Sony Pictures piraté : plus d'un million de mots de passe dérobés

Mauvais oeil 136
Vincent Hermann
sony picturesJamais auparavant une entreprise n’avait autant subi les attaques répétées des hackers : Sony vient d’être une nouvelle fois attaquée. C’est cette fois la branche Sony Pictures de la firme qui a été visée : plus d’un million de mots de passe ont ainsi fuité.

C’est d’abord le PlayStation Network et le service de streaming Qriocity qui ont été attaqués. Peu de temps après, les serveurs de la division Online Entertainment subissaient eux les assauts de hackers. Alors même que Sony peine à cicatriser la plaie béante laissée dans le seul PSN, d’autres hackers s’en sont pris aux serveurs de Sony Picture Entertainment, dérobant plus d’un million de mots de passe et plus 75 000 codes de musique et 3,5 millions de coupons musicaux ont été publiés.

Une « simple injection SQL »

Le groupe de hackers LulzSec revendique l’attaque. On trouve sur leur site officiel le communiqué accompagnant les données qui se baladent déjà dans la nature. On y apprend que les hackers ont été capables d’attaquer les serveurs de SPE « via une simple injection SQL », décrivant la vulnérabilité comme l’une des plus « primitives et communes ». Depuis cette injection, les hackers ont eu accès à l’ensemble des informations qui ont été volées.

lulzsec

Le pire selon le groupe est que la totalité des données ne disposait d’aucun chiffrement : les mots de passe étaient ainsi stockés en clair sur les serveurs. Pour LulzSec, il n’y avait donc plus qu’à « se servir ». Les hackers estiment qu’avec un si faible niveau de protection, Sony demandait pratiquement à être piraté. L’affichage en clair des informations est une faute conséquente, surtout lorsque l’on sait que n’importe quel système d’exploitation moderne propose un chiffrement à la volée des données chez le particulier.

Sur plus d’un million de comptes concernés par le vol d’informations, on retrouve l’ensemble de ce que Sony demande pour la création d’un profil : nom, prénom, date de naissance, identifiant, mot de passe, date de naissance, adresse email, adresse postale et ainsi de suite. Des comptes administrateurs ont également été volés, et les bases de données dérobées contiennent des informations provenant également de Sony BMG Belgique et Pays-Bas.

Des signes avant-coureurs et une réalité indéniable

L’attaque a eu lieu hier, mais Sony aurait dû être au courant. Le 31 mai, LulzSec ne cachait même pas sa volonté d’attaquer Sony en déclarant sur Twitter qu’il était en train de voler des données au nez et à la barbe de la société. Le 2 juin, soit hier, Sony affirmait pourtant à International Business Times que rien n’indiquait qu’un vol de données ait pu avoir lieu. Et pourtant, après avoir attaqué la chaine PBS (en diffusant la fausse nouvelle que Tupac Shakur était vivant), puis le site et le compte Twitter de la FOX, le groupe aurait dû pourtant être pris au sérieux.

Sony n’a eu pour réaction pour le moment qu’un simple « Nous inspectons ces revendications de près », mais n'a en aucun cas contesté la validité des informations volées. Associated Press a en effet récupéré la base de données, l’a parcourue et a contacté l’une des personnes figurant dans cette liste : Mary Tanning, 84 ans et résidant dans le Minnesota. Elle a confirmé à AP le reste des informations, y compris son mot de passe. Une autre personne contactée, Elizabeth Smith, a elle aussi confirmée, comme d’autres. Elle a indiqué ne pas paniquer, mais s’est dite « très en colère » contre Sony.

Le sort et les hackers s’acharnent contre Sony, et chaque fuite d’informations personnelles détériore davantage son image. Il y a de sérieuses remises en cause de la gestion de la sécurité dans la société, et des efforts conséquents vont devoir être faits dans ce sens pour stopper l’hémorragie.