Cela n’aura pas échappé à bon nombre de joueurs, le service PlayStation Network de Sony est hors-ligne depuis environ deux semaines, la faute à un piratage peu banal. Autant dire que pour un service en ligne c’est une sacrée épine dans le pied. Revenons un peu sur les faits et sur leurs conséquences à court et à long terme.
Blackout
Comment peut-on expliquer la coupure d’un service utilisé quotidiennement par des millions de personnes et un silence radio d’une semaine laissant les utilisateurs dans le flou total. C’est simple, par une attaque historique !
Ainsi, le PlayStation Network de Sony a été victime aux alentours du 18 avril d’une attaque hors du commun. Même si la firme ne rentre pas dans les détails, c’est la base de données des utilisateurs du service qui a été ciblée. En clair, c’est l’ensemble des données personnelles et bancaires de 77 millions utilisateurs, stockées par le service, qui a été compromis. Dans les faits et selon les sources, ce serait entre 700 000 et 2 200 000 entrées qui auraient été effectivement touchées. Là où le bât blesse, c’est que selon les premiers retours, seules les informations bancaires partiellement présentes dans la base de données étaient cryptées, une erreur grossière. Adresses, dates de naissance et autres coordonnées ont donc pu être dérobées et peuvent être exploitées très facilement.
Forcément, lorsque l’on est la société victime d’une telle attaque, il est probablement sage de prendre un peu de temps avant d’alerter la foule en délire. Du temps pour informer en priorité les partenaires commerciaux (principalement les banques) et les actionnaires majoritaires, du temps pour formuler les choses correctement afin de les rendre intelligibles au grand public, mais aussi du temps pour évaluer correctement la situation avant de remettre le service en route. Car oui, retracer le déroulement d’une attaque informatique de grande envergure peu s’avérer compliqué, parfois bien plus que la mise en place d’une solution corrigeant le problème.
A ce niveau là, on ne parle évidemment pas d’un pirate du dimanche ou de piratage de consoles, mais bien d’une intrusion critique au sein du système d’information de Sony. Et pour une société comme Sony, les données personnelles et bancaires des clients sont aussi difficiles à obtenir que facile à monétiser. Selon la quantité de données effectivement amassées, la valeur du butin peut donc devenir rapidement gargantuesque.
Cela-dit, pour le moment, personne n’a été clairement identifié comme étant à l’origine de cette attaque. Impossible de dire si c’est là l’œuvre d’une ou plusieurs personnes, et encore moins si Anonymous est mêlé à cette affaire, comme beaucoup le laissent entendre. Pour les non-initiés et pour faire simple, Anonymous est un groupe de défenseurs anonymes du web, à la structure assez anarchique et qui a une dent contre Sony. Cette structure n’ayant ni porte-parole ni chef, impossible de s’assurer de la véracité d’un quelconque démenti.
Conséquences
Vu l’ampleur du problème, il y aura forcément des conséquences plus ou moins graves. A court terme, cette affaire fera essentiellement du mal à l’image de Sony et à son action. On peut aussi imaginer qu’une ou plusieurs Class Action vont voir le jour aux Etats-Unis. Mais la société jouit d’un bon capital sympathie et devrait finalement s’en remettre assez rapidement.
Selon moi, les conséquences réelles se situent davantage sur le long terme et pourraient être beaucoup plus graves. En effet, si un acteur majeur du numérique tel que Sony n’est pas capable de sécuriser efficacement les données de ces utilisateurs, qui le peut ?
Et des acteurs ayant d’énormes informations personnelles et bancaires à notre sujet, il y en a beaucoup : Apple, Amazon, Microsoft, eBay et j’en passe. Le fait est que, même pour de si grosses sociétés, il est impossible d’assurer à 100% la non-vulnérabilité d’un système, et que le grand public en est globalement assez peu conscient. Le risque 0 n’existe pas et n’existera probablement jamais ! On assiste donc là à un paradoxe entre des entreprises qui dépensent et veulent gagner beaucoup d’argent grâce au dématérialisé, et le grand public qui pourrait commencer à réaliser les conséquences réelles d’un tel changement dans le stockage des informations. Pour le coup, même la CNIL semble maintenant s’intéresser, un peu tardivement, à la façon dont Sony gère ses données utilisateurs.
Car pour les entreprises, le passage au tout numérique est quelque chose qui a beaucoup à leur apporter. Réduction des coûts, obtention de données clients, contrôle d’une grande partie ou de la totalité de l’environnement utilisateur, diminution des intermédiaires sont autant d’avantages les attirant sur ce terrain. Mais ces avantages ne valent plus rien si l’on ne peut pas assurer à l’utilisateur une disponibilité de service et une sécurité des données à toute épreuve. Hors si les industries et le grand public ne font plus confiance aux tiers à qui ils confient leurs données, les pertes pourraient être considérables.
Pour le coup, je ne peux d’ailleurs qu’encourager les jeunes qui souhaiteraient s’orienter vers la sécurité informatique, qui sera selon moi l’un des grands défis des années à venir… et croyez-moi que les entreprises vont s’arracher ces profils.
Même si au final il est impossible d’évaluer avec certitude le coût d’une telle attaque, le fait est que si ce genre d’accident se reproduit trop souvent, la confiance des clients et des utilisateurs va vite disparaître et l’économie numérique en pâtira très rapidement. Aux entreprises d’être suffisamment maniaques, malignes et pointilleuses pour empêcher cela.
Petit cadeau pour un amateur de sécurité
http://lulzsecurity.com/releases/
(hashtag #sownage sur Twitter, si tu veux suivre la suite de cette release !)
Seb
Ah oué quand même O_O Ils les enchainent là Sony…
Les pirates ne cesseront jamais de m’épater =)