Si le piratage du PSN pose d'importants problèmes à Sony (le service génère 500 millions de dollars de chiffre d'affaires annuel) et ébranlera forcément la confiance que les joueurs pouvaient mettre dans le service PlayStation Network, il n'y a peut être pas lieu de succomber à la panique. Oui, les données personnelles des 77 millions de comptes utilisateurs sont compromises. C'est un fait. Oui, les pirates ont semble-t-il pu accéder à votre nom, adresse, cordonnées bancaires... pour autant, concernant ce dernier point, que possèdent-ils vraiment ? Si l'on en croit la communication officielle française de Sony, voici la liste exacte des éléments auxquels les pirates auraient eu accès :
- nom
- adresse (ville, pays, code postal)
- adresse email
- date de naissance
- mot de passe
- identifiant PlayStation Network/Qriocity
- historiques de vos achats
Concernant directement vos cartes de crédit, voici les données potentiellement compromises :
- les 4 derniers chiffres de votre carte
- sa date d'expiration
- l'adresse de facturation
La situation est préoccupante, c'est une certitude. Pour autant, il faut noter qu'avec ces éléments seuls et sans le code de sécurité (qui semble avoir été préservé), il est impossible de se servir de votre carte de crédit. Soulignons tout de même que tout cela reste flou. Sony avait annoncé l'envoi de mails aux utilisateurs. A ce jour, nous n'avons toujours rien reçu (et vous ?).
Des violons pas très accordés
Plus inquiétant encore : la traduction française du communiqué officiel de Sony. En effet, dans la version anglaise, il n'est pas fait mention des "4 derniers chiffres de votre carte de crédit"... mais bien du "numéro de carte de crédit (à l'exception du code de sécurité". Alors tous les chiffres, ou seulement 4 ? Important de tempérer quand même puisque à l'heure où nous écrivons ces lignes le constructeur souligne que "aucune preuve n'indique que les coordonnées bancaires aient été volées"... même s'il ne "peut pas écarter cette possibilité". Par ailleurs, pour ceux qui l'ignoreraient encore, la majorité des banques et organismes de cartes bancaires couvrent ce genre de fraudes et remboursent les frais engagés frauduleusement suite à des vols de coordonnées bancaires. [MàJ] Sony a confirmé aujourd'hui 28 avril que les données bancaires étaient cryptées.
Inutile d'y aller par quatre chemins, la communication de Sony semble réellement cafouiller et il devient urgent que le constructeur reprenne les choses en main. Fermement. En Angleterre, une enquête pourrait d'ailleurs être engagée par l'ICO (Information Commissioner's Office) pour voir si Sony n'a pas commis de faute lourde dans le respect et la protection des données privées de ses utilisateurs.
Amazon avait aussi été victime la semaine dernière d'une attaque, tout s'accélère. Interrogé par Le Monde Informatique, Xavier Garcia, directeur commercial de Clearswift (société de protection de données) déclare :
Depuis un peu plus d'un an, nous assistons au développement d'attaques ciblées qui sont capables de contourner les protections des antivirus, comme l'a montré l'attaque sur le ministère des Finances en France. Il existe un standard PCI pour contrôler les risques sur ces données sensibles, l'outsourcing de ces flux par une société qui n'est pas une banque peut être problématique.
Pour conclure, cette affaire pourrait laisser des traces indélébiles sur les finances de Sony. Si l'on en croit Ponemon Institute, un spécialiste de la sécurité informatique, le préjudice subi pourrait atteindre 24 milliards de dollars (318 dollars par dossier de compte à traiter) ! Pour les joueurs, comme pour Sony, il est grand temps que tout ceci s'arrête. Vite.
[MàJ 2] Nous avons interviewé Guillaume Lovet, spécialiste en cybercriminalité, pour lui poser bon nombre des questions liées à tout cet épisode. Ses réponses sont très instructives et disponibles ici.
Pour en savoir plus, n'hésitez pas à lire :