Sony a expliqué sur son blog que son service en ligne PlayStation Network était en maintenance. Cette fermeture a comme origine une intrusion comme l'indique les réponses du constructeur japonais dans la FAQ sur le site officiel de la Playstation « Nous avons découvert  qu'entre le 17 et le 19 avril 2011, une intrusion illégale et non autorisée à eu lieu dans notre réseau. » En clair un ou des pirates ont réussi à s'introduire sur le site en ligne et ont eu accès aux informations personnelles de près de 77 millions d'abonnés.

Toujours dans le même souci de transparence, Sony précise « nous pensons qu'une personne non autorisée à eu accès aux: nom, adresse (ville, pays, code postal), adresse email, date de naissance, mot de passe et login PlayStation Network/Qriocity, et l'ID. Il est aussi possible que vos informations de profils soient touchées, incluant l'historique de vos achats, les quatre derniers chiffres de votre carte de crédit, sa date d'expiration et l'adresse de facturation. Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est possible que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d'expiration soient concernés. »

Face à ces risques de fraudes ou d'usurpation d'identité et même si Sony affirme ne pas avoir eu écho pour l'instant d'une mauvaise utilisation des données volées, le constructeur a décidé de fermer le site depuis le 20 avril dernier et a diligenté une enquête via une société spécialisée dans le domaine de la sécurité pour connaître la faille utilisée par les pirates. Bien que le japonais affirme « avoir pris des mesures pour renforcer l'infrastructure de son réseau en reconstruisant  son système pour fournir une meilleure protection des données personnelles », les services PSN et Qriocity resteront fermés jusqu'à la résolution de l'enquête et la sécurisation des infrastructures.

La sécurité des services en ligne en question

Après le plantage du cloud d'Amazon la semaine dernière, cette affaire du piratage des services en ligne de Sony pose la question de la sécurité et la fiabilité de la dématérialisation des échanges. Pour Xavier Garcia, directeur commercial de Clearswift « depuis un peu plus d'un an, nous assistons au développement d'attaques ciblées qui sont capables de contourner les protections des antivirus, comme l'a montré l'attaque sur le ministère des Finances en France. » Le dirigeant pointe également du doigt les faiblesses de recourir à des sociétés  tiers pour s'occuper du stockage des données bancaires « il existe un standard PCI pour contrôler les risques sur ces données sensibles, l'outsourcing de ces flux par une société qui n'est pas une banque peut-être problématique ». Pour éviter ces fuites de données, il n'est pas nécessaire de renforcer la protection a posteriori « la plupart des signatures d'attaques ne sont pas repérées par l'antivirus », il faut se focaliser sur les flux sortant et contrôler que les paquets qui sortent ne contiennent pas des données sensibles » conclut Xavier Garcia.

Crédit photo D.R.