Sony lance sa communication de crise

Arnaud de la Grandière |
Suite à la fuite de données privées du PlayStation Network et de Qriocity, et de leur coupure durant maintenant onze jours, Sony déclenche enfin sa communication de crise, et a présenté son plan pour la sécurité de ses services en ligne.

Les cadres dirigeants du fabricant nippon ont tenu une conférence de presse ce dimanche, en pleines vacances au Japon, formulant pour la première fois des excuses depuis le début de ce véritable fiasco, en s'inclinant sept secondes durant. Une vidéo de la conférence est disponible en ligne, traduite en anglais.

Sony%20Shows%20That%20Saying%20%22I%27m%20Sorry%22%20Isn%27t%20Enough%20In%20Japan


Sony a indiqué que sur les 77 millions de comptes utilisateurs concernés, 10 millions incluent un numéro de carte bancaire, qui a pu être subtilisé durant l'opération d'infiltration. Le risque n'est toujours pour l'heure que potentiel, Sony n'étant pas encore en mesure de confirmer si oui ou non ils ont bel et bien été récupérés. À ce jour il n'a été détecté aucune activité suspecte sur ces numéros de cartes, qui font l'objet d'une surveillance rapprochée par les organismes bancaires.

Si les 10 millions de détenteurs de ces cartes procèdent à un remplacement, l'opération pourrait coûter aux banques entre 30 et 50 millions de dollars, que Sony envisage de leur rembourser.

Bien qu'Anonymous, le groupe d'hacktivistes sans dirigeant, ait démenti être responsable de cette attaque, Sony l'a malgré tout cité nommément dans sa conférence. Il faut savoir qu'Anonymous avait déjà lancé une opération à l'encontre de Sony, cette fois revendiquée, en représailles du procès intenté à George Hotz pour le jailbreak de la PlayStation 3. Sony n'accuse pas pour autant Anonymous d'être derrière cette opération, mais promet de rendre publiques les informations qu'elle pourra mettre au clair, en collaboration avec les autorités, quant à l'origine de cette attaque.

Sony s'est également expliquée sur sa communication tardive : elle indique avoir coupé le service pour empêcher tout dommage supplémentaire, et engagé trois sociétés pour analyser le réseau. L'envergure de l'analyse, la nature graduelle de l'enquête, et le temps nécessaire à la préparation du PSN pour inspection ont été responsables de cette communication tardive.

Elle a indiqué également que son data center, situé à San Diego, serait déménagé vers un endroit qui sera tenu secret, et doté d'une sécurité renforcée pour éviter d'autres attaques. Elle vient de créer un nouveau poste pour superviser la sécurité. Si les mots de passe n'étaient pas stockés sur le serveur, leur empreinte numérique l'était, et il y a fort à parier que l'algorithme de hachage cryptographique utilisé était MD5, ce qui expliquerait qu'ils aient pu être compromis (le MD5 n'est plus considéré comme suffisamment sûr depuis 2004, lire PSN : Sony fait 77 millions de victimes).

Sony promet que le PSN serait remis graduellement en ligne à partir de cette semaine. Une mise à jour du logiciel interne de la PS3 obligera les utilisateurs à changer leur mot de passe, et ne permettra ce changement qu'à partir de la PS3 associée au compte, ou par email vérifié. Sony enjoint également ses utilisateurs à changer les identifiants et mots de passe d'autres services en ligne s'ils sont identiques à ceux qu'ils utilisaient pour le PSN et Qriocity, et souligne qu'en aucune circonstance elle ne contactera ses utilisateurs pour leur demander leur numéro de carte bancaire ou toute autre donnée permettant de les identifier: toute tentative de cet ordre doit être considérée comme un hameçonnage. Le géant japonais mettra à disposition de ses utilisateurs, pour chaque pays, toutes les informations et contacts permettant la surveillance et la protection de leur compte en banque.

À titre compensatoire, Sony offrira des contenus gratuits à tous ses utilisateurs région par région, et un mois d'accès gratuit au service payant PlayStation Plus, de même qu'un mois d'accès au service Music Unlimited pour les abonnés de Qriocity.

Après le FBI, la FTC, et les attorney généraux de 22 États américains (sans oublier les organismes régulateurs du respect de la vie privée au Canada, en Australie et en Grande Bretagne), c'est désormais le département de la sécurité intérieure des États-Unis qui se penche sur l'événement.

Un sondage paru ce week-end, portant sur 2132 internautes américains, révèle que 21 % des détenteurs de PlayStation 3 envisagent de revendre leur console et de passer sur Xbox 360.

avatar warnaud | 
Mort de rire pour les compensations... Salut on s'est fait hacker ces services mais vous pouvez les utiliser gratis pendant... 1 mois trop cool! Quand à l'excuse dans la com ça coute rien de prévenir.
avatar EBLIS | 
Migrer sur xbox? Aucun service n'est à l'abris je pense.
avatar Hasgarn | 
[quote=la rédac']Un sondage paru ce week-end, portant sur 2132 internautes américains, révèle que 21 % des détenteurs de PlayStation 3 envisagent de revendre leur console et de passer sur Xbox 360.[/quote] Ça se comprend, mais ne pas communiquer a conduit à ce résultat. Ceci dit, c'est bien une réaction extrême. Je n'achèterai pas de X-Box parce que Sony a merdé. On a assez pesté sur Windows pour se coller une X-boite dans les jambes. Rien qu'à l'ergonomie du menu, je ne peux pas avoir cette console. Et en plus, il n'y a ni WipeOut ni Motorstorm sur X-Boite. Ça n'en reste pas moins une très bonne console avec une très bonne ludothèque, mais pas à mon goût. Allez Sony, maintenant que la chute est arrivé, on se remet en selle et on fait du bon travail, hein ?
avatar D_dream | 
C'est creux un américain quand même... Acheter une xbox360 a la place de la play je vois pas ce que ça va changer maintenant...
avatar iQuest | 
Ouf.... procès massif à l'horizon..... [surtout pour la compagnie hébergeant les données, et celle ayant conçu le tout ]
avatar manu1707 | 
Nan mais sérieux les hackers ! quelle bande de pauvres types, tout ça parce que Sony est contre le jailbreak, ça me bouffe, quand je vois la communauté geek qui applaudit ce genre de pratique au nom de la liberté sur des plateformes propriétaires, ça me rend fou de rage ! Pendant qu'ils y sont, ils ont qu'à soutenir le possible vol de compte bancaire ! Affligeant J'espère que le FBI va mettre un terme à l'existence de tels groupes ! @ d_dream : c'est clair, en même temps un américain c'est pas tellement malin
avatar Anonyme (non vérifié) | 
Ceci dit, la communication n'a pas commencé ce dimanche. Des mails ont été envoyés aux utilisateurs la semaine dernière et il y avait eu quelques annonces avant... Pour information aussi: "[i]MAJ 34 - 01/05 - 07:10 : le résumé de la conférence de Kaz Hirai sur P3L. [MAJ 35 - 02/05 - 11:00] : Sony a maintenant la certitude que les pirates n'ont pas le code à trois chiffres, situé au des CB, en leur possession. Une nouvelle rassurante, qui met du plomb dans l'aile à la rumeur concernant la vente d'une liste de 2,2 millions de données personnelles du PSN, censée inclure ce détail.[/i]" source: play3-live.com
avatar quentin54 | 
@d_dream: Curieux? Je trouve pas… C'est une réaction assez "normale" en fait. Quand un voisin se fait cambrioler on aura tendance à se montrer plus vigilent… Il faut attendre qu'il y ai un accident grave pour mettre en place des mesures de sécurité etc.
avatar Perc3val | 
Ben, voila sa arrive même au meilleurs... De la à passer sur xbouse et payer en plus de son abonnement internet un abonnement pour utiliser son internet...
avatar grogeek | 
@manu1707 en même temps, il y avait effectivement un sacré trou de sécurité. Le FBI ??? MDR ! Le FBI n'a aucune pression sur la Russie et la chine par exemple. Et la majorité des attaques viennent de ces pays. La Suisse qui pistait un réseau pédophile (et qui l'a en partie démonté) il y a qques années se sont vu stoppé aux portes de la Russie. Ils n'ont pas pu aller plus loin...
avatar TequilaPhone | 
@manu1707 Conclusion plutôt hâtive non ? Vu qu'on en sait rien !!
avatar nooty | 
Passer sur Xbox… si ça se trouve, le hacking a été produit par Microsoft…
avatar gutiero | 
[quote]Un sondage paru ce week-end, portant sur 2132 internautes américains, révèle que 21 % des détenteurs de PlayStation 3 envisagent de revendre leur console et de passer sur Xbox 360.[/quote] Envisagent... Ils se croient invincibles avec Microsoft??
avatar Anonyme (non vérifié) | 
Bah surtout c'est maintenant qu'il faut rester chez Sony, vu qu'ils ont tout remis à plat ^^. Changer après le problème, c'est un peu stupide.
avatar Benlop | 
@ nooty : Euh, les théories du complot à deux francs...
avatar RickDeckard | 
Passer chez MS, c'est sanctionner Sony pour leur politique à la con, je ne pense pas que quiconque pense réellement être plus secure chez MS. http://iphoneaddict.fr/post/news-13120-jailbreak-windows-phone-7-prochainement-par-geohot C'est pas chez Apple, ni Sony qu'on verrait ça.
avatar Amonchakai | 
" y a fort à parier que l'algorithme de hachage cryptographique utilisé était MD5, ce qui expliquerait qu'ils aient pu être compromis (le MD5 n'est plus considéré comme suffisamment sûr depuis 2004" Mais c'est quoi c'est supposition dans un article... Vous en savez rien, dites pas de la merde. L'article precedent m'avait fait bondir tellement il etait engagé et ne reflettai pas les autres articles de la presse... Plein de supposition, et ensuite on tire la conclusion sur la base de supposition a coup de gras :/ Genre le coup des 77 milliards de $ vous etes les seuls a les avoir sorti comme ca :S J'ai vu votre commentaire sur le MD5, du coup meme pas envie de vous lire la... [edit] je suis pas un utilisateur du PSN. J'ai un iPhone qui tacke ma pos et j'en ai rien a faire. Mais c'est pas la question... Si vous faites de l'information, donnez juste l'info sur des choses que vous savez merde! Sourtout quand vous finissez par les insulter a les traiter de gens qui font des erreurs de debutant. Ne les jugez pas sur vos supposition foireuse. Ca m'agace moi, ce "journalisme"
avatar RickDeckard | 
@Amonchakai Effectivement, la faille de 2004, c'était la vulnérabilité de collision, ça n'a rien à voir avec ce que sous-entend l'article (hack de mot de passe). La vulnérabilité permet simplement le hash spoof. Vont pas aller bien loin avec ça. Après, y'a l'attaque par dico, mais c'est pas très efficace (avec un salt) et ça ne concerne pas seulement le md5. Et les anonymous auraient sûrement revendiqué, ils sont trop vantard pour ça. Ils ont attaqués Visa et Mastercard récemment pour venger Wikileaks (juste un DDOS, rien de comparable avec l'attaque du PSN), c'est pas Sony qui doit leur faire peur.
avatar rom54 | 
@manu1707 L'attaque semble etre l'oeuvre de cybercriminels et pas de hackers, et certainement encore moins des Anonymous. Les americains ne sont pas plus stupides que les autres. Les joueurs laissant tomber Sony pour X-Box sont pas intelligents c'est sur mais au moins ils font payer Sony pour son irresponsabilité. Chaque annee, chiffres du FBI a l'appui, les attaques des systemes informatiques des sociétés commerciales par des cybercriminels sont en augmentation. Rien n'y fait et surtout pas les soit disant systemes antivirus installés systématiquement sur les PC. Chaque annee ce sont les données commerciales, economiques de l'entreprise, les donnees des clients,... qui sont volés ou corrompues. Peu de sociétés communiquent publiquement sur ces affaires, mais un nombre toujours plus conséquent sont victimes de chantage et de racket. Même les banques sont victimes d'espionnage, de détournement et de vol d'informations. Et les fonds détournés servent a financer surtout le terrorisme international et le crime organisé! Mais les sociétés commerciales ont toujours envies de faire plus de benef et, a leur yeux, collecter toujours plus d'infos sur leurs clients permettrait ca. Moralité quand leurs systemes informatiques mal securisés se font infiltrer, c'est des fichiers d'infos personnelles qui auraient fait rever la Stasi qui tombent entre les mains des cybercriminels. Les états devraient protéger les citoyens face a ces risques en empechant les societes privees de collecter un ensemble d'informations non necessaires et surtout de maniere non securisé, mais voila les etats preferent mettre en place des lois imbéciles et antidemocratiques comme hadopi et realisent les projets issus d'ACTA. Dans le cas de Sony, il va falloir effectivement lancer une class action, histoire de savoir si c'est Sony qui hébergeait réellement ses données ou si le stockage etait sous-traité et qu'elles etaient les informations stokées exactement et a quelle fin. Dans les 2 cas Sony n'a pas d'excuse pour son irresponsabilité. Reste au citoyen a refuser de donner ses coordonnées bancaires aux sociétés commerciales, de meme que ses coordonnées civiles. Sur l'iTuneStore on peut tout a fait utiliser des cartes prepayées et ne pas lier son compte iTunes a son compte bancaire. De meme on peut acheter sur internet en utilisant un compte Paypal non lié a son compte bancaire. On peut aussi acheter en utilisant une e-cartebleue virtuelle aupres de certaines banques. Et dans certains pays, autres que la France, les banques font mieux leur boulot en protégeant leurs clients par des double-systemes d'identification (internet et radio)... A l'heure actuelle toute information donnée a une societe commerciale est susceptible de tomber entre les mains d'un cybercriminel, et ca va pas s'arranger avec les sociétés "cloud" et les "reseaux sociaux" comme Facebook...
avatar Amonchakai | 
Mais qui parle de MD5 si ce n'est macg? Qu'on me donne des reference, et je me la ferme (et je suis pret a prendre sur moi...). Sinon oui, on peut casser bcp d'algo. C'est le boulot des cryptanalyste de faire ca. [edit] et dsl pour l'orthographe, il y a des choses qui me piquent les yeux dans mon post... Mais bon, j'etais un peu echauffé :-)
avatar Florian Innocente | 
[b]Amonchakai[/b] : tu as parfaitement le droit de critiquer, et tu peux même aller jusqu'à le faire avec des termes posés.
avatar Amonchakai | 
Oui, désolé Mais jusqu'a preuve du contraire, il y a des gens competant derriere cela. Ne les denigrez pas sur des suppositions sans aucune preuve. Assurer la securité d'un service comme cela est une tache ardue. Ils doivent se faire attaquer tres regulierement, là a leurs grand desespoir ca a cédé.
avatar poco | 
@ manu1707 et d-dream : c'est clair, en même temps un américain c'est pas tellement malin Mes pauvres gars vous êtes affligeants de co.nn...rie en sortant des trucs comme-çà. Suffit de voir les sondages du Parisien qui donnent Marine LP en tête du 1er tour de la Présidentielle 2012 pour se dire qu'en France, non, on est tous des malins. Vous deux en tête
avatar poco | 
@ rom54 On verra ce que le fameux Cloud Computing réservera aux particuliers comme aux Sociétés qui y adèreront...
avatar Arnaud de la Grandière | 
@ amonchakai : j'ignorais qu'il était rigoureusement interdit de faire des supputations à la lumière des faits, mon avocat attend des nouvelles du vôtre. Plus sérieusement, les faits : - Sony a indiqué que seules les empreintes des mots de passes étaient stockées - 77 millions de comptes ont fuité on peut donc en conclure que le hachage utilisé était suffisamment faible pour avoir été circonvenu sur autant de comptes. MD5 semble un bon candidat (je ne dis rien de plus), étant donné que son usage est assez répandu et qu'il n'est pas fiable. Mais si vous avez d'autres candidats à nous soumettre, ça sera avec plaisir :¬)
avatar fantomx6 | 
@industrialpanda : [quote]Pour information aussi: "MAJ 34 - 01/05 - 07:10 : le résumé de la conférence de Kaz Hirai sur P3L.[/quote] Après le vol des données de CB on va être "Sans chemise, sans pantalon" et il nous propose quoi ??? Une cure de trempage de cul dans une bassine d'eau froide. Enfin c'est jaune qu'il a RI KAZ HIRAI Ok je suis déjà dehors
avatar robertodino | 
Hacker Sony va devenir un hobby pour certaines personnes. Maintenant que la machine est lancée soyez sur que Sony sera le nouveau défi de la communauté de hackers. C'est une discussion déjà entamée coté...
avatar Amonchakai | 
@nonoche: Bah je suis pas un expert en crypto, mais on peut utiliser du DES, 3DES, de l'AES... Enfin, il y en a plein (http://fr.wikipedia.org/wiki/Projet_NESSIE) Bon le 1er ca serai stupide puisqu'on sait le casser. Mais bon, il y a differentes possibilitées plus credible pour des info bancaire... Je sais pas, je crois que c'est du 3DES que les banque utilisent. Et puis il me semble que c'est les banquent qui fournissent les modules de paiement. Mais bon j'accuse pas les gens d'etre incompétant basé sur mes suppositions. [edit] Et puis pour peut qu'il aient un compte sur le serveur, avoir la version crypté et décrypté ca aide... On peut peut-etre casser du 3DES comme ca (avec l'attaque "type rencontre au milieu" comme decris dans wikipedia)
avatar Mr Deckard | 
@ manu1707 ..." c'est clair, en même temps un américain c'est pas tellement malin " Effectivement, la France est la première puissance mondiale.
avatar Arnaud de la Grandière | 
@ Amonchakai : moi non plus d'ailleurs :¬)
avatar Amonchakai | 
"Une bévue qui serait à peine digne d'un amateur" bof quoi :/ (en gras, dans votre autre article)
avatar Arnaud de la Grandière | 
@ Amonchakai : 1) usage du conditionnel 2) les faits, encore une fois : 77 millions de mots de passe récupérés, ce qui suggère l'emploi d'un hachage faible. Vous le dites vous-même : "Bon le 1er ca serai stupide puisqu'on sait le casser". De fait, quelqu'un a su non seulement casser le hachage d'un mot de passe, mais mieux encore de 77 millions. Si l'empreinte était difficile à casser, reporté sur 77 millions ça nécessite des moyens assez considérables.
avatar Amonchakai | 
1/. Ok, mais je désaprouve :-) 2/. La difficultée n'est pas au nombre d'empruntes. Si on trouve la clée de dechifrage employée tout tombe. Comme ils ont perdu recemment leurs clé pour signer les cd originaux :'( C'est pas leurs année...
avatar Arnaud de la Grandière | 
@ Amonchakai : Vous désapprouvez? Mince, alors… Rassurez-vous, je pense que ce papier de MacG est actuellement le cadet de leurs soucis. Quand à la clé de déchiffrage, il ne vous échappera pas que plus elle est compliquée à calculer, plus ça devient difficile à reporter sur 77 millions d'empreintes (ça fait d'ailleurs partie des moyens de protection : rendre le calcul si long et compliqué qu'il deviendrait impossible à réaliser). Il ne vous échappera pas non plus qu'Apple, avec 20 fois plus de cartes bancaires à son actif, représente une cible autrement plus juteuse, qui pourtant résiste toujours. Si vous n'arrivez pas à envisager que quelqu'un a sacrément merdé chez Sony avec une affaire pareille, je ne vois pas ce qu'il vous faut… "la faute à pas de chance", c'est quand même un peu court, comme excuse
avatar manu1707 | 
Oh eh poco c'est de l'humour ! ^^ arrêtez de tout prendre au sérieux !!!
avatar manu1707 | 
@ fantomx6 : Mdr !!!
avatar Amonchakai | 
@nonoche: Bah oui, je désapprouve que sous prétexte d'utiliser du conditionnel on dise de la merde au sujet des gens. Et pour ce qui est de la clé, on fait bien sur pas par force brute. On analyse comment cela fonctionne. Le DES a été cassé car on a trouvé une linéarité sur une des valeurs du hachage en fonction de la donné initiale. Et dc oui, on peut retrouver la clé. le 3DES utilisé dans SSL, est 3x le DES enchaîné avec 3 clés. Et wikipedia (donc source incertaine) affirme que le 3DES peut être cassé. par une "attaque de type rencontre au milieu". Apres j'imagine que tout dépends des conditions avec laquelle on par (si on a l'info avant et pares hachage ou non). Je dis pas faute a pas de chance, je dis quand on s'acharne on y arrive. Mais je m'oppose fermement a ce que vous faites des hypothèses sans fondement (le MD5 WTF!) pour casser des gens plus compétant que vous dans le domaine. Le jour ou on aura le rapport d'expert en crypto sur ce qui c'est passé et sur ce qui a pas été fait, OK pour critiquer. Mais bon, dites toute la merde que vous voulez. Je ne vous lit plus et je sais que vous vous en foutez, vous avez suffisamment de lecteur pour vous suivre derrières vos critique basé sur vos suppositions (mais en conditionnel, dc on peut dire ce qu'on veut).
avatar Arnaud de la Grandière | 
@ Amonchakai : oui oui, j'avais bien compris que si ça ne tenait qu'à vous, vous auriez criminalisé la formulation d'hypothèses il y a longtemps, mais que voulez-vous, avec cette sale manie de la liberté d'expression… Mais dès qu'un poste se libère au comité de rédaction, promis, on pense à vous
avatar kassk8 | 
Si cela arrive à Sony, pourquoi Apple ne serait pas visée ? Apple est une cible de choix, avec plusieurs plate-forme pouvant être piratées !!
avatar Isacc25 | 
Mdr en quoi passer sur Xbox empêchera les hackers d utiliser les données bancaire deja en leur possession
avatar mick.simard.93 | 
@ Mr Deckard + 1 !
avatar Par1s1en | 
@nonoche : et nous, promis, on pense à vous dès qu'un poste se libère au comité de rédaction de minute, ou detective ou autre journal amateur d'article de fond.
avatar ispeed | 
Bah ce n'est que du papier il ya pas mort d'homme. Vos billets de banque ne vous suivra pas dans le cercueil. Tous les jours on peut se faire voler sa voiture son portable sa montre et même sa femme Donc pour moi pas grave.
avatar Arnaud de la Grandière | 
@ Par1s1en : C'est gentil mais je travaille déjà pour MacG :¬) (vous êtes le patron de Detective... et de Minute??)
avatar Rigat0n | 
@ ispeed : Bon alors toi t'es très grave.
avatar oomu | 
@manu1707 [02/05/2011 14:05] "Nan mais sérieux les hackers ! quelle bande de pauvres types, tout ça parce que Sony est contre le jailbreak, ça me bouffe, quand je vois la communauté geek qui applaudit ce genre de pratique au nom de la liberté sur des plateformes propriétaires, ça me rend fou de rage ! " vous mélangez tout. et les communautés telles "Anonymous" ont nié avoir eu fait cela. Et les hackers de la scène "mod" de la ps3 ont rejeté cette attaque. - ce qui s'est passé sur Sony n'est pas du romantisme n'est pas du geek pétri d'idéalisme n'est pas un combat politique et n'est pas une histoire de Tron c'est simplement du vol de fichier client pour nourrir les bases de spams. Ces fichiers clients seront revendus cher à des plateformes d'envoies de pub et d'escroqueries (qui servent à vous infecter l'ordinateur pour envoyer encore + de spam sur internet). ca n'a strictement rien de romantique, c'est de l'argent.

Pages

CONNEXION UTILISATEUR