PSN : Retour sur le hack

de | 16 mai 2011

Les joueurs ne sont pas sans ignorer que Sony a connu dans la nuit du 19 au 20 avril son petit cataclysme. Pour rappel, le PSN (Playstation Sony Network) a été piraté, laissant en libre accès les données personnelles de dizaine de millions de joueurs. Nous verrons dans cet article quelles ont été les erreurs de Sony et leurs conséquences.

PSN-hack


Les erreurs de sony

La première est très classique dans le domaine de l’informatique puisqu’elle concerne la mise à jour, ou plutôt la non mise à jour, des logiciels utilisés par l’application. C’est du moins l’accusation très sérieuse qu’à lancé un expert en sécurité mandaté par le congrès des états unis, dans le cadre de l’enquête sur la fuite de données.

L’expert affirme en effet que Sony utilise sur certains de ses serveurs des versions obsolètes d’Apache. Le principal problème des anciennes versions de logiciel concerne bien sur les failles de sécurité qui sont de plus rendu publique.

L’expert va plus loin, en affirmant que l’information concernant la faille du réseau était diffusée sur le net depuis 2 mois. Pourtant Sony n’a pas réagi, par manque de moyen très certainement. On peut imaginer que mettre à jour des centaines de serveurs peut demander des moyens importants. Certes. Mais le jeu en valait la chandelle apparemment.

La seconde erreur est de n’avoir pas crypté les données personnelles, mise à part les numéros de carte bleu. Autrement dit les informations telles que les mails, les numéros de téléphone, les adresses etc… étaient en clair dans les bases de données. Comme nous le verrons plus loin, les cartes bancaires sont loin d’être les seules informations importantes à protéger absolument.

La 3ème erreur est encore plus grave et concerne la communication. En effet Sony a mis 6 jours avant d’annoncer publiquement que des données personnelles avaient été volées. Les utilisateurs du psn n’ont donc pas eu l’occasion de se protéger en faisant opposition à leur carte bancaire ou encore en changeant les mot de passes de leurs autres comptes (boite mail, paypal etc…).


Les conséquences pour les utilisateurs

La premiere conséquence, le moindre mal, est bien sur l’impossibilité de jouer en réseau avec leur console de jeu. Rappelons que le jeu en réseau via la playstation 3 est gratuit, il n’y a donc pas de perte d’argent direct.

La seconde est bien sur les risques de fraude bancaire. Plusieurs millions de numéros de carte ont été volées. Les pirates ont ils pu décrypter les données (sachant que selon le niveau de complexité du cryptage, le décryptage peut être soit un jeu d’enfant, soit quasiment impossible) ?

Que vont ils faire des cartes ? Il n’est pas si facile que ça de retirer de grosses sommes d’argent sans éveiller les soupçons. Et retirer quelques dollars sur chaque carte demanderait un temps considérable. Il est probable que ces numéros de cartes soient revendus, et qu’ils soient utilisés quand l’affaire soit un peu tassée. Les rumeurs veulent que des discussions concernant la détention de ces numéros aient été apperçu sur certains forums warez. Les pirates auraient même tenté de vendre les informations à Sony, qui aurait refusé, ce qui peut se comprendre, les coup de blufs de faux pirates étant légions sur le net après ce genre d’affaire.

La troisième conséquence concerne les données personnelles. En effet, les pirates ont en leur possession les mots de passes des comptes PSN. Il s’avère qu’une grande majorité de personne utilisent le même mot de passe pour la plupart des comptes sur le web, à savoir les boites mails, les comptes paypals, amazon etc… Il est donc plus que recommandé pour les joueurs du PSN de changer les mots de passe de l’ensemble de leurs comptes.

Enfin, la dernière conséquence, et pas des moindres, est la forte probabilité que l’ensemble des données volées soient revendu à des sociétés spécialisées dans le spam. Recevoir des mails pour acheter du viagra est juste dérangeant mais finalement pas très grave. En revanche être spammé par sms est déjà plus ennuyeux. Mais finalement le plus grave reste le fishing.

Les faux mails risquent de se succéder. Il est possible de voir apparaître des mails très complets, contenant l’adresse, le numéro de téléphone de la personne. Plus un mail contient d’informations personnelles vraies, moins il éveille de soupçon quant à son authenticité. Ces mails peuvent alors vous rediriger sur un faux site vous demandant d’autres informations (par exemple un faux site de banque demandant le mot de passe).


Quelles conséquences pour Sony ?

La perte d’argent est chiffrée en milliars de dollars. Le chiffre de 24 est avancé par certains experts.

Cette perte s’explique bien sur par les couts de la remise à niveau du PSN, Sony ayant été obligé de combler les failles et d’engager une société spécialisée dans la sécurité pour l’aider dans sa tache.

Bien entendu le manque à gagner pour Sony est tout aussi énorme. L’image de marque de la société en prenant un coup. Certains joueurs ont revendu leurs PS3 au profit d’une XBOX, d’autres joueurs possédant les 2 consoles vont préférer acheter leurs prochains jeus disponible sur les 2 plateformes sur XBOX. De même tous les éditeurs de petits jeux disponibles sur le store n’ont rien pu vendre pendant ce temps, et donc Sony n’a pas pu récupérer sa marge.

De plus, Sony va être attaqué en justice, et par les organismes officiels de protection de donnée (CNIL en France et équivalent dans les autres pays), et par les associations de consommateurs (très puissantes aux USA).

Enfin, Sony va probablement faire un geste en faveur des joueurs, en leur offrant du contenu à télécharger, et du temps de jeux online sur les MMORPG (jeux multijoueurs online), à savoir 1 mois gratuit plus 1 jour par temps d’accès coupé.

Il faut noter que Sony n’est pas le seul à perdre de l’argent dans cette affaire. Les développeurs indépendants n’ont pas pu vendre de jeux durant la mise hors service du PSN. De même les utilisateurs vont se montrer beaucoup plus frileux en ce qui concerne les achats online. La perte est réelle.

Les banques de même, ont l’obligation d’après la loi de rembourser les arnaques bancaires. Avec des millions de numéros de carte se promenant dans la nature, il y a fort à parier qu’elles soient obligées de mettre la main au portefeuille elles aussi.


Conclusion

Le PSN étant de nouveau opérationnel, le cauchemar va peut être enfin se terminer pour Sony.

En voulant économiser plusieurs millions, ils ont perdu plusieurs milliard. Cependant il ne faut pas croire que Sony soit le seul grand groupe à négliger la sécurité de son réseau, loin de là.

Qui a fait le coup ? Les rumeurs fusent de toute part, et le groupe anonymous revient souvent, même si ceux ci ont démenti de manière officielle. Reste que dans un groupe sans véritable hiérarchie, chaque membre peut faire ce qu’il veut.


anonymous

anonymous

Une réflexion au sujet de « PSN : Retour sur le hack »

  1. Ping : Rétrospective de l’année 2011 : Top 10 des évènements marquants

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.