Fermer le menu
 

PSN : Sony fait 77 millions de victimes

Arnaud de la Gr... | | 15:51 |  116
skitched


Parmi les catastrophes industrielles les plus redoutées des services en ligne, le vol des données personnelles figure en très bonne place. Et c'est précisément ce qui vient d'arriver à Sony : suite à une attaque de ses serveurs, l'intégralité de la base de données du PlayStation Network, mais également du service Qriocity, a été compromise. Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone (jusqu'à un épisode de South Park diffusé mercredi), ce problème autrement plus sérieux ne semble pas déchaîner les mêmes passions. On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store.

Historique des événements


Cette violation est intervenue les 17 et 19 avril. Lorsque Sony s'est aperçue du problème, elle a engagé les services d'une société externe pour mener l'enquête, et purement et simplement coupé le service le 20 avril, il n'est à ce jour toujours pas disponible. Les utilisateurs du PSN se sont vus opposés une erreur "80710A06" sans plus d'explications. Le même jour, Sony publie sur le blog PlayStation ce message sibyllin :

« Bonjour à tous.
Certaines fonctions du PlayStation Network sont actuellement indisponibles. Nous vous tiendrons informés dès que nous aurons plus d’informations.

Merci de votre compréhension. »


Les employés de la hotline de Sony reçoivent cet email le même jour :

« Bonjour,

Pour cause de maintenance d'urgence, tous les services du PlayStation® Network et de Qriocity, y compris les magasins, la gestion de compte, l'identification externe, et le service client, sont actuellement indisponibles depuis les environs de 5 heures du matin.

Nous n'avons pas encore d'estimation quant à la remise en ligne des services, mais nous vous tiendrons informés lorsqu'ils seront disponibles. »


Le lendemain, Sony ne donne toujours pas d'explication, mais semble manifestement trop optimiste quant à la résolution du problème :

« Alors que notre enquête sur les causes de l'interruption du Network suit son cours, nous souhaitons vous informer du fait que nous ne pourrions être en mesure de rétablir complètement le service que d'ici un jour ou deux. Nous vous remercions pour votre patience durant le temps nécessaire à la résolution de cette question. Veuillez revenir sur cet espace pour plus de détails, et nous vous tiendrons informés dès que possible »


À l'heure où nous écrivons ces lignes, soit huit jours après ce message, le PSN n'est toujours pas rétabli. Ça n'est que le 22 avril que Sony communiquera sur les causes de l'interruption du service, pour révéler que le PSN et Qriocity ont été victimes d'une intrusion externe, mais elle ne révélera que les données personnelles de ses utilisateurs ont été compromises que le 26 avril.

Ce qui a été volé

Sony divulgue alors la nature des données sur ses utilisateurs dont elle sait avec certitude qu'elles ont été volées : le nom, l'adresse (code postal, ville, état), le pays, l'adresse email, la date de naissance, l'identifiant et le mot de passe du compte PSN/Qriocity, et le pseudonyme PSN. Il faut souligner ici que ces données sont largement suffisantes pour usurper une identité aux États-Unis, qui sont rongés par ce problème (en 2003, les pertes causées par le vol d'identité ont été estimées à 52,6 milliards de dollars, et près de 10 millions d'Américains en ont été victimes cette même année).

Elle ajoute qu'elle ne peut garantir que d'autres données n'ont pas été volées : le profil, l'historique des achats, l'adresse de facturation, et la réponse à la question de sécurité. Si les utilisateurs ont ajouté un sous-compte au leur (conjoint, enfants), ces données sont également susceptibles d'être compromises. Enfin, et surtout, Sony indique ne pas être en mesure de pouvoir garantir que les numéros de carte bancaire de ses utilisateurs ont été préservés, bien qu'elle ajoute n'avoir trouvé aucun élément permettant de penser qu'ils aient été compromis. « Par excès de prudence, nous devons vous indiquer que votre numéro de carte bancaire (hormis son code de sécurité) et sa date d'expiration ont pu être obtenus », précise-t-elle. L'intégralité des 77 millions de comptes PSN, répartis dans 59 pays, est susceptible d'avoir été touchée.

Il faut ici souligner le caractère invraisemblable de l'affaire : Sony a manifestement fait l'impasse sur une règle élémentaire en matière de protection des données, puisque le mot de passe des comptes PSN a pu être récupéré, et par là même toutes les données qui y sont associées. Il faut savoir que l'usage et la précaution exigent qu'on ne stocke jamais le mot de passe des comptes des utilisateurs en clair (ou d'une manière qui soit déchiffrable) à quelque endroit du serveur que ce soit. En pratique, on ne stocke qu'un code correspondant au mot de passe à l'aide d'une fonction de hachage cryptographique qui donne une empreinte numérique pour ainsi dire unique pour un même lot de données. Ainsi, au lieu de vérifier la validité du mot de passe à la connexion, on vérifie que son empreinte numérique est identique à celle stockée sur le serveur. La validité du mot de passe est garantie, et il est impossible de retransformer l'empreinte en mot de passe, ou d'intercepter le mot de passe durant la transmission entre le poste client et le serveur.

Le fait même que les mots de passe aient pu être volés laisse à penser que Sony les aurait stockés, au pire en clair, au mieux avec une empreinte numérique faible de type MD5 (une fonction de hachage cryptographique répandue, mais peu fiable, puisque relativement simple à déchiffrer). Une bévue qui serait à peine digne d'un amateur sur des données aussi sensibles que celles-ci, et impensable pour le géant nippon, qui aura fort à faire pour la justifier.

Les derniers dossiers

Ailleurs sur le Web


116 Commentaires Signaler un abus dans les commentaires

avatar USB09 03/05/2011 - 15:10

@CBi Pourtant dans iTune store, il est écrit "compte", cela devrait être suffisant.

avatar Vicktorrr 29/04/2011 - 16:59

"Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone" bah oui tiens, vous êtes heureux d'être pistés en plus ! Ce qu'il faut pas entendre sérieux, j'aurai bien voulu voir vos réactions si ça avait été le cas des Windows Phone 7. "On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store." Quelle victimisation à outrance :'(:'(:'(

avatar YannK 29/04/2011 - 17:03

C'est effectivement énorme et des choses sont pas claires là-dedans, surtout au niveau de la responsabilité de Sony sur la protection des données. Mais, au-delà de cette chose, semblerait qu'une piste mafieuse ait été activée dans les scénarios les plus "paranoïaques" vu que Anonymous aurait pu être détourné ces derniers temps… Avec Wikileaks, PayPal (millions de comptes et numéros de CB), Amazon (pareil), MasterCard et Visa (fabricants de CB), une banque suisse… Ensuite le PSN avec l'affaire Sony (qui soit dit en passant, n'a pas servi les utilisateurs et attaque pour laquelle cette communauté a fait son mea culpa) en même temps que les sites. Or, sur PSN… des millions d'infos bancaires. Certains experts se demandent si les Anonymous n'ont pas été utilisés pour diversion à des fins peu scrupuleuses et si ils ne sont pas plus organisés qu'ils ne veulent le laisser croire (pour info, aucune hiérarchie proclamée… mais faut bien que quelqu'un décide de quoi et coordonne + donne les moyens, etc). Du coup, il semblerait y avoir une "piste d'arnaque morale" où des têtes pensantes mafieuses ont instrumentalisé la chose et les pauvres naïfs qui y ont pris part. Un peu comme PirateBay qui focalisait son discours sur l'éthique de la culture pendant que ses fondateurs brassaient des millions qu'ils déposaient dans des paradis fiscaux… C'est d'autant plus énigmatique qu'Anonymous a ciblé des sites marchands, de banques, de commerce avec des données bancaires soudainement et de manière brutale (sur 2 ou 3 mois), alors qu'auparavant, ils ne le faisaient pas… Bref, si ça se vérifie, on pourra dire merci aux faibles d'esprit qui vivent dans un monde de bisounours et qui auront poussé à skynet…


avatar R1x_Fr1x 29/04/2011 - 17:04

Ça calmera les ardeurs de certains pour le Cloud et renverra certainement Apple à sa copie en remerciant Sony de l'effet d'expérience

avatar warmac33 29/04/2011 - 17:06

"On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store." Un peu plus d'objectivité ne ferait pas de mal : class action aux usa, intervention de la cnil, articles partout sur l net y compris sur un site mac... ça fait déjà pas mal tintamarre. C'est de plus oublier le peu de bruit qu'avait l'affaire des comtes iTunes volés il y a plusieurs mois. Perso je pense en plus que cela peu avoir un rapport avec le procès contre Geohot. Ce que je veux dire c'est qu'aucun système n'est infaillible, et que je suis convaincu qu'il pourrait arriver la même chose à apple (qui n'est pas bcp plus brillante pour ce qui est de la gestion de crise). Ce qui m'inquiète, c'est que sur le PSN je n'ai pas mes coordonnées bancaires donc je m'en tape, en revanche sur mon compte iTunes je n'ai pas eu le choix...

avatar Kalif 29/04/2011 - 17:08

@Vicktorrr Je préfère de loin me faire pister. (je résume en terme suffisamment claire, avec un petit côté dramatique, pour que tu comprennes bien...) Que me faire usurper mes identifiants, adresses, et données bancaires! Entre le fait qu'une entreprise comme Apple connaisse mes déplacements, ou que des hackeurs puisse faire des achats avec ma carte bancaire... Le choix est vite fait.. Qu'ils vident mon compte bien sur!

avatar loujulio 29/04/2011 - 17:08

@ Vicktorrr, il n'empêche, c'est totalement vrai... Si Apple avait commis une telle erreur, on en entendrait parler partout. Ce serait de la mauvaise foi de ne pas le reconnaître. Et deuxièmement, oui, ce vol de données sur le PSN est bien plus inquiétant que "l'affaire" des localisations d'iPhone. On parle quand même de données bancaires là. Bref, étant abonné au PSN, j'avoue flipper un brin. Mais on ne va pas crier avant d'avoir mal...

avatar florian1003 29/04/2011 - 17:12

@ Viktorrr et warmac33 Tout le monde s'acharne sur Apple. Alors, vous aussi, soyez objectifs messieurs, rendez vous compte d'un tel scénario chez Apple. Le monde entier aurait abattu ses foudres sur Apple. Cet article a raison, tout simplement. Merci

avatar HAL-9000 29/04/2011 - 17:13

"Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone" C'est bon, j'ai arrété de lire ici. Objectif atteint Arnauld.

avatar lucke59 29/04/2011 - 17:14

Faut arrêter les deux problèmes sont distinct et ça ne sert à rien d'enterrer le pistage avec l'affaire Sony. Les deux sont graves mais n'ont rien à voir. Macgé agit comme des gamins sur le coup "Regardez maitresse untel il a fait pire que moi"

avatar niicoo76 29/04/2011 - 17:14

Heureusement pour moi j'avais effacer mes données bancaires, mais pour le reste, mot de passe, adresse ... je trouve ça très embêtant.

avatar Alino06 29/04/2011 - 17:16

@warmac33 Ce qui m'inquiète, c'est que sur le PSN je n'ai pas mes coordonnées bancaires donc je m'en tape, en revanche sur mon compte iTunes je n'ai pas eu le choix... Bien sur que vous avez eu le choix, personne ne vous a obligé à ouvrir un compte sur iTunes.

avatar lucke59 29/04/2011 - 17:18

@ Alino06 : Si c'est obligatoire pour un iPhone. Et je trouve ça complètement débile si on veut se contenter des apps gratuites

avatar Alino06 29/04/2011 - 17:19

Et c'est obligatoire d'avoir un iPhone ? vous voulez bénéficier un service, Apple demande pour cela une carte bancaire, vous êtes pas content des règles du jeu, vous changez de crémerie.

avatar warmac33 29/04/2011 - 17:21

@ Alino06 ça frise la mauvaise fois ce détournement de mes propos... Donc je la refais : "pour ouvrir un compte psn, j'ai donner les infos que j'ai bien voulues donner (adresse incomplète, pas de nom de famille, pas de numéro de CB) et d'ailleurs rien n'oblige à s'inscrire sur le psn pour jouer à la PS3 ; pour ouvrir un compte iTunes et utiliser l'iphone que je venais de m'acheter (sinon téléphone non activé), j'ai été forcé de donner des coordonnées bancaires valides". Plus clair comme ça?

avatar lucke59 29/04/2011 - 17:22

@ Alino06 : D'où le heureusement que c'est Sony qui s'est fait attaqué et pas Apple. Parce que chez Sony ce n'est pas obligatoire, si Apple est attaqué les conséquences seront bien plus graves.

avatar Alino06 29/04/2011 - 17:24

@warmac, rien n'oblige à acheter un iPhone, là règle est donné d'emblée, on l'accepte, sinon on a d'autres marques qui ne pratique pas cette politique vers qui ont peu se tourner D'ailleurs Sony en fait parti (rire dans la salle)

avatar moebius256 29/04/2011 - 17:24

@Lucke59 : Mauvaise foi, vous n'êtes pas censé savoir qu'il est possible d'ouvrir un compte sans carte, ou avec des cartes iTunes.

avatar pepes003 29/04/2011 - 17:25

En espérant que les autorités seront diligentés (à l'insu de Sony) afin de vérifier que tous les protocoles de sécurités élémentaires ont bien été pris par Sony. Et dans le cas contraires, que Sony s'en tire avec une putain d'amende qui foutera le groupe dans le rouge pendant 10 ans au moins. :@ :@ :@ Ça leur va bien de jouer les cowboys en attaquant en justice 2 ou 3 hackers qui planchent sur la restauration d'une feature vendu par Sony (othersOS) puis retiré sans réclamations possibles pour les consommateurs et faire par la même occasion, des saisis chez ces suspects. J’espère bien que des experts en sécurité (mandatés par les Etats) iront faire un tour dans leur DATA center afin de vérifier que Sony respecte bien la loi quant à la sécurisation des données informatiques.

avatar meer 29/04/2011 - 17:27

A mon avis, c'est juste un avertissement, suite au proces qu'il voulait faire a Geohot. Les Hacker auront toujours une longueur d'avance. Donc mieux vaut pas les embeter. Ceci dit, je ne cautionne pas forcement toutes les formes de haking. ;)

avatar Alino06 29/04/2011 - 17:27

D'ailleurs oui Moebius a raison, la CB n'est pas obligatoire pour ouvrir un compte iTunes http://support.apple.com/kb/HT2534?viewlocale=fr_FR

avatar TequilaPhone 29/04/2011 - 17:27

C'est ce genre de [b]catastrophe industrielle[/b] qu'il faut pour Facebook.

avatar lucke59 29/04/2011 - 17:28

@ moebius256 : J'ignorai que l'on pouvait ouvrir un compte sans carte, en tout cas ce n'est pas du tout mis en avant

avatar Ast2001 29/04/2011 - 17:29

Ben moi, j'avais mes coordonnées et mon numéro de CB sur le PSN. Cela m'arrive d'acheter des jeux en ligne. Retrospectivement, j'ai été très con. Ceci dit, mon n° de CB est aussi chez amazon.com ou fnac.com par exemple... Il manque juste à chaque fois le code de sécurité que je dois retaper. Je n'ai strictement aucune info de Sony (à part le message reçu) sur la marche à suivre réellement. A part suivre tous les jours mes relevés CB pour voir si aucun débit suspect est apparu. C'est la fête. Merci Sony.

avatar warmac33 29/04/2011 - 17:30

"là règle est donné d'emblée, on l'accepte" Ben justement, pour mon premier iphone (edge), lorsque je l'ai acheté je n'avais pas de compte itunes, et à aucun moment je n'ai été informé de cette obligation jusqu'à ce que je sois devant mon ordi... D'ailleurs vue la clientèle actuelle des iphone, je serais curieux de savoir combien savent qu'ils devront donner leurs coordonnées bancaires au moment où ils choisissent leur téléphone?

Pages