Cette semaine, dans un courrier adressé à ses salariés, Sony Pictures Entertainment a récapitulé la liste des données volées au cours du piratage massif de ses serveurs quelques jours avant Thanksgiving. Dans cette lettre, plus détaillée que le courriel similaire envoyé plus tôt ce mois-ci, Sony encourage aussi le personnel à utiliser le service AllClearID qui leur permet de profiter d'une protection et d'une surveillance de leurs informations personnelles et de leur identité sur le web pendant les 12 prochains mois. Sony met également en garde ses salariés contre d'autres attaques de phishing ou communications malveillantes qui pourraient servir de levier pour compromettre ses systèmes. La lettre évoque bien sûr la cyberattaque revendiquée par un groupe qui se fait appeler Guardians of Peace (GOP). Ce dernier a affirmé qu'il avait consacré plus d'un an à mettre au point son attaque et infiltrer le réseau de Sony. Et depuis le 26 novembre, il inonde le web de documents internes et de médias volés à la filiale américaine du groupe japonais.

À ce jour, le groupe a laissé filer plusieurs To de données, dont des films inédits (Fury par exemple), des courriels de dirigeants, des données de ventes et de marketing, et à peu près toutes les données détenues par la RH. « Sony Pictures Entertainment est toujours en train d'évaluer les dommages de cette cyberattaque, mais SPE peut d'ores et déjà confirmer que les informations personnelles suivantes que vous avez confiées à SPE sont peut être entre les mains de personnes non autorisées : (i) nom, (ii) adresse, (iii) numéro de sécurité sociale, numéro de permis de conduire, numéro de passeport, et/ou tout autre identifiant administratif, (iv) informations de compte bancaire, (v) informations de carte de crédit utilisées pour les dépenses et les déplacements professionnels, (vi) nom d'utilisateur et mots de passe, (vii) rémunération et (viii) autres informations professionnelles.

Des données relatives à la sécurité sociale des salariés dérobées

Par ailleurs, des personnes non autorisées ont peut être volées (ix) des données de santé HIPAA (Health Insurance Portability and Accountability Act) inscrites dans le dossier patient et celles relatives à l'assurance maladie, comme le nom, le numéro de sécurité sociale, des informations de santé confiées à Sony Pictures Entertainment (de diagnostic et de maladie), date de naissance, adresse du domicile, et numéro d'identification du salarié et des personnes affiliées à l'assurance santé de SPE, et (x) d'autres informations de santé/médicales fournies à SPE, ne concernant pas l'assurance santé ». Les pirates ont livré plus de 30 000 dossiers RH, ce qui explique pourquoi le récapitulatif établi par Sony est aussi important.

Parmi les autres données, non mentionnées spécifiquement dans la lettre de Sony, figurent également les données de vérification de casier judiciaire des employés, les lettres de proposition de salaires et d'emploi, les documents d'appréciation que la RH rédige sur le personnel. Lundi, Sony Pictures a réuni son personnel au siège de l'entreprise, près de Los Angeles. On sait encore peu de choses sur ce qui s'est dit ce jour-là, si ce n'est que Sony a informé ses employés sur l'état actuel de l'enquête et a précisé dans quel délai les choses pourraient revenir à la normale. Des employés qui ont pu parler au CSO ont déclaré que l'accès au réseau de l'entreprise était limité, et que plusieurs systèmes utilisés pour des opérations quotidiennes étaient encore hors ligne. À l'heure actuelle, le personnel doit travailler avec une connexion WiFi réduite, utiliser des Hot Spots Verizon Mobile, et un service de courriel ne fonctionnant qu'avec des adresses mails vérifiées. D'autres employés ont également confirmé ces difficiles conditions de travail, ajoutant que depuis la mise hors ligne du réseau peu avant Thanksgiving, l'activité était très ralentie, voire totalement paralysée dans certains cas.