La semaine dernière, on apprenait que le collectif de hackers Guardians of Peace venait de pirater le réseau informatique de Sony Pictures. Le groupe revendiquait alors avoir mis la main sur une foule de secrets de la firme, entre films non sortis aux cinéma, grilles des salaires, mails, mots de passe et autres données concernant des intervenants externes à la société.
Entre temps, l'enquête piétine et le FBI évoque une opération menée depuis la Chine quand Re/Code évoque une attaque orchestrée en Corée du Nord.
Progressivement, d'autres données se retrouvent sur la toile, et cette fois, ce sont diverses archives Zip qui contiennent des certificats de sécurité achetés par Sony, des clés de signature électronique, clés privées pour accéder à certains serveurs, mais aussi et surtout un listing de mot de passe énorme proposé en clair.
On constate ainsi l'arrivée d'une archive nommée tout simplement "Password" qui rassemble 139 documents Word, classeurs Excels, PDF et autres archives qui concentrent des milliers de comptes associés à des mots de passe affichés en clair. En d'autres termes, Sony stockait directement les identifiants de ses clients en clair sur certains serveurs.
Ces comptes correspondant à des accès aux services en ligne, réseaux sociaux, abonnements, identifiants Amazon, Google... De quoi faciliter une nouvelle vague de piratage ciblant clients et salariés de Sony Pictures.
Parmi les informations partagées sur la toile, on trouve également des documents bien plus sensibles, comme les adresses postales de l'ensemble des salariés de la société, mais aussi des numéros de sécurité sociale. Autant d'informations permettant d'usurper l'identité de milliers de personnes.
