Sony lance sa communication de crise

Arnaud de la Grandière |
Suite à la fuite de données privées du PlayStation Network et de Qriocity, et de leur coupure durant maintenant onze jours, Sony déclenche enfin sa communication de crise, et a présenté son plan pour la sécurité de ses services en ligne.

Les cadres dirigeants du fabricant nippon ont tenu une conférence de presse ce dimanche, en pleines vacances au Japon, formulant pour la première fois des excuses depuis le début de ce véritable fiasco, en s'inclinant sept secondes durant. Une vidéo de la conférence est disponible en ligne, traduite en anglais.

Sony%20Shows%20That%20Saying%20%22I%27m%20Sorry%22%20Isn%27t%20Enough%20In%20Japan


Sony a indiqué que sur les 77 millions de comptes utilisateurs concernés, 10 millions incluent un numéro de carte bancaire, qui a pu être subtilisé durant l'opération d'infiltration. Le risque n'est toujours pour l'heure que potentiel, Sony n'étant pas encore en mesure de confirmer si oui ou non ils ont bel et bien été récupérés. À ce jour il n'a été détecté aucune activité suspecte sur ces numéros de cartes, qui font l'objet d'une surveillance rapprochée par les organismes bancaires.

Si les 10 millions de détenteurs de ces cartes procèdent à un remplacement, l'opération pourrait coûter aux banques entre 30 et 50 millions de dollars, que Sony envisage de leur rembourser.

Bien qu'Anonymous, le groupe d'hacktivistes sans dirigeant, ait démenti être responsable de cette attaque, Sony l'a malgré tout cité nommément dans sa conférence. Il faut savoir qu'Anonymous avait déjà lancé une opération à l'encontre de Sony, cette fois revendiquée, en représailles du procès intenté à George Hotz pour le jailbreak de la PlayStation 3. Sony n'accuse pas pour autant Anonymous d'être derrière cette opération, mais promet de rendre publiques les informations qu'elle pourra mettre au clair, en collaboration avec les autorités, quant à l'origine de cette attaque.

Sony s'est également expliquée sur sa communication tardive : elle indique avoir coupé le service pour empêcher tout dommage supplémentaire, et engagé trois sociétés pour analyser le réseau. L'envergure de l'analyse, la nature graduelle de l'enquête, et le temps nécessaire à la préparation du PSN pour inspection ont été responsables de cette communication tardive.

Elle a indiqué également que son data center, situé à San Diego, serait déménagé vers un endroit qui sera tenu secret, et doté d'une sécurité renforcée pour éviter d'autres attaques. Elle vient de créer un nouveau poste pour superviser la sécurité. Si les mots de passe n'étaient pas stockés sur le serveur, leur empreinte numérique l'était, et il y a fort à parier que l'algorithme de hachage cryptographique utilisé était MD5, ce qui expliquerait qu'ils aient pu être compromis (le MD5 n'est plus considéré comme suffisamment sûr depuis 2004, lire PSN : Sony fait 77 millions de victimes).

Sony promet que le PSN serait remis graduellement en ligne à partir de cette semaine. Une mise à jour du logiciel interne de la PS3 obligera les utilisateurs à changer leur mot de passe, et ne permettra ce changement qu'à partir de la PS3 associée au compte, ou par email vérifié. Sony enjoint également ses utilisateurs à changer les identifiants et mots de passe d'autres services en ligne s'ils sont identiques à ceux qu'ils utilisaient pour le PSN et Qriocity, et souligne qu'en aucune circonstance elle ne contactera ses utilisateurs pour leur demander leur numéro de carte bancaire ou toute autre donnée permettant de les identifier: toute tentative de cet ordre doit être considérée comme un hameçonnage. Le géant japonais mettra à disposition de ses utilisateurs, pour chaque pays, toutes les informations et contacts permettant la surveillance et la protection de leur compte en banque.

À titre compensatoire, Sony offrira des contenus gratuits à tous ses utilisateurs région par région, et un mois d'accès gratuit au service payant PlayStation Plus, de même qu'un mois d'accès au service Music Unlimited pour les abonnés de Qriocity.

Après le FBI, la FTC, et les attorney généraux de 22 États américains (sans oublier les organismes régulateurs du respect de la vie privée au Canada, en Australie et en Grande Bretagne), c'est désormais le département de la sécurité intérieure des États-Unis qui se penche sur l'événement.

Un sondage paru ce week-end, portant sur 2132 internautes américains, révèle que 21 % des détenteurs de PlayStation 3 envisagent de revendre leur console et de passer sur Xbox 360.
avatar oomu | 
@nonoche [02/05/2011 18:03] les hash se cassent. Ils sont là que pour les administrateurs ne voient pas les mots de passe en clair, mais ils ne protègent pas l'intégrité du système. MD5 est utilisé _partout_ PARTOUT ! pourtant, il n'est plus fiable depuis 2004 comme dit plus haut (il y a des technique mathématique pour accélérer le calcul inverse et éliminer la plupart des combinaisons possibles) - je n'ai pas noté, mais dire que sony aurait utilisé md5 je l'ai lu ailleurs. je ne sais pas d'où sort cette idée. Je pense que c'est le premier algorithme qui vient à l'esprit quand on parle de "empreinte" (ou hash).
avatar oomu | 
- les cartes bleues des comptes PSN n'ont pas été volées @rom54 [02/05/2011 16:02] "Les états devraient protéger les citoyens face a ces risques en empechant les societes privees de collecter un ensemble d'informations non necessaires et surtout de maniere non securisé, mais voila les etats preferent mettre en place des lois imbéciles et antidemocratiques comme hadopi et realisent les projets issus d'ACTA. " les Etats le font déjà. Il y a une tonne , une MEGATONNE , une GIGA TONNE DE LOI FRANCAISE ET EUROPEENNES ! et ouf, on les applique pas parce que voyez vous, on a pas l'argent pour se ruiner en flics derrière tout informaticien. ho et la CNIL n'a qu'une dizaine d'employés, mais c'est pas grave, hein. donc oui les Etats ont déjà tout le gratin législatif nécessaire mais nous ne voulons pas payer les policiers et administratifs nécessaires pour tout traiter (on appelle cela des.. "fonctionnaires", hiiiiiiiii ). "Reste au citoyen a refuser de donner ses coordonnées bancaires aux sociétés commerciales, de meme que ses coordonnées civiles. Sur l'iTuneStore on peut tout a fait utiliser des cartes prepayées et ne pas lier son compte iTunes a son compte bancaire. De meme on peut acheter sur internet en utilisant un compte Paypal non lié a son compte bancaire. " imaginez si Paypal se faisait pirater. Paypal a vos coordonnées bancaires, c'est même une banque doublé d'un organisme de paiement.
avatar oomu | 
@ispeed [03/05/2011 05:28] vous, quand vous voyez 2 petits vieux parler sur un banc, vous vous imaginez qu'ils prennent tout ultra-sérieusement, que c'est vie ou mort, etc ? ici c'est pareil, ce n'est qu'un forum qui parle d'un événement. Y a pas eu mort d'homme en effet, j'ai vérifié.
avatar Arnaud de la Grandière | 
@ Oomu : précisément, MD5 est utilisé partout, mais sur des données moins sensibles en général. De toute évidence, les protections de Sony n'étaient pas inviolables… D'autres bases sont bien plus juteuses (Google, Amazon, et Apple en tête), qui restent à ce jour inviolées. Leurs choix technologiques ont probablement quelque chose à voir avec ça.
avatar oomu | 
@nonoche [03/05/2011 11:49] peut être ou peut être pas. Il se peut que ce soit tout simplement la première fois qu'une attaque sophistiquée fut tentée sur un grand groupe commerciale. - A propos de google et microsoft, je dois rappeler qu'il y a quelques mois Microsoft et Google furent hackés par ce qui fut décrit comme une des plus sophistiqués attaques provenant de quelque part en chine. C'est l'une des motivations qui a poussé Google a réduire ses affaires en chine : Pour vous remettre en mémoire http://www.wired.com/epicenter/2010/06/google-gives-microsoft-the-boot-after-china-hacking-incident-report/ Plus récemment, plusieurs organismes de certificat SSL ont été hackés, le plus dommageable c'est qu'il a été possible de génerer des certificats avec des identités de sites connus mais pour des adresses fantaisistes (cela permet de faire croire au navigateur que vous êtes bel et bien facebook par exemple et que celui affiche à l'utilisateur que tout va bien) Cette attaque très grave qui a frappé comodo (et Verisign aussi) est ce qui pousse à abandonner les simples certificats SSL (pour http://en.wikipedia.org/wiki/Extended_Validation_Certificate ) bref ce qui est arrivé à sony fut grave mais arrêtez de croire que Google est l'indestructible petit formulaire de recherche google.com . de même pour les autres entreprises.
avatar Arnaud de la Grandière | 
@ Oomu : si l'attaque était si sophistiquée que nul n'aurait pu y résister, les hackers ont été bien bêtes de griller leur cartouche sur les 77 millions de comptes PSN/Qriocity quand ils pouvaient s'offrir iTunes sur un plateau…
avatar TheYomansland | 
Mais dans les faits, si je vais à la banque et demande un changement de ma carte bancaire en prévention, c'est sony qui paye? Je vois pas comment Sony pourraient prendre à leur compte la dépense, parce que à moins que le mal ne soit fait et que les hackers ne s'en prennent à nos comptes, les banques ne réagiront pas d'elles mêmes...Je pense qu'un procès groupé risque de leur faire bien plus mal qu'un contenu gratuit et un mois de playstation plus, ça peut avoir des conséquences énormes leurs conneries!

Pages

CONNEXION UTILISATEUR