Dans la foulée du piratage informatique de Sony Picture mentionné dans mon dernier billet, on apprend maintenant que l’entreprise a décidé de répliquer en effectuant une attaque distribuée de déni de service (DDOS) sur plusieurs serveurs utilisés par les pirates pour divulguer l’information volée.
Le but de Sony Picture ici est d’empêcher au maximum la diffusion de l’information sensible volée. Compte tenu de la facilité à laquelle l’information circule facilement sur Internet, c’est une stratégie qui est ultimement vouée à l’échec. Mais à court terme, elle pourrait être suffisamment efficace pour faire taire la machine à scandale, le temps que les médias décident de s’intéresser à une autre histoire.
On peut se poser des questions éthiques quant à l’utilisation de tels moyens par une entreprise. Il s’agit d’un acte criminel dans plusieurs juridictions et dont sont victimes un grand nombre d’organisations légitimes à chaque année. Ce genre de vigilantisme n’a normalement pas sa place dans les sociétés démocratiques, et on pourrait très bien dire que ce principe s’applique à Internet. Après tout, beaucoup de contenu parfaitement légitime peut également se retrouver sur ces serveurs, et la réplique de Sony Picture aura également un effet sur leur disponibilité – créant des victimes collatérales, quoi.
Dans une société de droit, on devrait plutôt demander à Sony Picture de faire confiance aux autorités judiciaires compétentes. Et c’est là qu’on frappe un mur: les ententes internationales et méthodes d’enquêtes – sans compter les priorités nationales en matière de lutte au crime – ne sont pas encore capables de gérer efficacement le phénomène du piratage informatique international. Sony Picture a décidé de prendre les choses en main tout simplement parce que personne d’autre n’allait vraiment le faire.
Et ce n’est pas la première fois que des acteurs industriels en viennent à cette conclusion. Tout récemment, l’entreprise de sécurité Novetta a publié un rapport sur l’opération SMN, qu’elle a organisée en collaboration avec de nombreux grands acteurs commerciaux de l’informatique aux États-Unis. Cette opération avait pour but d’attaquer le groupe chinois Axiom, soupçonné d’un grand nombre d’attaques informatiques dans le passé, et de stopper leurs activités chez le plus grand nombre possible de victimes. On parle ici d’une opération de grande envergure, demandant la collaboration d’entreprises qui ne sont pas toujours habituées à travailler ensemble. En comparaison, la réplique de Sony Picture est beaucoup plus banale dans sa complexité.
Axiom, tout comme Gardian of Peace, sont des groupes de pirates qu’on soupçonne fortement d’être influencés, financés ou carrément contrôlés par les gouvernements Chinois et Nord-Coréen. Ceci est démenti par les autorités respectives, mais c’est tout à leur avantage de faire ainsi, surtout qu’il demeure pratiquement impossible de démontrer ces liens hors de tout doute. On se retrouve donc avec des acteurs commerciaux effectuant des attaques informatiques illégales sur des cibles qui sont potentiellement des actifs gouvernementaux de puissances étrangères. Un cocktail qui pourrait s’avérer explosif dans le futur.
Cryptique César! 