PSN : Sony fait 77 millions de victimes

Nonoche |
skitched


Parmi les catastrophes industrielles les plus redoutées des services en ligne, le vol des données personnelles figure en très bonne place. Et c'est précisément ce qui vient d'arriver à Sony : suite à une attaque de ses serveurs, l'intégralité de la base de données du PlayStation Network, mais également du service Qriocity, a été compromise. Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone (jusqu'à un épisode de South Park diffusé mercredi), ce problème autrement plus sérieux ne semble pas déchaîner les mêmes passions. On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store.

Historique des événements


Cette violation est intervenue les 17 et 19 avril. Lorsque Sony s'est aperçue du problème, elle a engagé les services d'une société externe pour mener l'enquête, et purement et simplement coupé le service le 20 avril, il n'est à ce jour toujours pas disponible. Les utilisateurs du PSN se sont vus opposés une erreur "80710A06" sans plus d'explications. Le même jour, Sony publie sur le blog PlayStation ce message sibyllin :

« Bonjour à tous.
Certaines fonctions du PlayStation Network sont actuellement indisponibles. Nous vous tiendrons informés dès que nous aurons plus d’informations.

Merci de votre compréhension. »


Les employés de la hotline de Sony reçoivent cet email le même jour :

« Bonjour,

Pour cause de maintenance d'urgence, tous les services du PlayStation® Network et de Qriocity, y compris les magasins, la gestion de compte, l'identification externe, et le service client, sont actuellement indisponibles depuis les environs de 5 heures du matin.

Nous n'avons pas encore d'estimation quant à la remise en ligne des services, mais nous vous tiendrons informés lorsqu'ils seront disponibles. »


Le lendemain, Sony ne donne toujours pas d'explication, mais semble manifestement trop optimiste quant à la résolution du problème :

« Alors que notre enquête sur les causes de l'interruption du Network suit son cours, nous souhaitons vous informer du fait que nous ne pourrions être en mesure de rétablir complètement le service que d'ici un jour ou deux. Nous vous remercions pour votre patience durant le temps nécessaire à la résolution de cette question. Veuillez revenir sur cet espace pour plus de détails, et nous vous tiendrons informés dès que possible »


À l'heure où nous écrivons ces lignes, soit huit jours après ce message, le PSN n'est toujours pas rétabli. Ça n'est que le 22 avril que Sony communiquera sur les causes de l'interruption du service, pour révéler que le PSN et Qriocity ont été victimes d'une intrusion externe, mais elle ne révélera que les données personnelles de ses utilisateurs ont été compromises que le 26 avril.

Ce qui a été volé

Sony divulgue alors la nature des données sur ses utilisateurs dont elle sait avec certitude qu'elles ont été volées : le nom, l'adresse (code postal, ville, état), le pays, l'adresse email, la date de naissance, l'identifiant et le mot de passe du compte PSN/Qriocity, et le pseudonyme PSN. Il faut souligner ici que ces données sont largement suffisantes pour usurper une identité aux États-Unis, qui sont rongés par ce problème (en 2003, les pertes causées par le vol d'identité ont été estimées à 52,6 milliards de dollars, et près de 10 millions d'Américains en ont été victimes cette même année).

Elle ajoute qu'elle ne peut garantir que d'autres données n'ont pas été volées : le profil, l'historique des achats, l'adresse de facturation, et la réponse à la question de sécurité. Si les utilisateurs ont ajouté un sous-compte au leur (conjoint, enfants), ces données sont également susceptibles d'être compromises. Enfin, et surtout, Sony indique ne pas être en mesure de pouvoir garantir que les numéros de carte bancaire de ses utilisateurs ont été préservés, bien qu'elle ajoute n'avoir trouvé aucun élément permettant de penser qu'ils aient été compromis. « Par excès de prudence, nous devons vous indiquer que votre numéro de carte bancaire (hormis son code de sécurité) et sa date d'expiration ont pu être obtenus », précise-t-elle. L'intégralité des 77 millions de comptes PSN, répartis dans 59 pays, est susceptible d'avoir été touchée.

Il faut ici souligner le caractère invraisemblable de l'affaire : Sony a manifestement fait l'impasse sur une règle élémentaire en matière de protection des données, puisque le mot de passe des comptes PSN a pu être récupéré, et par là même toutes les données qui y sont associées. Il faut savoir que l'usage et la précaution exigent qu'on ne stocke jamais le mot de passe des comptes des utilisateurs en clair (ou d'une manière qui soit déchiffrable) à quelque endroit du serveur que ce soit. En pratique, on ne stocke qu'un code correspondant au mot de passe à l'aide d'une fonction de hachage cryptographique qui donne une empreinte numérique pour ainsi dire unique pour un même lot de données. Ainsi, au lieu de vérifier la validité du mot de passe à la connexion, on vérifie que son empreinte numérique est identique à celle stockée sur le serveur. La validité du mot de passe est garantie, et il est impossible de retransformer l'empreinte en mot de passe, ou d'intercepter le mot de passe durant la transmission entre le poste client et le serveur.

Le fait même que les mots de passe aient pu être volés laisse à penser que Sony les aurait stockés, au pire en clair, au mieux avec une empreinte numérique faible de type MD5 (une fonction de hachage cryptographique répandue, mais peu fiable, puisque relativement simple à déchiffrer). Une bévue qui serait à peine digne d'un amateur sur des données aussi sensibles que celles-ci, et impensable pour le géant nippon, qui aura fort à faire pour la justifier.

Une coupure lourde de conséquences

Le premier effet sensible de cette intrusion aura donc été la coupure des services du PSN et de Qriocity. Impossible donc d'acheter des contenus, mais également d'accéder à certains services en ligne qui sont proposés contre un abonnement payant. C'est le cas de Hulu, ou de jeux en ligne massivement multijoueurs comme DC Universe Online ou Free Realms, dont les abonnés payent le service pour rien. D'autres jeux, comme Bionic Commando Rearmed 2 et le bundle Final Fight/Magic Sword ne sont même plus jouables en local, leurs DRM exigeant une connexion au PSN pour les faire fonctionner. Sony a indiqué qu'elle réfléchissait à une compensation pour ses utilisateurs lésés, Hulu a également fait savoir qu'elle offrirait une semaine gratuite d'accès pour les abonnés à son service payant Hulu Plus.

L'autre effet de la coupure concerne les développeurs eux-mêmes, puisqu'ils ne peuvent plus vendre leurs jeux sur le PSN depuis maintenant neuf jours. Le manque à gagner est donc sensible, et le sera d'autant plus à mesure que la coupure durera, et pourra faire figure de véritable catastrophe économique pour les petits studios de développement, comme en témoigne anonymement un développeur auprès du site Develop. Sony elle-même ne peut plus percevoir de commission sur la totalité des ventes, mais c'est bien le moins qu'elle puisse endurer.

Les conséquences du vol

Mais les conséquences les plus graves vont bien au-delà de la simple coupure du PSN. Les services en ligne doivent leur fonctionnement même à la seule confiance que ses utilisateurs sont prêts à leur accorder : donner son numéro de carte bancaire n'est pas un geste anodin et implique que tout sera fait pour sécuriser au maximum les données confidentielles. Il sera désormais délicat pour Sony de regagner la confiance de ses utilisateurs, et elle devrait en sentir le contrecoup pour un certain temps. Pire encore, Qriocity vient à peine d'ouvrir ses portes en Europe (lire Qriocity ouvre en France), et commence donc sa carrière sous le sceau de l'infamie. Sony avait déjà fort à faire pour concurrencer iTunes, elle n'avait résolument pas besoin de ce handicap supplémentaire, qui pourrait bien condamner tous ses espoirs.

La base de données de Sony peut faire l'objet d'une vaste campagne d’hameçonnage aux effets dévastateurs, sachant qu'il est d'autant plus difficile d'identifier une arnaque si l'email vous semble indiscutablement adressé personnellement, ce qui pourrait être relativement aisé avec la somme de détails personnels qui ont été récupérés. D'autre part, les internautes ayant souvent la mauvaise habitude d'utiliser les mêmes identifiants et mots de passe pour plusieurs comptes, l'intrusion pourrait avoir un effet de contagion tout trouvé sur d'autres services en ligne.

skitched


Mais le scénario catastrophe le plus retentissant serait que les numéros de cartes bancaires aient bel et bien été récupérés. En prenant la moyenne constatée en 2010 de 318 $ par numéro de carte bancaire subtilisé, et en partant du principe que chacun des 77 millions de comptes PSN incluait un numéro de carte bancaire, l'opération pourrait coûter la bagatelle de 24 milliards de dollars…

Devant l'ampleur potentielle de la catastrophe, les responsables politiques sont rapidement montés au créneau : le sénateur du Connecticut Richard Blumenthal a envoyé un courrier à Sony pour faire part de son trouble face au temps qu'a pris le fabricant nippon pour communiquer sur cette crise, non sans omettre de souligner le simple fait que celle-ci ait pu tout simplement se produire. Les attorneys généraux de 22 états américains ont diligenté une enquête, rejoints par le FBI. La Federal Trade Commission pourrait également s'en mêler. Les régulateurs canadiens, australiens et britanniques en charge du respect de la vie privée, enquêtent également sur l'affaire, pour déterminer si Sony a pris toutes les mesures nécessaires afin de garantir la protection des données.

Si les sociétés de cartes bancaires ont indiqué surveiller de près les transactions et n'avoir pour l'heure pas détecté de fraude, le simple renouvellement des cartes bancaires par mesure de sécurité pourrait à lui seul coûter aux banques quelques 300 millions de dollars, d'après les experts interrogés par Reuters.

Si l'on ignore encore le montant des dommages qui découleront de cette affaire, elle aura résolument un coût conséquent, si ce n'est pour les utilisateurs du PSN, au moins pour les développeurs de jeux et pour Sony. Une agence d'avocats a d'ores et déjà pris l'initiative d'intenter une procédure judiciaire avec option collective (class action) à l'encontre de Sony, l'accusant de ne pas avoir observé les pratiques habituelles pour protéger ses clients, qui pâtissent de « l'une des plus vastes fuites de données de l'histoire d'Internet. »

Cette malheureuse affaire aura tout de même eu un effet bénéfique, au moins pour ceux qui n'auront pas été touchés directement par ce problème : une saine piqûre de rappel quant à la divulgation des données personnelles à des sociétés tierces, dont la seule garantie est leur simple parole d'honneur.
avatar USB09 | 
@CBi Pourtant dans iTune store, il est écrit "compte", cela devrait être suffisant.
avatar Vicktorrr | 
"Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone" bah oui tiens, vous êtes heureux d'être pistés en plus ! Ce qu'il faut pas entendre sérieux, j'aurai bien voulu voir vos réactions si ça avait été le cas des Windows Phone 7. "On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store." Quelle victimisation à outrance :'(:'(:'(
avatar YannK | 
C'est effectivement énorme et des choses sont pas claires là-dedans, surtout au niveau de la responsabilité de Sony sur la protection des données. Mais, au-delà de cette chose, semblerait qu'une piste mafieuse ait été activée dans les scénarios les plus "paranoïaques" vu que Anonymous aurait pu être détourné ces derniers temps… Avec Wikileaks, PayPal (millions de comptes et numéros de CB), Amazon (pareil), MasterCard et Visa (fabricants de CB), une banque suisse… Ensuite le PSN avec l'affaire Sony (qui soit dit en passant, n'a pas servi les utilisateurs et attaque pour laquelle cette communauté a fait son mea culpa) en même temps que les sites. Or, sur PSN… des millions d'infos bancaires. Certains experts se demandent si les Anonymous n'ont pas été utilisés pour diversion à des fins peu scrupuleuses et si ils ne sont pas plus organisés qu'ils ne veulent le laisser croire (pour info, aucune hiérarchie proclamée… mais faut bien que quelqu'un décide de quoi et coordonne + donne les moyens, etc). Du coup, il semblerait y avoir une "piste d'arnaque morale" où des têtes pensantes mafieuses ont instrumentalisé la chose et les pauvres naïfs qui y ont pris part. Un peu comme PirateBay qui focalisait son discours sur l'éthique de la culture pendant que ses fondateurs brassaient des millions qu'ils déposaient dans des paradis fiscaux… C'est d'autant plus énigmatique qu'Anonymous a ciblé des sites marchands, de banques, de commerce avec des données bancaires soudainement et de manière brutale (sur 2 ou 3 mois), alors qu'auparavant, ils ne le faisaient pas… Bref, si ça se vérifie, on pourra dire merci aux faibles d'esprit qui vivent dans un monde de bisounours et qui auront poussé à skynet…
avatar R1x_Fr1x | 
Ça calmera les ardeurs de certains pour le Cloud et renverra certainement Apple à sa copie en remerciant Sony de l'effet d'expérience
avatar warmac33 | 
"On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store." Un peu plus d'objectivité ne ferait pas de mal : class action aux usa, intervention de la cnil, articles partout sur l net y compris sur un site mac... ça fait déjà pas mal tintamarre. C'est de plus oublier le peu de bruit qu'avait l'affaire des comtes iTunes volés il y a plusieurs mois. Perso je pense en plus que cela peu avoir un rapport avec le procès contre Geohot. Ce que je veux dire c'est qu'aucun système n'est infaillible, et que je suis convaincu qu'il pourrait arriver la même chose à apple (qui n'est pas bcp plus brillante pour ce qui est de la gestion de crise). Ce qui m'inquiète, c'est que sur le PSN je n'ai pas mes coordonnées bancaires donc je m'en tape, en revanche sur mon compte iTunes je n'ai pas eu le choix...
avatar Kalif | 
@Vicktorrr Je préfère de loin me faire pister. (je résume en terme suffisamment claire, avec un petit côté dramatique, pour que tu comprennes bien...) Que me faire usurper mes identifiants, adresses, et données bancaires! Entre le fait qu'une entreprise comme Apple connaisse mes déplacements, ou que des hackeurs puisse faire des achats avec ma carte bancaire... Le choix est vite fait.. Qu'ils vident mon compte bien sur!
avatar loujulio | 
@ Vicktorrr, il n'empêche, c'est totalement vrai... Si Apple avait commis une telle erreur, on en entendrait parler partout. Ce serait de la mauvaise foi de ne pas le reconnaître. Et deuxièmement, oui, ce vol de données sur le PSN est bien plus inquiétant que "l'affaire" des localisations d'iPhone. On parle quand même de données bancaires là. Bref, étant abonné au PSN, j'avoue flipper un brin. Mais on ne va pas crier avant d'avoir mal...
avatar florian1003 | 
@ Viktorrr et warmac33 Tout le monde s'acharne sur Apple. Alors, vous aussi, soyez objectifs messieurs, rendez vous compte d'un tel scénario chez Apple. Le monde entier aurait abattu ses foudres sur Apple. Cet article a raison, tout simplement. Merci
avatar HAL-9000 | 
"Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone" C'est bon, j'ai arrété de lire ici. Objectif atteint Arnauld.
avatar lucke59 | 
Faut arrêter les deux problèmes sont distinct et ça ne sert à rien d'enterrer le pistage avec l'affaire Sony. Les deux sont graves mais n'ont rien à voir. Macgé agit comme des gamins sur le coup "Regardez maitresse untel il a fait pire que moi"
avatar niicoo76 | 
Heureusement pour moi j'avais effacer mes données bancaires, mais pour le reste, mot de passe, adresse ... je trouve ça très embêtant.
avatar Alino06 | 
@warmac33 Ce qui m'inquiète, c'est que sur le PSN je n'ai pas mes coordonnées bancaires donc je m'en tape, en revanche sur mon compte iTunes je n'ai pas eu le choix... Bien sur que vous avez eu le choix, personne ne vous a obligé à ouvrir un compte sur iTunes.
avatar lucke59 | 
@ Alino06 : Si c'est obligatoire pour un iPhone. Et je trouve ça complètement débile si on veut se contenter des apps gratuites
avatar Alino06 | 
Et c'est obligatoire d'avoir un iPhone ? vous voulez bénéficier un service, Apple demande pour cela une carte bancaire, vous êtes pas content des règles du jeu, vous changez de crémerie.
avatar warmac33 | 
@ Alino06 ça frise la mauvaise fois ce détournement de mes propos... Donc je la refais : "pour ouvrir un compte psn, j'ai donner les infos que j'ai bien voulues donner (adresse incomplète, pas de nom de famille, pas de numéro de CB) et d'ailleurs rien n'oblige à s'inscrire sur le psn pour jouer à la PS3 ; pour ouvrir un compte iTunes et utiliser l'iphone que je venais de m'acheter (sinon téléphone non activé), j'ai été forcé de donner des coordonnées bancaires valides". Plus clair comme ça?
avatar lucke59 | 
@ Alino06 : D'où le heureusement que c'est Sony qui s'est fait attaqué et pas Apple. Parce que chez Sony ce n'est pas obligatoire, si Apple est attaqué les conséquences seront bien plus graves.
avatar Alino06 | 
@warmac, rien n'oblige à acheter un iPhone, là règle est donné d'emblée, on l'accepte, sinon on a d'autres marques qui ne pratique pas cette politique vers qui ont peu se tourner D'ailleurs Sony en fait parti (rire dans la salle)
avatar moebius256 | 
@Lucke59 : Mauvaise foi, vous n'êtes pas censé savoir qu'il est possible d'ouvrir un compte sans carte, ou avec des cartes iTunes.
avatar pepes003 | 
En espérant que les autorités seront diligentés (à l'insu de Sony) afin de vérifier que tous les protocoles de sécurités élémentaires ont bien été pris par Sony. Et dans le cas contraires, que Sony s'en tire avec une putain d'amende qui foutera le groupe dans le rouge pendant 10 ans au moins. :@ :@ :@ Ça leur va bien de jouer les cowboys en attaquant en justice 2 ou 3 hackers qui planchent sur la restauration d'une feature vendu par Sony (othersOS) puis retiré sans réclamations possibles pour les consommateurs et faire par la même occasion, des saisis chez ces suspects. J’espère bien que des experts en sécurité (mandatés par les Etats) iront faire un tour dans leur DATA center afin de vérifier que Sony respecte bien la loi quant à la sécurisation des données informatiques.
avatar meer | 
A mon avis, c'est juste un avertissement, suite au proces qu'il voulait faire a Geohot. Les Hacker auront toujours une longueur d'avance. Donc mieux vaut pas les embeter. Ceci dit, je ne cautionne pas forcement toutes les formes de haking. ;)
avatar Alino06 | 
D'ailleurs oui Moebius a raison, la CB n'est pas obligatoire pour ouvrir un compte iTunes http://support.apple.com/kb/HT2534?viewlocale=fr_FR
avatar TequilaPhone | 
C'est ce genre de [b]catastrophe industrielle[/b] qu'il faut pour Facebook.
avatar lucke59 | 
@ moebius256 : J'ignorai que l'on pouvait ouvrir un compte sans carte, en tout cas ce n'est pas du tout mis en avant
avatar Ast2001 | 
Ben moi, j'avais mes coordonnées et mon numéro de CB sur le PSN. Cela m'arrive d'acheter des jeux en ligne. Retrospectivement, j'ai été très con. Ceci dit, mon n° de CB est aussi chez amazon.com ou fnac.com par exemple... Il manque juste à chaque fois le code de sécurité que je dois retaper. Je n'ai strictement aucune info de Sony (à part le message reçu) sur la marche à suivre réellement. A part suivre tous les jours mes relevés CB pour voir si aucun débit suspect est apparu. C'est la fête. Merci Sony.
avatar warmac33 | 
"là règle est donné d'emblée, on l'accepte" Ben justement, pour mon premier iphone (edge), lorsque je l'ai acheté je n'avais pas de compte itunes, et à aucun moment je n'ai été informé de cette obligation jusqu'à ce que je sois devant mon ordi... D'ailleurs vue la clientèle actuelle des iphone, je serais curieux de savoir combien savent qu'ils devront donner leurs coordonnées bancaires au moment où ils choisissent leur téléphone?

Pages

CONNEXION UTILISATEUR