La situation de Sony et de ses services PlayStation Network et Qriocity est potentiellement en train de déraper. Stoppés depuis plus d’une semaine maintenant en raison d’une brèche dans la sécurité et d’une possibilité de vol massif de données, ils se font maintenant clairement désirer par des joueurs qui ne peuvent plus accéder aux fonctions en ligne. Bien que Sony ait cherché à rassurer, des rapports contradictoires indiquent qu’une partie des données serait en vente.
Résumé d’une semaine intense
Voici un rappel des faits :
2,2 millions de comptes seraient à vendre
Kevin Stevens, expert en sécurité, affirmait sur son compte Twitter que 2,2 millions de comptes se trouvaient dans une base de données, et que celle-ci était en vente. Il indiquait dans d’autres tweets, en réponse aux questions qui lui étaient posées, que des références très claires avaient été faites sur des forums « underground » où ce type d’élément pouvait se monnayer. Et on imagine qu’une telle base de données a un potentiel « commercial » important.
Mais le tweet comporte une information étrange. En effet, la base contiendrait toutes les cartes bleues des utilisateurs, ce qui est bien entendu possible, mais également les codes CVV2, autrement dit les fameux trois chiffres que l’on trouve au dos de chaque carte. Or, d’après Sony, ces codes ne sont jamais stockés dans la base de données.
Des conséquences existent déjà, ou « existeraient ». On trouve par exemple des témoignages d’utilisateurs ayant vu des débits très suspects sur leurs comptes. Lee Garnett, rédacteur en chef de GameFly Media, rapporte ainsi qu’un de leurs lecteurs les a contactés pour leur indiquer qu’un paiement de 1500 dollars avait été fait dans une boutique en Allemagne.
Autre conséquence : la plainte d’un utilisateur américain, qui reproche à Sony de ne pas avoir fait assez d’effort pour « protéger, chiffrer et sécuriser les données privées et sensibles ». autre critère très important selon lui : le temps qu’a mis Sony à communiquer réellement sur les risques réels encourus par les utilisateurs, ce qui n’a pas aidé à prendre des décisions « éclairées », notamment sur le fait de faire opposition à la carte, surveiller le compte, etc.
Des dommages et intérêts sont demandés, mais le véritable problème de cette plainte pour Sony est qu’elle pourrait basculer en class action, rassemblant alors un grand nombre de personnes. Sur les 77 millions de comptes concernés, 10 millions se trouvent en effet aux États-Unis.
Sony : des compensations sont à l’étude
À noter qu’un billet a publié très récemment par Sony pour indiquer qu’une compensation était à l’étude. Le PlayStation Network est en effet un service gratuit, mais certains payent un abonnement pour avoir des fonctionnalités supplémentaires. En outre, l’impact en termes d’images est plus que conséquent, et la société indique : « Nous évaluons actuellement plusieurs manières de vous remercier pour votre patience extrême pendant que nous travaillons à remettre ces services en ligne ».
La firme ajoute en outre que les historiques, amis, trophées et autres données sont intacts. Mais cela risque de faire bien peu pencher à nouveau la balance vers le mode « visage heureux » du joueur.
Résumé d’une semaine intense
Voici un rappel des faits :
- Le mercredi 20 avril, Sony indique qu’une enquête est menée sur la panne qui touche le PSN
- Le jeudi 21 avril, Sony informe que la remise en place du réseau pourrait prendre un ou deux jours
- Le vendredi 22 avril, Sony parle pour la première fois d’une intrusion depuis l’extérieur. Les arrêts des services PSN et Qriocity (VOD) vont continuer, car la firme doit faire un bilan de sécurité de ses infrastructures.
- Le samedi 23 avril, la société s’excuse pour les désagréments et assure que la remise en place du PSN et de Qriocity est une priorité absolue. Sony parle alors de « reconstruction » de son système pour renforcer sa sécurité.
- Lundi 25 avril, Sony présente une nouvelle fois ses excuses pour le temps nécessaire à la reconstruction du système, mais aucune information concrète n’est donnée.
Hier, Sony a cherché à rassurer, tout en n’écartant pas le danger : « Toutes les données étaient protégées, et l’accès en était restreint à la fois physiquement et dans le périmètre de sécurité du réseau. La table complète des cartes de paiements était chiffrée et nous n’avons aucun signe que ces données ont été volées. La table des données personnelles, qui est un ensemble différent de données, n’était pas chiffrée, mais était, bien entendu, placée derrière un système de sécurité très élaboré qui a été cassé durant l’attaque. »
2,2 millions de comptes seraient à vendre
Kevin Stevens, expert en sécurité, affirmait sur son compte Twitter que 2,2 millions de comptes se trouvaient dans une base de données, et que celle-ci était en vente. Il indiquait dans d’autres tweets, en réponse aux questions qui lui étaient posées, que des références très claires avaient été faites sur des forums « underground » où ce type d’élément pouvait se monnayer. Et on imagine qu’une telle base de données a un potentiel « commercial » important.
Mais le tweet comporte une information étrange. En effet, la base contiendrait toutes les cartes bleues des utilisateurs, ce qui est bien entendu possible, mais également les codes CVV2, autrement dit les fameux trois chiffres que l’on trouve au dos de chaque carte. Or, d’après Sony, ces codes ne sont jamais stockés dans la base de données.
Des conséquences existent déjà, ou « existeraient ». On trouve par exemple des témoignages d’utilisateurs ayant vu des débits très suspects sur leurs comptes. Lee Garnett, rédacteur en chef de GameFly Media, rapporte ainsi qu’un de leurs lecteurs les a contactés pour leur indiquer qu’un paiement de 1500 dollars avait été fait dans une boutique en Allemagne.
Autre conséquence : la plainte d’un utilisateur américain, qui reproche à Sony de ne pas avoir fait assez d’effort pour « protéger, chiffrer et sécuriser les données privées et sensibles ». autre critère très important selon lui : le temps qu’a mis Sony à communiquer réellement sur les risques réels encourus par les utilisateurs, ce qui n’a pas aidé à prendre des décisions « éclairées », notamment sur le fait de faire opposition à la carte, surveiller le compte, etc.
Des dommages et intérêts sont demandés, mais le véritable problème de cette plainte pour Sony est qu’elle pourrait basculer en class action, rassemblant alors un grand nombre de personnes. Sur les 77 millions de comptes concernés, 10 millions se trouvent en effet aux États-Unis.
Sony : des compensations sont à l’étude
À noter qu’un billet a publié très récemment par Sony pour indiquer qu’une compensation était à l’étude. Le PlayStation Network est en effet un service gratuit, mais certains payent un abonnement pour avoir des fonctionnalités supplémentaires. En outre, l’impact en termes d’images est plus que conséquent, et la société indique : « Nous évaluons actuellement plusieurs manières de vous remercier pour votre patience extrême pendant que nous travaillons à remettre ces services en ligne ».
La firme ajoute en outre que les historiques, amis, trophées et autres données sont intacts. Mais cela risque de faire bien peu pencher à nouveau la balance vers le mode « visage heureux » du joueur.
