Le groupe ShinyHunters a inscrit le nom de Kodak sur son site d’extorsion le 15 juin, accompagné d’un ultimatum fixé au 18 et d’un chiffre volontiers spectaculaire, 2,2 millions d’enregistrements contenant des informations personnelles de clients et des données internes. L’entreprise de Rochester, fondée en 1880 et aujourd’hui reconvertie dans l’impression commerciale, les matériaux avancés et la chimie industrielle, a promptement confirmé qu’un tiers non autorisé avait « illégalement obtenu un accès temporaire à un volume limité de données de l’entreprise ». Entre la revendication tonitruante et l’aveu mesuré, il y a un gouffre que seule l’investigation en cours pourra éventuellement combler.
Kodak n’a jamais mentionné ShinyHunters dans sa communication officielle et n’a pas davantage précisé la nature des données compromises. Un porte-parole a déclaré à BleepingComputer que des experts en cybersécurité externes avaient été engagés « pour accompagner l’enquête sur les données consultées et copiées », puis a ajouté être « confiant dans le fait qu’il n’existe aucune menace pour nos systèmes ou nos opérations ». La formule ressemble fort à un exercice de confinement narratif, où chaque mot est pesé pour minimiser l’impact boursier et réputationnel sans pour autant contredire frontalement les attaquants.
ShinyHunters, de son côté, n’a publié aucun échantillon de preuve pour étayer sa revendication. Aucune capture d’écran, aucun extrait de base de données, aucun fichier témoin. Cette absence est en soi un indicateur à double tranchant. Elle peut signifier que le gang bluffe ou gonfle ses chiffres pour maximiser la pression, ou bien qu’il préfère garder ses cartes fermées jusqu’à l’expiration du délai, transformant le silence en levier psychologique. Quiconque suit l’actualité des fuites de données sait que la publication d’échantillons précède généralement la mise en ligne intégrale, et que leur absence invite à la prudence analytique.
La lecture d’une menace de leak, avant toute confirmation indépendante, obéit à une grammaire bien rodée dans le milieu du renseignement sur les menaces. On examine d’abord la crédibilité historique de l’acteur, puis la cohérence entre le volume annoncé et le périmètre réel de la cible, et enfin la présence (ou non) de preuves tangibles. Sur le premier critère, ShinyHunters dispose d’un palmarès difficilement contestable. Le cartel cybercriminel a revendiqué depuis septembre dernier des centaines de victimes à travers des campagnes exploitant des instances Salesforce mal configurées (plus de 1,5 milliard d’enregistrements allégués) et s’est tout récemment attaqué à une faille zero-day dans Oracle PeopleSoft, touchant au moins une centaine d’organisations dont l’Université de Nottingham.
Madison Square Garden, Ralph Lauren, JCPenney, Sysco Corporation… la liste des entreprises épinglées par le groupe au cours de la seule dernière semaine donne le vertige et suggère une capacité opérationnelle industrielle, probablement adossée à des vulnérabilités systémiques dans des plateformes tierces plutôt qu’à des intrusions artisanales ciblant chaque victime individuellement. Kodak, qui a traversé une faillite en 2012 avant de se réinventer en acteur B2B de la technologie et de la fabrication, exploite vraisemblablement des outils d’entreprise du type de ceux que ShinyHunters sait viser avec méthode.
Le second critère, celui de la cohérence volumétrique, reste plus délicat à évaluer sans connaître l’architecture informatique de Kodak. L’entreprise détient 79 000 brevets mondiaux et fournit des produits à des clients industriels dans plusieurs secteurs, ce qui implique des bases de contacts fournisseurs, partenaires et clients potentiellement volumineuses. Le chiffre de 2,2 millions d’enregistrements, bien qu’impressionnant dans l’absolu, n’est pas aberrant pour une société de cette envergure. Il ne constitue pas non plus une preuve en soi.
Reste le troisième filtre, celui des preuves concrètes, qui demeure à ce stade totalement vide. Et c’est peut-être là que réside l’enseignement le plus utile pour les analystes, les journalistes et les entreprises qui scrutent ces annonces. Une revendication sans échantillon est une affirmation, pas une démonstration. Elle mérite d’être documentée, contextualisée, mais certainement pas traitée comme un fait accompli. Kodak elle-même entretient le flou en reconnaissant un accès non autorisé tout en refusant de confirmer un lien avec ShinyHunters ou de répondre aux questions sur une éventuelle compromission de son réseau.
L’écart entre le discours du gang et celui de l’entreprise dessine un espace d’incertitude que seuls les résultats de l’enquête, du moins ceux qui seront rendus publics, permettront de refermer. En attendant, chaque partie joue sa partition avec une logique propre. ShinyHunters cherche à convertir la peur en rançon avant la date butoir. Kodak cherche à contenir l’hémorragie informationnelle en employant le vocabulaire calibré des crises gérées par des cabinets de communication. Les observateurs, eux, feraient bien de compter les preuves avant de compter les millions d’enregistrements.
