Comme vous avez pu vous en rendre compte ces 7 derniers jours, on a entendu et lu beaucoup de choses de part et d'autre concernant le piratage du PlayStation Network, le vol présumé de données utilisateur, et les coûts encourus par Sony.
S'il est certain que la situation paraît grave pour Sony, nous avons voulu en savoir plus sur les causes, les dimensions et les conséquences de cet incident, et avons donc eu l'opportunité de questionner Guillaume Lovet par téléphone.
Guillaume Lovet est responsable du Centre EMEA des Réponses aux Menaces pour la firme Fortinet depuis 2004, spécialiste de la sécurité des réseaux, côtée au NASDAQ. Ses travaux de recherche ont été présentés à de nombreuses conférences internationales comprenant les conférences AVAR 2005, EICAR 2006, VB 2006, VB2007, HackCon2008 et VB 2009.
Nous lui avons posé plusieurs questions : quelle est l'étendue réelle du hack ? Est-ce qu'il faut s'inquiéter en tant qu'utilisateur ? Y a-t-il eu négligence de la part de Sony ? Le coût de cette affaire peut-il vraiment s'élever à 24 milliards de dollars ? D'autres réseaux pourraient-ils être concernés ? Autant de question et d'autres que nous lui avons posées et auxquelles il répond avec précision dans cette interview, que nous vous livrons intégralement sous forme audio ci-dessous.
Nous vous proposerons une transcription complète de l'entretien dès que possible pour les amateurs de lecture, mais en attendant, voici quelques premiers éléments. Ainsi, Guillaume Lovet explique :
Franchement, dans cette histoire, le dindon de la farce, c'est plus Sony que les utilisateurs. Les conséquences seront plus terribles pour Sony que pour les utilisateurs. (...) Le vol de leurs coordonnées bancaires, ensuite, ça fait peur, mais on sait que de toutes façons Sony, dans ses bases de données ne conservait pas le code de sécurité. C'est pas impossible [d'acheter des choses sur Internet sans], mais il y a énormément de sites qui le demandent, quand même.
Néanmoins, il convient bien entendu de rester prudent, surtout vis à vis d'escroqueries d'un genre connu, mais qui pourrait gagner en crédibilité à cause des données personnelles recueillies :
Le risque concerne plutôt le piratage des données personnelles. Parce que si un cybercriminel a une base de données avec dedans votre nom, votre date de naissance, etc. il peut faire assez facilement un petit programme, un script ou un automate qui va vous envoyer un mail personnalisé, qui va peut-être vous amener vers un site de Phishing. Donc faire attention aux escroqueries qu'on pourrait recevoir par mail dans les prochains mois.
Il y a aussi de nombreuses questions sur les motivations des hackers, et leur identité. Si le groupe Anonymous, qui avait déjà appelé au soulèvement à l'issue de l'affaire GeoHot, a communiqué officiellement qu'il n'était pas responsable, à ce sujet encore Guillaume Lovet temporise :
Alors là je vous arrête tout de suite. Anonymous est un collectif qui n'a pas de structure de commandement. C'est un modèle plat. Il n'y a pas de chef, pas de sous-chef, pas de structure pyramidale, rien. Donc qui, au nom d'Anonymous, peut démentir une action ? Pour être sûr que ce n'est pas Anonymous qui l'a fait, il faudrait tous les interviewer un par un.
Si les motivations de ce genre d'action sont aujourd'hui essentiellement financières, le cas présent reste assez particulier, puisque Sony serait perçu, dans des communautés internet et de hacking, comme un démon corporatiste qui motiverait à lui seul ce type d'action, surtout à l'issue de ces derniers mois.
Evidemment ça a une valeur monétaire impressionnante d'entrer dans une base de données. Mais au final, c'est vraiment Sony qui est touché, plus que ses utilisateurs et plus que la monétisation qui peut être faite des informations qui ont pu être volées dans les bases de données. (...) Comme ce qui leur est reproché à Sony, c'est leur côté agressif et judiciaire, puisqu'ils font des procès à tout va, à GeoHot etc., ils font fermer de sociétés qui font de l'émulation, etc. On a l'impression que c'est un peu le boomerang qui leur revient dans la figure. (...) Après mon opinion importe peu, c'est une simple observation ethnographique, telle quelle. Je parle de ce qui est ressenti sur le web, notamment si on traîne sur 4chan, sur les endroits où traînent les Anonymous, c'est ce qui est ressenti.
Quand aux dommages estimés à 24 milliards, une somme qui paraît affolante :
Je pense que ça, ça inclut les dommages en termes d'image. Qui à mon avis vont être colossaux. (...) Pour ces entreprises là, le risque numéro un, ce sont des dommages au niveau de l'image. Perte d'image. Et en numéro deux seulement, arrêt de l'outil de production. C'est dire à quel point c'est important pour les sociétés.
Enfin, en ce qui concerne la question d'un retour "à la normale" du service, déjà hors ligne depuis plus d'une semaine, Guillaume Lovet ne "croit pas que ça peut être très long" et "qu'en toute logique ça devrait venir dans les jours qui viennent".