volontaires, ajoutées pour semer le doute et, pourquoi pas, accréditer la thèse Nord-coréenne alors même que l’auteur n’est pas issu de cette région.
A ce stade, il est donc délicat d’en conclure quoi que ce soit.
Dans son message, celui qui revendique représenter GOP affirme que les actions déjà réalisées « ne sont qu’une fraction » de leur plan, et promet d’autres attaques. L’objectif du groupe, affirme l’e-mail, est « l’effondrement de Sony Pictures ». Le message reste en revanche très flou sur les raisons des attaques.
Selon Variety, après la réception du message Sony aurait demandé à ses employés d’éteindre leurs supports mobiles. Officiellement, le groupe précise « être au courant de la situation et travailler avec les autorités ».
Rappelons enfin que les données déjà mises en ligne par le GOP contenaient des informations personnelles sensibles sur les employées, comme des numéros de sécurité sociale.
La Visual Effects Society réagit
Dans le même temps, la Visual Effects Society (VES) a publié un communiqué. Le piratage de Sony Pictures, indique-t-elle, montre que le secteur est vulnérable et « le besoin d’une vigilance accrue ».
L’organisation a mis en ligne une liste de bonnes pratiques de sécurité à destination des artistes.
En voici une traduction :
– instructions sur la sécurité physique ; ne pas inviter de visiteurs non autorisés sur le lieu de travail, ne pas partager de badges ou clés, garder les documents sensibles dans des lieux sécurisés lorsqu’ils ne sont pas utilisés ;
– sécurité des mots de passe : ne pas les partager ou prêter sa session, changer régulièrement les mots de passe qui doivent être suffisamment complexes. Utiliser des mots de passe distincts pour l’accès aux données sensibles et pour les autres services. Ne pas envoyer ensemble login et mot de passe (utiliser un moyen de communication différent pour les deux), éviter de noter un mot de passe sur un post-it collé sur le support protégé ;
– sécurité des contenus : pour des transferts de données sécurisés, n’utiliser que des moyens approuvés par le client, jamais l’e-mail ou autres méthodes non chiffrées telles que le FTP. Ne pas connecter de matériel non autorisé au travail, ne pas installer de logiciel sans autorisation. Stocker les données à l’endroit prévu, de façon à ce que les sauvegardes puissent fonctionner comme prévu. N’utiliser le cloud (Dropbox, Google Drive, etc) pour les données client que si vous en avez reçu l’autorisation explicite par le client ou la direction.
– social engineering : toujours lire les consignes de sécurité fournies par le client et l’employeur, ne pas partager des contenus avec des personnes sans approbation explicite. Ne pas inclure sur LinkedIn ou IMDB d’informations sur les projets encore non finalisés sans autorisation. Si possible, faire référence aux projets à l’aide de noms de code, pas par le titre réel. Faire attention lors de discussions en public avec des collègues, ne pas discuter de sujets sensibles à proximité de personnes ne travaillant pas avec vous.
– incidents de sécurité : si vous suspectez une perte de contenus, prévenir immédiatement employeur ou la personne propriétaire des données. Ne pas fermer les yeux face à la négligence ou infraction aux consignes de sécurité d’autrui, d’autant que ne pas signaler un incident vous rend également resposable. En cas de doute, toujours demander conseil au supérieur ou à l’équipe informatique.
La VES précise être ouverte à tout retour sur ces consignes ; il est possible de la contacter par e-mail à ce sujet : ves-security@googlegroups.com .
