Entre le 17 et le 19 avril, les services Playstation Network et Qriocity ont été piratés. « L’affaire Sony » a fait beaucoup de bruit car près de 100 millions de comptes d’utilisateurs ont été piratés et autant de donnés personnelles potentiellement subtilisées et lâchées dans la nature.
Cette attaque est pour l’instant la pire crise que Sony a connue depuis sa naissance, et pour cause, plusieurs de ses services ont été attaqués et la firme a mis en péril les données personnelles, y compris bancaires, de tous ses utilisateurs. De quoi perdre la confiance de beaucoup de clients…
Retour sur l’affaire
Entre le 17 et le 19 avril, Sony a subi une puissante attaque et s’est fait voler des millions de données d’utilisateurs. Le service en ligne de Sony : PlayStation Network, Qriocity et Sony Online Entertainment, ont ainsi été visés par une attaque DDOS de grande ampleur dans un premier temps, puis, par une violente attaque de hack qui a poussé la firme à fermer tous ses serveurs utilisés pour le PSN et Qriocity sur le champs, dans un second temps. Les serveurs et le réseau ont donc été totalement refondus.
Dans un courrier adressé à la Chambre des représentants, Kazuo Hirai, numéro 2 de Sony, répond ainsi à une demande d’explication des autorités américaines : « Il y a presque deux semaines, un ou plusieurs cybercriminels ont eu accès aux serveurs du Playstation Network au même moment, ou à peu près au même moment, où ces serveurs subissaient des attaques par déni de service ».
Sony a donc mis en garde ses clients que, « dans le cadre d’une intrusion non autorisée et illégale », leur nom, adresse, adresse e-mail, date d’anniversaire et mot de passe associé à leur compte avaient été exposé sur le réseau du groupe. Sony précise que les numéros de carte bancaire et la date d’expiration peuvent aussi avoir été subtilisés. Sans preuve formelle que ces éléments aient été dérobés, Sony indique que c’est une possibilité à ne pas exclure et que les serveurs ont été consultés entre le 17 et le 19 avril.
Sony accuse les Anonymous
Le groupe d’hacktisvistes qui avait peu de temps auparavant appelé à une campagne d’attaque DDOS contre Sony suite aux actions en justice engagées contre les pirates responsables du hack de la Playstation 3, est alors directement dans la ligne de mire de Sony. Mais le groupe de militants avait mis fin à ces actions pour ne pas pénaliser les utilisateurs.
Sony considère pourtant bel est bien que les Anonymous ont aidé ce piratage, volontairement ou non. Et pour cause, un fichier a été laissé sur les serveurs PSN par l’auteur de l’attaque. Contenant la devise du groupe « We are Legion », le document permet à son auteur de signer son méfait. Ou de faire accuser quelqu’un d’autre. Effectivement, les Anonymous ont pour habitude de signer leurs actions en expliquant leurs motivations dans une lettre ou une vidéo, qu’ils laissent sur les serveurs visés. Mais ils ont aussi l’habitude de prévenir leurs victimes avant de les attaquer, et voler des données d’utilisateurs n’est pas dans leurs principes. Ils agissent de manière non lucrative, dans le but d’éradiquer la censure du Web, pas de voler les utilisateurs.
Anonymous n’a alors pas tardé à se défendre de ces accusations. En effet, ils font beaucoup parler d’eux ces temps-ci et sont logiquement désignés comme coupables numéro un. Mais le groupe ne l’entend pas de cette oreille et s’empresse de démentir ces accusations et de nier toute implication dans l’affaire.
Dans un communiqué, Anonymous déclare n’avoir aucun lien avec le piratage des données bancaires des millions de joueurs sur les serveurs de Sony. En effet, l’opération est contraire aux valeurs que défend le groupe : « Anonymous ne s’est jamais fait connaître par le vol de cartes de crédit. […] Le ‘modus operandi’ d’un crime change rarement. Quiconque a réalisé le vol de cartes de crédit l’a fait en contradiction avec le ‘modus operandi’ et les intentions d’Anonymous. […] Le soutien du public ne s’obtient pas en volant des cartes de crédit et des identités personnelles. […] Si une enquête légitime et honnête est menée sur les cartes de crédit, Anonymous ne sera pas déclaré coupable. Même si nous sommes un groupe distribué et décentralisé, notre leadership ne cautionne pas le vol de cartes de crédit. Nous sommes inquiets de l’érosion de la vie privée et du faire use. » Les Anonymous les plus engagés sont en effet soucieux de gagner le respect des internautes, et ils l’ont prouvé en cessant de bombarder les serveurs de Sony lorsque cela avaient empêché les joueurs de se connecter. Et il est peu probable que toutes leurs précédentes actions ne servent en réalité qu’à couvrir des méfaits comme celui-ci. Si c’était le cas, pourquoi prendraient-ils le risque de se dénoncer et ternir leur image de Robins des Bois du Web ?
En revanche, il n’est pas exclu que cette attaque soit l’œuvre d’un membre, ou ancien membre, isolé des Anonymous. L’organisation plutôt paradoxale des Anonymous est en effet risquée. Les Anonymous sont tout le monde et personne à la fois, une marque sans propriétaire, que tout le monde peut exploiter librement. L’organisation parait cohérente car son noyau dur en fait une utilisation conforme au code éthique originel (à savoir la défense de la liberté d’expression et le partage des connaissances), et les moutons noirs sont isolés afin de ne pas pervertir l’intégrité de la communauté.
Et c’est finalement ce qu’il s’est passé. Le groupe a annoncé début mai avoir été compromis de l’intérieur par l’un de ses anciens administrateurs. Les Anonymous, qui se défendaient quelques jours avant d’avoir quoi que ce soit à voir avec cette affaire, annonçant au passage que « personne actuellement associé à notre mouvement ne pourrait faire une telle chose qui invite à une réponse juridique aussi massive », a finalement découvert un traitre dans ses rangs et annonce :
« Nous avons le regret de vous informer que notre réseau a été compromis par l’un de nos anciens membres, du nom de Ryan. Il a décrété qu’il n’aimait pas la structure de gestion sans chef qu’emploient les administrateurs du réseau. Il a donc organisé un coup d’Etat. »
Pendant plusieurs jours, les sites AnonOps.net et AnonOps.ru renvoyèrent sur les informations récoltées et publiées par « Ryan ». On pouvait y lire, entre autres, des extraits de conversations privées entre les membres du réseau.
Dans le même temps, Sony propose des primes aux personnes « permettant de participer à l’arrestation et la comparution en justice des hackers ».
Les risques
Les 100 millions de données personnelles dérobées seront très probablement revendues sur le black market. Elles seront ensuite utilisées, dans le meilleur des cas, pour envoyer des spams aux victimes, des tentatives de phishing, des publicités non sollicitées…
Dans le pire des cas, elles peuvent servir à vider votre compte en banque… C’est pourquoi, même s’il n’est pas certain que les données bancaires aient été prélevées, Sony se doit de conseiller tout de même à ses clients de prendre les mesures de précaution nécessaire à la situation. Faire opposition à votre carte bleue reste la meilleure mesure préventive à adopter.
Début mai, Sony a annoncé avoir retiré les données privées de 2 500 personnes d’un site Internet sur lequel elles avaient été publiées. Il s’agissait d’informations issues d’une base de données datant de 2001, dérobées lors de l’attaque sur les serveurs de la firme japonaise.
De son côté, Sony a terminé son année fiscale sur de lourdes pertes. Le séisme au Japon et les charges exceptionnelles liées aux impôts auraient causé environ 260 milliards de yens (2,3 milliards d’euros) de perte, alors que la firme escomptait un bénéfice de 70 milliards de yen. Il y a un an, le déficit net de l’entreprise s’élevait à 40,8 milliards de yens. En ce qui concerne le piratage de ses données, Sony s’attend à un impact de 14 milliards de yens, soit 150 millions d’euros, sur son profit d’exploitation pour l’exercice en cours.
La maladresse de Sony
Doit-on blâmer Sony d’avoir laissé un pirate s’introduire dans ses serveurs ? Il semblerait que oui. Lors de l’audience tenue par la chambre des députés américaine, le Dr Gene Spafford, un cyber expert, a affirmé que le géant avait été averti à plusieurs reprises de la vétusté de son système de sécurité mais n’en avait pas tenu compte. Sony avait également été prévenu de la possibilité d’une attaque de cette envergure.
Un autre expert a affirmé avoir vu sur des forums de hackers, des informations concernant un fichier de 2,2 millions de numéros de cartes bancaires que les pirates auraient tenté de revendre à Sony. Sony a démenti les faits. Il n’est pas certains que les faits soient liés, mais de nombreux internautes on affirmés avoir été victimes de transactions frauduleuses.
Les directives internationales relayées par Visa et Mastercard interdisent d’archiver codes de vérification à 3 chiffres des cartes bancaires. Mais Sony a très bien pu les conserver par erreur, ou simplement ne pas respecter les recommandations à ce sujet il y à six ans, lors de la création du PSN.
Mais certains pirates sont aussi capables d’obtenir ces codes à l’aide d’une taupe dans des organismes bancaires. Cela placerait l’affaire à l’échelle du crime organisé.
En parallèle, on peut aussi reprocher à Sony sa façon déplorable de communiquer sur l’affaire auprès de ses clients. La firme a attendu 5 jours avant de s’adresser à eux afin de leur expliquer la situation ! Après avoir désactivé le service et engagé une société spécialisée dans la sécurité pour mener l’enquête, Sony a annoncé avoir « rapidement pris des mesures pour renforcer la sécurité » de son SI, sans donner davantage de détails… Sony a mis cinq jours pour annoncer cela aux utilisateurs, depuis l’apparition des premiers messages d’erreur sur son service en ligne.
Il semblerait que le groupe ait attendu d’avoir dévoilé ses nouvelles tablettes avant d’annoncer le piratage. Une stratégie des plus douteuses.
La plateforme Sony est hors-service depuis le 19 avril. Le porte-parole de Sony, Patrick Seybold, a d’abord écrit dans un communiqué : « Je sais que vous voulez tous savoir quand les services seront restaurés. Pour le moment, je ne peux pas vous donner de date exacte, et il faudra probablement quelques jours encore ». Sony a annoncé un délai d’une semaine pour remettre en marche son réseau et permettre à ses clients de jouer en ligne. Or, 4 semaines plus tard, rien n’est réparé. Mais surtout, dans une telle situation, ses clients s’inquiètent probablement davantage de la sécurité de leurs données avant de s’inquiéter de savoir quand ils pourront rejouer en ligne… Pas sûr qu’ils soient tous au rendez-vous lorsque la plateforme rouvrira ses portes.
Ensuite, le rétablissement des services a été repoussé à une date indéterminée. Alors pour se faire pardonner, la firme a évoqué le cas des mesures compensatoires prévues pour les clients européens. Après avoir annoncé avoir souscrit à une police d’assurance d’un million de dollars pour couvrir les clients américains en cas d’usurpation d’identité, Sony a annoncé tenter de mettre en place le même système en Europe. On nous annonce aussi le programme « Welcome Back » pour tous les utilisateurs du PSN qui comprendra des jeux à télécharger gratuitement ainsi qu’un abonnement gratuit d’un mois à PlayStation®Plus. Des jeux gratuits, voilà de quoi rassurer les clients les plus inquiets…
Sony a bien promis de mener une sérieuse enquête, d’améliorer sa sécurité rapidement et de renforcer ses infrastructures réseaux, la firme reste très évasive sur les risques que ses clients courent et préfère leur promettre un prompt retour à la normal sur ses serveurs. En effet, Sony donne l’impression de penser que ses clients s’inquiètent davantage de la durée d’interruption des serveurs Playstation Network et Qriocity que de leurs données confidentielles.
Un retour à la normale ?
Depuis le 20 avril, les services PSN et Qriocity ne sont plus disponibles dans tous les pays. Le problème de sécurité étant global, Sony préfère ne pas le commenter mais assure travailler à la restauration et au maintien de ses services, en incluant, heureusement, des mesures contre de futures intrusions.
La date de retour à la normale a donc été repoussée au 31 mai, soit plus d’un mois pendant lequel les services sont restés inaccessibles et où les clients n’ont pas eu de détails sur leurs informations perdues. Sony a décidé de transférer tout le matériel dans un nouvel endroit plus sécurisé et demande donc encore un peu de patience, avançant la nécessité de vérifications et de tests supplémentaires pour éviter toute nouvelle attaque.
La première phase de restauration des services pour l’Amérique du Nord et l’Europe comportera les éléments suivants :
- Connexion aux services du PlayStation Network et de Qriocity, avec réinitialisation des mots de passe.
- Rétablissement du jeu en ligne sur PlayStation 3 et PSP.
- Lecture du contenu vidéo locatif de la Boutique Vidéo du PlayStation Store sur PS3, PSP et Media Go.
- Q Music Unlimited, pour les abonnés actuels, sur PS3 et PC.
- Accès aux services tiers tels que VidZone et MUBO.
- Catégorie Amis sur PS3.
- PlayStation Home.
Évidemment les mesures de sécurité seront renforcées.
Sony devra aussi pendant cette période, publier rapidement les contenus qui devaient sortir durant la panne. Les développeurs sont inquiets car il n’est pas dit que la boutique en ligne de Sony conserve le même attrait pour les joueurs, qui seront surement nombreux à hésiter à redonner leurs coordonnées bancaires. Les développeurs ont aussi peurs que les clients téléchargent en priorité les jeux gratuits que Sony leur mettra à disposition, et pour les jeux sortis juste avant la panne, ils seront déjà devenus vieux… Les jeux sensés sortir pendant la panne vont se bousculer et se partager les joueurs, ils seront noyés dans la masse, avec les nouvelles sorties.
On estime à près de 5 millions de comptes touchés en France, mais il semble que peu de comptes en banque devraient être débités frauduleusement car la firme ne stockait vraisemblablement pas le code de sécurité des cartes bancaires. L’opération pourrait coûter près de 24 milliards de dollars à Sony.