Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 191 à 200.
| < Les 10 documents précédents | Les 10 documents suivants > |
(11/05/2011 11:36:59)
Nouvelle faille, Facebook invite ses membres à changer de mot de passe
Encore une affaire relative à la protection des données personnelles. Cette fois, c'est au tour de Facebook d'avoir laissé filé les informations privées de ses membres. Selon Symantec, des annonceurs publicitaires ont eu accès, par erreur, aux données personnelles des membres du réseau social. La cause : un bug de programmation qui a affecté le site. Les détails de cette affaire, publiés hier sur le site de l'éditeur de logiciels de sécurité, indiquent que le bug aurait pu avoir affecté près de 100 000 applications Facebook depuis des années.
Symantec indique que certaines applications Facebook ont été diffusées par inadvertance auprès des annonceurs via des « tokens » - des séries de chiffres et de lettres pouvant être utilisés par un navigateur pour accéder à des comptes Facebook sur le web. Ces tokens sont comme des autorisations accordées par l'utilisateur pour accéder à des applications Facebook, a précisé le spécialiste de la sécurité dans un billet de blog. Chaque token est associé à un ensemble restreint d'autorisations, comme la lecture du mur, l'accès au profil d'un ami, les messages postés sur le mur, etc.
Des tokens dans les URL de renvoi
Les utilisateurs du réseau social ont l'habitude d'accorder ce type d'accès aux applications Facebook pour pouvoir, par exemple, écrire sur leur mur. Mais, en remettant accidentellement les tokens à d'autres, les développeurs ont donné aux annonceurs et aux sociétés d'analyse en ligne un moyen d'obtenir également ces données.
"Nous estimons qu'au fil des années, des centaines de milliers d'applications ont pu laisser fuiter ces clés d'accès à des tierces parties par inadvertance", a déclaré un responsable de Symantec. "Les tokens ont été diffusés dans les URL de renvoi que les applications Facebook ont transmises aux annonceurs publicitaires et à d'autres", a- t-il ajouté "Cette fuite n'aurait pas dû avoir lieu". Facebook a ouvert son réseau social aux développeurs en 2007 et ces derniers ont été la clé du succès phénoménal du site. Mais les experts en sécurité estiment que ses membres devraient prendre soin de n'autoriser l'accès qu'aux applications Facebook qu'ils veulent vraiment utiliser.
Symantec s'est toutefois montré rassurant, en indiquant qu'il n'était pas certain que quelqu'un ait réalisé que ce problème existait, et qu'il était donc possible que personne n'ait profité du bug pour fouiner dans les données des utilisateurs.
De son côté, Facebook a résolu l'incident, mais Symantec considère que le gros problème pour les utilisateurs, réside dans le fait que ces tokens peuvent encore être en circulation, stockés dans des fichiers log du serveur ou dans d'autres endroits sur le web. L'un de ces tokens va continuer à travailler jusqu'à ce que l'utilisateur modifie son mot de passe Facebook, a prévenu Symantec. C'est pourquoi l'éditeur recommande aux utilisateurs concernés de modifier leurs mots de passe Facebook, afin de « changer la serrure » de leur compte. Le spécialiste de la sécurité a également précisé que le problème n'affectait pas les applications Facebook qui utilisent le système d'authentification OAUTH2.0.
(...)
Remise en route du PlayStation Network : Sony revient sur sa promesse
Avant le week-end, Sony a reconnu sur le blog PlayStation qu'il n'avait pas bien mesuré « l'ampleur de l'attaque » dont a été victime son réseau, et qu'il devait « effectuer d'autres tests sur ce système extrêmement complexe » avant de pouvoir redémarrer le Network. Cette dernière annonce vient contredire une déclaration faite la veille par Howard Stringer (en photo), CEO et Président de Sony, lequel assurait que son entreprise « rétablirait l'accès aux services du réseau dans les prochains jours. »
Le groupe avait aussi indiqué à ses gamers accros au PSN qu'il avait entamé « la phase finale des tests en interne, » ce qui laissait entendre que le service serait bientôt rétabli. Le retard pourrait être lié à des menaces d'attaque imminentes contre le réseau de Sony pendant le week-end, si l'on se réfère à une information évoquée au cours de la semaine par CNET. Selon ce dernier, Sony risquait de subir une autre série d'attaques ce week-end, en représailles à sa mauvaise gestion de l'attaque initiale du PSN, un point de vue partagé par de nombreux utilisateurs. On suppose qu'au premier rang des griefs des hackers à l'égard du groupe japonais figure le délai pris par celui-ci -10 jours après l'intrusion- pour informer les utilisateurs de Qriocity que leurs données personnelles, notamment financières, avaient été dérobées.
Trop complexe, mais pas assez pour les pirates
L'annonce de vendredi va à coup sûr agacer les joueurs, qui oscillent entre colère et indignation depuis le piratage du PSN. Les réactions des abonnés suites aux dernières révélations sont largement négatives, avec un net sentiment de déception. « Ma surprise est totale ! », écrit l'utilisateur @yazter, en réponse à l'annonce de Sony. Un autre joueur, @cqc555, souligne que, alors que Sony parle de son réseau comme d'un « système extrêmement complexe », celui-ci n'est assurément « pas suffisamment complexe pour empêcher les pirates de s'y introduire ». La nouvelle laisse aussi entendre que l'attaque contre les serveurs de Sony Online Entertainment (SOE) est plus grave que ce qu'en a dit jusque-là l'entreprise. Celle-ci avait d'abord annoncé que les pirates n'avaient eu accès qu'à une « base de données obsolète datant de 2007. »
D'autres rumeurs laissent entendre que le piratage pourrait être lié à une autre attaque dirigée celle-ci contre le site principal du constructeur, Sony.com. Avec plus de 100 millions de comptes utilisateurs piratés, l'intrusion dans le PSN et le SOE est sans doute la plus grave de l'histoire en termes de données volées. La société a été convoquée devant le Congrès pour s'expliquer. Au minimum, l'attaque vient renforcer le credo d'un ancien hacker : plus l'entreprise est grande, plus rude est sa chute ...
Anonymous pas impliqué, mais...
L'hypothèse de Sony selon laquelle le groupe d'activistes Anonymous serait impliqué dans l'attaque a été une fois encore démentie par l'association sur son blog AnonOps. Anonymous fait valoir qu'elle n'a aucun intérêt à voler des numéros de carte de crédit et va même jusqu'à suggérer que l'attaque a été menée par « un groupe de voleurs en ligne ordinaires ». Néanmoins, deux personnes prétendant être d'anciens membres d'Anonymous ont déclaré vendredi au Financial Times que des membres du groupe pouvaient très bien avoir perpétré cette attaque.
Illustration : Sir Howard Springer, CEO de Sony (crédit : Sony) (...)
Les « Anonymous » en ligne de mire de Sony
Un responsable de Sony, Kazuo Hirai, dans une lettre adressé à des parlementaires américains, a indiqué que les pirates ont laissé sur un serveur un dossier portant le nom « Anonymous » avec comme complément « nous sommes légion » (le slogan du collectif). Cette découverte a été faite lors des investigations sur les attaques sur les sites en ligne de Sony et en particulier sur le site Sony Online Entertainment. La firme nippone ne va toutefois pas jusqu'à accuser formellement le collectif Anonymous d'être à l'origine de cette attaque, mais l'orientation des suspicions est donnée.
Un historique d'attaques
Le groupe japonais a depuis quelques semaines en ligne de mire les Anonymous. Ces derniers avaient lancé au début du mois d'avril « #opsony », une série d'attaques par déni de service contre différents sites web du constructeur. Cette opération avait été menée en représailles contre la décision de Sony de poursuivre judiciairement des hackers qui avaient cassé la sécurité de la PS3.
Les investigations sur les récentes attaques vont se poursuivre. De son côté, Anonymous avait récemment déclaré ne pas être responsable des attaques, tout en estimant que certains de ses membres auraient piraté à titre individuel le site de Sony.
Sony explique l'attaque du PlayStation Network
Sony a annoncé que ses services en ligne PlayStation Network et Qriocity, que l'entreprise avait dû interrompre suite à une attaque « très sophistiquée, » seraient remis progressivement en route à partir de cette semaine. Les jeux en ligne et la location de films seront les premiers services disponibles sur le PlayStation Network, et les abonnés de Qriocity pourront à nouveau accéder à la musique à la demande. « D'autres fonctions, comme le PlayStation Store, seront ré-ouverts d'ici la mi-mai, » a déclaré Kaz Hirai, le patron de la division jeux de Sony, lors d'une conférence de presse exceptionnellement donnée ce dimanche. « Nous nous préoccupons des nombreux utilisateurs du PlayStation Network et de Qriocity. Nous avons potentiellement exposés des informations clients les concernant. Et nous leur adressons nos plus sincères excuses, » a-t-il déclaré (voir illustration principale).
Une intrusion sur un datacenter à San Diego
Le 20 avril, Sony avait déconnecté ces deux services après avoir détecté une intrusion sur les serveurs du réseau hébergés dans un datacenter appartenant à AT&T et situé à San Diego, Californie. « Sony a découvert le piratage après avoir été alerté par une activité inhabituelle sur le réseau, le jour précédent, » a déclaré Kaz Hirai. Dans un premier temps, Sony a demandé à une entreprise de sécurité informatique d'enquêter sur la nature des intrusions. « Lorsqu'il est devenu évident que des renseignements personnels avaient pu être volés, Sony a fait appel à une seconde société spécialisée, » a ajouté le patron de la division. « Le Federal Bureau of Investigations (FBI) a lancé une enquête criminelle sur l'attaque, » a-t-il ajouté. L'enquête se poursuit et, pour le moment, l'entreprise ne dispose pas encore d'un état clair des données qui ont été volées, comme elle n'a pu établir exactement le nombre de comptes affectés. Sony pense qu'il y a une forte probabilité que des renseignements personnels aient été subtilisés, y compris des noms d'utilisateur et des mots de passe cryptés associés pour accéder à ses services, mais aussi des noms, adresses, dates de naissance et adresses e-mail des utilisateurs.
10 millions de cartes de crédit dans la nature
Sony n'a donc pas déterminé combien de comptes avaient été compromis, mais le piratage pourrait potentiellement affecter les 77 millions de comptes. Parmi eux, environ 10 millions sont associés à des numéros de carte de crédit, mais pour l'instant Sony dit n'avoir aucune preuve que ces données ont été également volées. Contrairement aux informations personnelles, les numéros de carte de crédit sont conservés dans une base de données chiffrée, mais Sony ne dit pas quel système de cryptage elle utilise pour les protéger. Néanmoins, Sony a conseillé à ses clients de surveiller toute activité inhabituelle sur leurs comptes bancaires. « Jusque-là, il n'y a pas eu de cas de ce genre, » a déclaré le responsable de Sony. L'entreprise a dit qu'elle prendrait en charge le coût de renouvellement des cartes de crédit pour les utilisateurs qui en feront la demande.
Une attaque maquillée en procédure d'achat
Selon Shinji Hasejima, chef de l'information chez Sony, l'attaque a été lancée depuis un serveur d'application qui se trouvait derrière un serveur web et deux firewalls sur le réseau de Sony. « Les pirates ont utilisé une technique très sophistiquée pour accéder à notre système, » a déclaré le chef de l'information de Sony. L'attaque initiale a été maquillée en procédure d'achat, et n'a donc pas été repérée par les systèmes de sécurité du réseau. « Elle a exploité une vulnérabilité connue du serveur d'application pour introduire un logiciel qui a servi ensuite à accéder à la base de données installée sur le serveur situé derrière un troisième pare-feu, » a déclaré Shinji Hasejima. « L'entreprise Management at Sony Network Entertainment International, qui gère la plate-forme réseau pour les deux services, n'était pas au courant de cette vulnérabilité, » a expliqué le dirigeant.
Parmi les mesures envisagées, Sony a annoncé la « nomination d'un chef de la sécurité et de l'information afin qu'une telle erreur ne se reproduise plus. » Sony prévoit également d'ajouter des systèmes de surveillance automatisés afin de se prémunir contre de futures attaques et de détecter toute activité réseau inhabituelle. Au moment de la remise en route des services, Sony compte demander également à tous ses utilisateurs de changer leur mot de passe. La société pourrait également offrir des logiciels sélectionnés en téléchargement gratuit et prolonger d'un mois l'abonnement des utilisateurs au service PlayStation Plus.
RecapIT : Hold-up en ligne pour Sony, Mea Culpa d'Apple, un « machin » numérique installé
Une semaine écourtée en raison du lundi de Pâques, mais qui dès mardi a démarré sur les chapeaux de roues en matière de sécurité avec l'annonce de Sony d'une intrusion par « une personne non autorisée » (sic) sur son service en ligne de jeux PlayStation Network, ainsi que sur le service Qriocity. Le ou les pirates auraient subtilisé les données personnelles, y compris des informations bancaires de près de 77 millions de personnes. Cette information a soulevé un tollé parmi les utilisateurs. Des plaintes ont été déposées et les autorités en charge des données personnelles ont demandé des compléments d'informations à la firme Japonaise. Plus grave encore, il semblerait selon des experts en sécurité que des bases de données bancaires issues de l'intrusion soit en circulation sur le net. Cet évènement a passé sous silence d'autres sujets sécurité. Ainsi, selon des chercheurs AppSec, Oracle leurrerait subtilement ses clients sur la gravité de certaines vulnérabilités dans son logiciel de base de données.
Apple va rustiner iOS pas assez discret
Les données personnelles sont résolument au coeur de l'actualité cette semaine. Apple a fait un semblant de mea culpa en indiquant que le stockage des données de localisation de l'iPhone ou l'iPad avait pour origine un bug. La firme de Cupertino a annoncé une mise à jour d'iOS pour réduire la durée de conservation des données et promet aussi à terme de sécuriser ces informations. Google a joué aussi la carte de la transparence en détruisant ses vieux disques durs pour éviter la fuite des données.
Mea culpa présidentiel
Enfin pour terminer, le microcosme IT français s'est ému de la nomination et la mise en place du Conseil National du Numérique. Le Président de la République a profité de cette installation pour admettre une erreur sur Hadopi et se déclarant prêt à une autre version de cette loi contestée. Il n'en demeure pas moins que le CNN, qualifié de Medef du numérique ne fait pas l'unanimité auprès des associations de consommateurs, des ayants droits et autres syndicats industriels. Il faudra certainement attendre les premières décisions du CNN pour que la critique soit plus constructive.
La CNIL va enquêter sur le piratage chez Sony
Sony a du souci à se faire. Le groupe électronique japonais, qui a reconnu le vol de données personnelles des quelque 77 millions de membres du service PSN (PlayStation Sony Network) devra faire face aux plaintes des particuliers et des organisations. « Les joueurs sont furieux que le PDG de Sony n'ait pas tenté d'expliquer la situation et les investisseurs sont déçus par la gouvernance de la firme », a déclaré Michael Wang, directeur des fonds étrangers chez Prudential Financials, une société qui détient des actions Sony, à l'agence de presse Reuters. Les abonnés au service PSN ont effectivement de quoi être en colère. Ainsi, Kevin Stevens, expert en sécurité chez TrendMicro, explique que des pirates chercheraient à vendre pas moins de 2,2 millions de cartes de crédit avec leur code de sécurité.
En France, la Commission nationale de l'informatique et des libertés lancera, dans les jours qui viennent, une enquête, rapporte le journal Les Echos. Son président Alex Türk a indiqué au quotidien économique qu'il allait se rapprocher de Sony pour analyser différents éléments afin de déterminer combien de personnes sont concernées en France, connaître le type de données touchées et la nature exacte de la faille sécurité. Le président de la CNIL souhaite également savoir si les données étaient suffisamment chiffrées et quelles informations ont été envoyées aux victimes. Interrogé sur d'éventuelles sanctions au terme de l'enquête, Alex Türk a répondu aux Echos « qu'il ne préjugeait de rien, mais qu'on ne pouvait pas continuer sur ces questions à faire comme si de rien n'était. »
Le service Playstation Network de Sony, qui fournit un accès en ligne à des jeux, des films et des émissions de télévision, génère un chiffre d'affaires annuel d'environ 500 millions de dollars. Neuf utilisateurs de PlayStation sur dix sont basés aux Etats-Unis et en Europe.
Illustration : Alex Türk, président de la CNIL (crédit photo : D.R.) (...)
Après son incurie, Sony conseille à ses clients PSN de changer de mot de passe
Sony pense que parmi les données obtenues par les pirates à l'occasion de l'intrusion survenue entre le 17 et le 19 avril se trouvent des noms, des adresses postales et électroniques, des dates de naissance, des identifiants, des mots de passe et des réponses à des questions de sécurité. La société japonaise déclare qu'elle ne peut "exclure la possibilité" que des données de carte bancaire aient été dérobées: numéros et dates d'expiration, mais non les codes de sécurité présents au dos des cartes.
"Quand le PlayStation Network et les services Qriocity seront réactivés, nous vous recommandons [...] de changer vos identifiants", conseille la société dans une note publiée sur les sites officiels PlayStation et adressée par e-mail aux utilisateurs de ces services.
"[N]ous vous encourageons à rester vigilant sur l'évolution de vos données de compte, votre crédit ou toutes autres données", poursuit la note. PlayStation estime que "les services seront partiellement rétablis sous sept jours", a écrit le 26 avril Patrick Seybold, directeur de la communication de la marque.
Changer son mot de passe, un minimum...
Christopher Boyd, un expert en sécurité informatique de la société GFI Software, nous a indiqué que cette intrusion était "extrêmement grave" et que Sony "n'avait d'autre choix que de tout faire pour limiter les dégâts" en fermant son réseau après la découverte de l'intrusion le 20 avril. "Garder un oeil sur son compte pour repérer tous les débits illicites est une bonne idée, mais il est crucial que tous ceux qui utilisent le même mot de passe pour plusieurs sites changent tous leurs identifiants."
L'une des méthodes efficaces pour décider d'un nouveau mot de passe est de penser à une phrase que l'on aime bien et de prendre la première lettre de tous les mots. L'ajout de chiffres ou de symboles peut en augmenter la sûreté.
(...)(27/04/2011 16:37:24)Apple va faire le ménage dans le stockage des données de localisation des iPhone
Après les dénégations de Steve Jobs « Apple ne piste personne », la firme de Cupertino est revenue sur la polémique qui a fait surface la semaine dernière juste après l'annonce des résultats trimestriels de la société. Deux chercheurs ont indiqué avoir trouvé un fichier au sein des iPhone et iPad qui stocke les données géolocalisées des utilisateurs. Ces informations sont conservées pendant 1 an et ne sont pas sécurisées. D'autres chercheurs avaient trouvé dans une moindre mesure le même comportement sur les smartphones sous Android.
Apple vient d'annoncer que la découverte des chercheurs était liée à un bug sur son OS. En conséquence, le constructeur a expliqué sur son site que dans quelques semaines, il mettra à disposition une mise à jour d'iOS. Cette évolution réduira le volume de données géolocalisées stockées, donnera la possibilité de désactiver cette sauvegarde et de supprimer cette mémoire cache quand le service de localisation est éteint. Enfin, Apple indique que dans une autre version d'iOS, ces données seront chiffrées pour garantir leur intégrité.
L'affaire FTC/Google Buzz pourrait tuer le e-commerce
Des partisans de la protection des renseignements personnels et certains fonctionnaires de la Federal Trade Commission (FTC) mettent la pression pour que l'accord sur Buzz devienne une norme de confidentialité en ligne. Or, une disposition de l'accord proposé serait "véritablement meurtrière" pour le reste de l'industrie du e-commerce, a déclaré Steve DelBianco, directeur de NetChoice, société regroupant des associations de commerçants, des entreprises de commerce électronique et des e-consommateurs.
L'accord proposé par le régulateur américain impose à la firme de Mountain View d'obtenir « un consentement express et positif » de ses utilisateurs pour« tout partage additionnel ou complémentaire » de renseignements personnels avec des tiers, si le nouveau partage constitue un changement dans les pratiques de Google.
Si cette disposition devient un standard pour l'industrie et qu'elle est mise en application par la FTC, cela exigera de toutes les entreprises en ligne qu'elles obtiennent l'autorisation de leurs clients même en cas de modifications mineures sur la façon dont elles partagent l'information avec des partenaires ou d'autres entreprises, s'inquiète Steve DelBianco. Pour lui, face à de telles exigences, il sera difficile pour les réseaux sociaux et les sites de contenu en ligne de déployer des innovations et de rendre payant ce qui était gratuit....
Une obligation de consentement pour toutes les données
Les appels pour que la décision de la FTC devienne un standard en matière de vie privée ne peuvent pas être autorisés à produire des effets secondaires sur le reste de l'industrie, uniquement parce que Google a fait quelque chose de non approprié, s'indigne le directeur de NetChoice. Pour ce dernier, cette obligation s'appliquera à toutes les données concernant les utilisateurs, et pas uniquement à des informations personnelles identifiables. Il estime également qu'il n'existe aucune limite à ce sujet. « S'agit-il de changements importants ou matériels ? » s'interroge Steve DelBianco « Non il s'agit bien de n'importe quel type de changement ».
En mars dernier, la FTC avait reproché à Google d'avoir violé sa politique de confidentialité, au moment du lancement de Buzz, en utilisant les informations fournies pour Gmail à une autre fin. L'organisme de régulation avait donc demande à ce que la firme de Moutain View se soumette tous les deux ans à un audit indépendant de ses pratiques en matière de confidentialité et ce pendant 20 ans.
Une obligation qui aura peu d'impact sur Google
L'accord imposé par la FTC devrait avoir peu d'impact sur Google, qui tire une grande partie de ses recettes publicitaires sur ses fonctions de recherche et d'affichage, juge Steve DelBianco. « Google n'a pas besoin de partager quoi que ce soit avec des tiers », affirme ce dernier. « La firme est si grande qu'elle peut dicter ses conditions à des parties tierces .» Le dirigeant considère également que la plupart des autres entreprises de commerce électronique proposent des services qui partagent des données non sensibles avec des tiers. Le facteur décisif ici, est que le reste de l'industrie en ligne va se trouver en situation encore plus difficile pour pouvoir rivaliser avec Google, si le règlement s'appliquant à Buzz vaut pour le reste de l'industrie, redoute ce denier.
Google n'est pas un membre de NetChoice. Ce dernier regroupe des acteurs comme AOL, eBay, Oracle et Yahoo.
De leur côté, Jeffrey Cheste, partisan de la vie privée et Katie Ratte, avocate au sein de la Division vie privée et protection de l'identité à la FTC, ont minimisé les préoccupations de Steve DelBianco.
Le point de l'accord que la FTC souhaite normaliser porte sur le respect par Google de la mise en oeuvre d'une politique de confidentialité complète, explique Katie Ratte. De plus, le point portant sur le consentement met l'accent sur le partage des informations par Google qui est contraire à la politique de confidentialité de l'entreprise, a t-elle ajouté. Pour la juriste, l'accord empêchera Google d'apporter des modifications rétroactives à sa politique de partage des données, politique qui est similaire aux accords sur la vie privée conclus par la FTC.
Pas d'obligation de consentement pour des changements mineurs
Cette disposition est un peu plus limitée que la lecture que Steve DelBianco en a fait, précise Katie Ratte. D'après l'avocate, si le partage des informations avec des tiers est réalisé d'une manière cohérente en fonction de ce qui a déjà été divulgué au consommateur, il n'y aura pas besoin d'exiger la permission de ces derniers.
Les défenseurs de la confidentialité font pression pour des changements se rapportant à cet accord et ils espèrent qu'une version plus stricte de celui-ci deviendra un standard de l'industrie, a déclaré Jeffrey Chester, directeur du Center for Digital Democracy. Toutefois, ce dernier ne voit pas les spécialistes de la confidentialité obliger les sites Web à obtenir l'autorisation de consentement chaque fois qu'ils font des changements routiniers, tels que la maintenance des comptes.
« Je pense que ce dont nous parlons est le processus même de la révision du profil des consommateurs lié au marketing», conclut Jeffrey Chester. « C'est là où je veux en venir, sur l'incorporation et l'utilisation continue des données des utilisateurs à des fins de marketing ciblé. Chaque fois qu'une entreprise vendra des données, rendra des informations disponibles à la vente ou intégrera des informations supplémentaires sur ses utilisateurs, elles devront obtenir leur permission. »
Illustration : Steve DelBianco, directeur de NetChoice. Crédit photo : Netchoice
(...)
Sony incapable de protéger ses abonnés PlayStation contre un piratage massif
Sony a expliqué sur son blog que son service en ligne PlayStation Network était en maintenance. Cette fermeture a comme origine une intrusion comme l'indique les réponses du constructeur japonais dans la FAQ sur le site officiel de la Playstation « Nous avons découvert qu'entre le 17 et le 19 avril 2011, une intrusion illégale et non autorisée à eu lieu dans notre réseau. » En clair un ou des pirates ont réussi à s'introduire sur le site en ligne et ont eu accès aux informations personnelles de près de 77 millions d'abonnés.
Toujours dans le même souci de transparence, Sony précise « nous pensons qu'une personne non autorisée à eu accès aux: nom, adresse (ville, pays, code postal), adresse email, date de naissance, mot de passe et login PlayStation Network/Qriocity, et l'ID. Il est aussi possible que vos informations de profils soient touchées, incluant l'historique de vos achats, les quatre derniers chiffres de votre carte de crédit, sa date d'expiration et l'adresse de facturation. Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est possible que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d'expiration soient concernés. »
Face à ces risques de fraudes ou d'usurpation d'identité et même si Sony affirme ne pas avoir eu écho pour l'instant d'une mauvaise utilisation des données volées, le constructeur a décidé de fermer le site depuis le 20 avril dernier et a diligenté une enquête via une société spécialisée dans le domaine de la sécurité pour connaître la faille utilisée par les pirates. Bien que le japonais affirme « avoir pris des mesures pour renforcer l'infrastructure de son réseau en reconstruisant son système pour fournir une meilleure protection des données personnelles », les services PSN et Qriocity resteront fermés jusqu'à la résolution de l'enquête et la sécurisation des infrastructures.
La sécurité des services en ligne en question
Après le plantage du cloud d'Amazon la semaine dernière, cette affaire du piratage des services en ligne de Sony pose la question de la sécurité et la fiabilité de la dématérialisation des échanges. Pour Xavier Garcia, directeur commercial de Clearswift « depuis un peu plus d'un an, nous assistons au développement d'attaques ciblées qui sont capables de contourner les protections des antivirus, comme l'a montré l'attaque sur le ministère des Finances en France. » Le dirigeant pointe également du doigt les faiblesses de recourir à des sociétés tiers pour s'occuper du stockage des données bancaires « il existe un standard PCI pour contrôler les risques sur ces données sensibles, l'outsourcing de ces flux par une société qui n'est pas une banque peut-être problématique ». Pour éviter ces fuites de données, il n'est pas nécessaire de renforcer la protection a posteriori « la plupart des signatures d'attaques ne sont pas repérées par l'antivirus », il faut se focaliser sur les flux sortant et contrôler que les paquets qui sortent ne contiennent pas des données sensibles » conclut Xavier Garcia.
Crédit photo D.R.
| < Les 10 documents précédents | Les 10 documents suivants > |