au sommaire
Depuis le 20 avril, le service en ligne de la PlayStation, qui sert jouer en ligne ou à télécharger des contenus payants, est indisponible, ainsi que le streaming de musique et de vidéo sur Qriocity. D'abord évasive sur le sujet, la société Sony Computer Entertainement (SCE) a évoqué une « intrusion », qui a imposé la fermeture du service PlayStation Network (PSN).
Ce remède de cheval avait de quoi surprendre, d'autant que Sony restait avare de détails, laissant circuler la rumeur d'une attaque du réseau de pirates Anonymous. Ce groupe se serait vengé de l'entreprise japonaise parce qu'elle a porté plainte contre George Hotz, célèbre hacker qui a notamment fait sauter les verrousverrous de la PlayStation 3. Mais Anonymous a nié être à l'origine d'une attaque quelconque.
Sony affirmait alors modifier l'infrastructure de son réseau pour la sécuriser, ce qui laissait déjà penser que le problème était bien plus grave qu'une attaque par déni de service (excès de requêtes volontairement envoyées durant une période très courte). Hier soir, Sony a presque tout avoué et vient de mettre en ligne une FAQ sur cette affaire. Entre le 17 et le 19 avril, « des données personnelles de comptes utilisateurs de PSN et de Qriocity » ont été « compromises » suite à une « intrusion illégale et non autorisée ».
Brrrrrrrr…
Le pirate, explique Sony, a récupéré des informations personnelles des utilisateurs de ces services : « nom, adresse (ville, état, code postal), pays, adresse email, date de naissance, logins et mots de passemots de passe du PlayStation Network et des services Qriocity, et PSN ID ». Quand on sait que ces services comptent dans le monde 77 millions d'utilisateurs, on imagine l'intéressante base de donnéesbase de données que s'est constitué ce mystérieux visiteur du 18 avril.
Il y a mieux. Le communiqué, qui s'adresse à chaque utilisateur, précise « qu'il est possible » qu'aient été récupérés également « l'historique de vos achats et des adresses de facturation [...] ainsi que la question de sécurité de votre mot de passe ». La question du pillage de numéros de cartes bancaires est posée. « Bien qu'il n'y ait aucune preuve que des données de cartes bancaires aient été volées, nous ne pouvons écarter cette possibilité » admet le communiqué original en anglais, qui met en garde l'utilisateur ayant confié les données de sa carte bancaire.
Et de préciser que, dans ce cas, il faudra refuser de répondre à tout courriel où seraient mentionnées ces données personnelles. Le pirate du 18 avril a en effet de quoi s'offrir une opération phishingphishing qui pourrait être juteuse. Sony conseille d'ailleurs aux personnes qui auraient enregistré leurs coordonnées bancaires sur PSN ou Qriocity de surveiller leur compte en banque.
L'urgence est bien sûr pour chaque utilisateur de modifier ces données... ce qui est impossible puisque le service est indisponible. Sony conseille « fortement » de le faire dès que le service sera réouvert.