Suite au piratage dont a été victime Sony avec le PSN et ses serveurs Sony Online, nous avons voulu en savoir plus sur les causes, les dimensions et les conséquences de cet incident, et avons donc eu l'opportunité de questionner Guillaume Lovet par téléphone.
Comme promis, après l'avoir d'abord publiée en audio, voici la transcription complète de cet entretien regorgeant d'informations et de précisions sur ce qui s'est passé et les conséquences.
Transcription : jacksontheo_003
Sommaire
Gameblog : Pouvez-vous vous présenter et expliquer votre rôle et vos compétences dans le domaine de la sécurité des données sur internet ?
Moi je dirige une équipe de recherche en sécurité informatique pour la société Fortinet. Donc on fait de l'antivirus, de l'anti-attaque, on fait de la sécurité sur mobile.
Depuis maintenant plus d'une semaine, le PSN a été attaqué par visiblement un ou des hackers. C'est un phénomène qui est rare, de cette ampleur en tout cas ?
Ce n'est pas le premier piratage de cette ampleur-là, puisqu'en 2009 on avait déjà eu le piratage du système de paiement Heartland. Ça concernait quand même plus de 110 millions de numéros de cartes de crédit. La différence là, c'est que dans le cas de Sony on est à 77 millions donc c'est peu moins, cependant ça inclut le nom, le prénom, la date de naissance etc., donc c'est quand même plus de données dans chaque entrée qui a été piratée en fait. Effectivement si on considère toutes les données qui ont été volées, c'est probablement le piratage de plus grande ampleur.
On parle du plus grand vol de données de l'histoire, c'est pas un petit peu too much ? C'est la réalité ?
Non, si on regarde les chiffres et si on considère ce que je viens de dire, c'est probablement la vérité.
Est-ce qu'il y a lieu de vraiment s'inquiéter au niveau des utilisateurs puisqu'on a vu que la communication de Sony a été assez lente au début et puis plus les choses se précisaient plus on a pris conscience de l'ampleur de la crise et donc comme vous le disiez du vol des noms, des adresses et visiblement une partie des coordonnées bancaires. Mais alors est-ce que c'est suffisant pour vraiment mettre en danger les consommateurs ?
Franchement dans cette histoire le dindon de la farce c'est plus Sony que les utilisateurs. Les conséquences vont être plus terribles pour Sony que pour les utilisateurs. Pour les utilisateurs ce qui est embêtant c'est que le PSN est hors service depuis plus d'une semaine, ça c'est quand même embêtant. Ensuite le vol des coordonnées bancaires...
Ça, ça fait peur quand même !
Ça fait peur mais on sait que Sony, dans ses bases de donnés, ne conservait pas le code de sécurité, c'est-à-dire les 3 petits chiffres qui sont derrières votre carte bleue qu'on vous demande en général quand vous faites des paiements sur internet.
D'accord et sans ce fameux code de sécurité il est impossible globalement d'acheter des choses sur internet ?
C'est pas impossible mais il y a énormément de sites qui le demandent quand même. Ensuite on sait que Sony vient de révéler que sa base de données de cartes de crédit étaient elle encryptées contrairement à la base de données qui contenait les noms et adresses etc. des utilisateurs. Alors maintenant ils n'ont pas précisé le type d'encryption, donc on ne sait pas si les pirates vont être en mesure de la décrypter et en combien de temps. Ensuite pour les utilisateurs ce qu'il faut simplement faire c'est surveiller ses relevés bancaires et faire bien attention à ce qu'il n'y ait pas d'opérations suspectes à signaler à sa banque et normalement si on signale tout de suite on est remboursé si c'est une fraude.
C'est pour ça qu'il n'y a pas finalement d'état de panique à avoir quand on est joueur et qu'on a mis ses coordonnées bancaires sur le service du PSN puisque justement VISA s'est voulu rassurant à ce niveau-là, il y aura des remboursements s'il y a des retraits frauduleux qui sont effectués.
Oui, voilà, il faut juste faire attention. En fait le risque c'est plutôt pour le piratage des données personnelles. Parce que si un cybercriminel a une base de données avec dedans votre nom, votre date de naissance, etc. il peut faire assez facilement un petit programme, un script ou un automate qui va automatiquement vous envoyer un mail personnalisé, qui va peut-être vous amener vers un site de Phishing. Donc faire attention aux escroqueries qu'on pourrait recevoir par mail dans les prochains mois.
Guillaume Lovet
Guillaume Lovet est responsable du Centre EMEA des Réponses aux Menaces pour la firme Fortinet depuis 2004, spécialiste de la sécurité des réseaux, côtée au NASDAQ. Ses travaux de recherche ont été présentés à de nombreuses conférences internationales comprenant les conférences AVAR 2005, EICAR 2006, VB 2006, VB2007, HackCon2008 et VB 2009.