Sony : le point sur la situation du PSN et de Qriocity

Historique, résumé, compensations et remise en service 72
Vincent Hermann
Sony a fait face ces dernières semaines à de nombreux problèmes. Trois attaques successives ayant notamment mené à la fermeture des services PlayStation Network et Qriocity (vidéo à la demande et musique). C’est notamment l’intrusion d’un individu, entre le 17 et le 19 avril, qui a provoqué l’arrêt des services. Depuis, Sony répare, promet, compense. Résumé de la situation.

playstation network psn

Résumé des évènements


La chronologie a montré l’ampleur du problème :
  • Le mercredi 20 avril, Sony indique qu’une enquête est menée sur la panne qui touche le PSN
  • Le jeudi 21 avril, Sony informe que la remise en place du réseau pourrait prendre un ou deux jours
  • Le vendredi 22 avril, Sony parle pour la première fois d’une intrusion depuis l’extérieur. Les arrêts des services PSN et Qriocity (VOD) vont continuer, car la firme doit faire un bilan de sécurité de ses infrastructures.
  • Le samedi 23 avril, la société s’excuse pour les désagréments et assure que la remise en place du PSN et de Qriocity est une priorité absolue. Sony parle alors de « reconstruction » de son système pour renforcer sa sécurité.
  • Lundi 25 avril, Sony présente une nouvelle fois ses excuses pour le temps nécessaire à la reconstruction du système, mais aucune information concrète n’est donnée.
Depuis, la société a continué à s’excuser pour le retard et aujourd’hui, 11 mai, ni le PlayStation Network ni Qriocity ne sont de retour.

Des données personnelles en danger


Mais, surtout, l’intrusion a révélé les faiblesses dans la défense réseau de Sony, et les données de millions de comptes ont été exposées.

« Alors que nous enquêtons sur les détails de cet incident, nous pensons qu’une personne non autorisée a eu accès aux informations que vous nous avez transmises: nom, adresse (ville, état, code postal), pays, adresse email, date de naissance, logins et mots de passe du PlayStation Network et des services Qriocity, et PSN ID. Il est aussi possible que vos informations de profil aient été touchées, incluant l’historique de vos achats et l’adresse de facturation (ville, état, code postal) ainsi que la question de securite de votre mot de passe.

Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est prudent de vous avertir que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d’expiration sont concernés. Il n’y a pas de preuve d’obtention des données de cartes de crédit mais nous ne pouvons pas écarter cette possibilité
. »

Conséquences et compensations


Plusieurs nouvelles mesures de sécurité ont depuis été mises en place :
  • Des modules automatisés ont été mis en place pour surveiller les logiciels et la gestion de la configuration
  • La protection et le chiffrement des données ont été augmentés
  • Une meilleure détection des intrusions sur le réseau, des accès non autorisés et des comportements douteux
  • De nouveaux pare-feux
L’action la plus importante est peut-être d’avoir créé un nouveau poste dans la firme : Chief Information Security Officer. Ce futur responsable de la sécurité sera en relation directe avec Shinji Hasejima, CIO (Chief Information Officer).

Côté compensations, on trouve plusieurs éléments. Premièrement, une période gratuite de 30 jours sera automatiquement créditée en fonction du type de compte que l’utilisateur possède :
  • Tous les utilisateurs gratuits deviendront des membres « Plus » pendant 30 jours
  • Tous les utilisateurs « Plus » seront crédités d’un mois gratuit
  • Ceux qui possèdent un abonnement Music Unlimited de Qriocity auront également 30 jours gratuits crédités sur leur compte
En outre, des jeux gratuits seront proposés :

« Restez donc attentifs pour de plus amples informations sur le reste de notre programme Welcome Back, y compris le contenu gratuit. Nous allons proposer aux utilisateurs PSN la possibilité de choisir deux jeux PS3 à partir d’une liste de cinq, tout en offrant aux utilisateurs de PSP celle de choisir deux jeux parmi une liste de quatre. Nous vous ferons savoir prochainement quels seront les jeux disponibles. »

Deuxièmement, et beaucoup plus sérieusement, Sony a annoncé que des partenariats étaient en cours de création avec plusieurs sociétés de protection des données personnelles. Aux États-Unis, un tel accord est déjà en place avec la société Debix, une division d’AllCear ID. Les utilisateurs américains reçoivent actuellement un courrier électronique pour les informer de cette protection, et une page web leur permettra de s’inscrire. Ils ont jusqu’au 18 juin pour profiter de cette offre qui, une fois active court sur une année.

Dès que l’utilisateur s’est inscrit au service, Debix va assurer une surveillance des données personnelles. Cela signifie que cette société va traquer les éventuelles utilisations frauduleuses qui en sont faites. La protection offerte se fait selon trois axes :
  • La surveillance proprement dite, qui se charge de vérifier le degré d’exposition des données personnelles, notamment la présence dans des forums spécialisés. Des rapports mensuels sont générés et envoyés à l’utilisateur, qui est prévenu par email ou téléphone si un danger potentiel a été découvert.
  • En cas de problème détecté, Debix met l’utilisateur en relation avec des détectives privés et spécialistes de la restauration d’identité
  • Une couverture de la totalité des frais engendrés par le contrat à hauteur d’un million de dollars sur l’ensemble de l’année et par utilisateur
Selon Sony, il n’existe pas actuellement de signe indiquant l’exploitation des données personnelles et/ou bancaires.

Et maintenant ?

Sony n’en finit plus de repousser l’échéance de remise en service du PlayStation Network et de Qriocity. Le dernier message de la firme date de ce matin même :

« Je sais que vous voulez tous savoir quand les services du PSN seront rétablis. Pour le moment, je ne peux pas vous donner une date exacte, car l’indisponibilité du PlayStation Network durera encore quelques jours de plus. Nous sommes terriblement désolés pour ce désagrément et vous remercions de votre patience pendant que nous travaillons sur la restauration du système. »

Des rumeurs annonçaient le retour des premiers éléments du PSN cette semaine et, puisque nous sommes mercredi, cela reste possible. Toutefois, d’autres bruits de couloirs parlent d’une restauration qui n’interviendrait pas avant le 31 mai.