Comme tous les joueurs qui suivent l’actualité de ce média le savent déjà, le PlayStation Network a été victime d’attaques de pirates informatiques qui l’ont laissé désactivé pendant une semaine (et ce n’est pas fini). Au fait, vous n’avez même pas besoin d’être un consommateur vorace de nouvelles du monde des jeux vidéo : si vous possédez une PS3 et que vous avez essayé de vous connecter au PSN la semaine dernière, vous avez découvert par vous-même que le réseau en ligne de Sony est en train de se réparer.
Curieusement, Sony n’a pas admis tout de suite quel était le problème ? en fait, jusqu’à la publication de cette chronique, lorsqu’on essaie de se connecter au PSN via un navigateur, tout ce qu’on obtient est un message générique de “maintenance du serveur” ? qui, à tout le moins, montre une certaine négligence ou incompétence à informer le consommateur sur le risque auquel il est confronté.
Le buzz internet commençait déjà à spéculer que le problème était le résultat d’attaques de pirates informatiques, et Sony a finalement admis que c’est exactement ce qui s’est passé. Ce dont le géant japonais ne nous a pas avertis, cependant, c’est que les dégâts potentiels de cette intrusion pourraient être plus importants que ce que l’on avait imaginé.
Entre le 17 et le 19 avril, des pirates informatiques ont eu accès aux coulisses du PSN. Ignorons un instant que cela implique que le réseau de Sony a été piraté et que le piratage est passé inaperçu pendant trois jours. C’est là que les choses deviennent beaucoup plus sérieuses.
Le fait qu’un grand pourcentage d’utilisateurs utilisent le même identifiant et le même mot de passe pour un grand nombre (voire la totalité) des services en ligne dont ils sont utilisateurs – tout le monde sait qu’il est perforé, mais il l’est toujours – rend la situation déjà assez délicate. Il suffirait de créer un script qui enregistre les noms d’utilisateur et tente de saisir les e-mails utilisés dans la connexion PSN avec le mot de passe du service.
Par exemple : dites que votre identifiant PSN est et que votre mot de passe est 12345. Il serait relativement facile de créer un script qui se connecterait à Hotmail en utilisant ce courriel comme identifiant et le même mot de passe que vous avez utilisé sur PSN.
Grâce à cette méthode, je pense que les pirates informatiques auraient accès à environ 90 % des courriels utilisés comme connexion PSN. Le plus effrayant, c’est que cela se produit peut-être déjà. C’est déjà le cas.
Vous n’êtes pas obligé de vous limiter aux e-mails, d’ailleurs. Vous êtes John Doe, vous avez un compte chez PSN et Paypal, et vous utilisez le même identifiant et le même mot de passe sur les deux ? Votre compte Paypal (ou eBay, ou Twitter, ou WordPress, ou autre) est sujet à une invasion en ce moment. Il suffit de pointer les scripts vers d’autres sites importants, car ce n’est pas seulement le courrier électronique qui a été exposé aux pirates.
Sony a tenté de remédier à la situation en disant que “pour l’instant, il n’y a pas de preuve de cela”, mais a laissé ouverte la possibilité que les informations de leur carte de crédit soient entre les mains des envahisseurs. Ceux qui se soucient de leur propre sécurité savent qu’il est préférable d’affronter la situation en ayant à l’esprit le pire des scénarios possibles. Dans ce cas, les intrus du PSN ont votre login, votre mot de passe, votre e-mail, votre et votre carte de crédit.
Pour aggraver les choses, nous n’étions pas officiellement au courant avant hier. L’invasion a eu lieu sur trois jours, il y a plus d’une semaine. Les pirates avaient des informations extrêmement détaillées sur des millions d’utilisateurs, mais il a fallu tout ce temps à Sony pour nous alerter à ce sujet.
Bien entendu, la société a présenté ses excuses pour ce retard. Il a fallu une “analyse médico-légale” pour savoir exactement ce qui s’est passé. Une telle enquête a pris du temps pour révéler que nos informations personnelles avaient fait l’objet d’une fuite.
Il s’avère que, pour un consommateur blessé, les excuses ne suffisent pas. Si le gardien de quartier dort pendant son travail et que, par conséquent, votre voiture est volée, il vous explique qu’il a trois emplois et qu’il dort peu et ne ramène pas sa voiture, ni ne reprend confiance dans le service qu’il offre.
À mon avis, la simple nécessité de présenter ce genre d’excuses témoigne de l’incapacité de Sony à s’engager envers le consommateur ? la sécurité de nos données. L’excuse ne résout rien et nous rappelle simplement que Sony a encore une fois marché sur la balle.
J’ai une expérience personnelle de piratage de compte PSN que j’ai rapportée ici à TB. Pour faire court : mon compte PSN a été piraté et ma carte de crédit a été utilisée sans mon consentement dans le magasin du réseau. Non seulement Sony a refusé d’offrir son aide, mais ils sont allés plus loin en disant que si je contactais mon opérateur de carte pour récupérer l’argent volé, mon compte serait interdit.
Pourquoi ? Pour des “raisons de sécurité”. Il est intéressant de noter que le fait de les informer que mon compte a été piraté n’entraîne pas suffisamment de problèmes de “sécurité” pour qu’ils décident d’interdire mon dossier. C’est comme si la tentative de récupérer l’argent volé avait abouti à une expulsion.
Heureusement, Visa est conscient de cette philosophie de Sony (en d’autres termes : punir le client blessé) et fait souvent face à cette situation effrayante. Ainsi, la politique de l’opérateur est simplement de rembourser l’argent volé – en restant à perte – sans entamer un litige avec Sony.
C’est un festival du désordre. PSN a été piraté en 2008, a payé ce carton l’année dernière avec le bug du 28 février, punit les victimes de fraude qui tentent de récupérer l’argent perdu avec le bannissement, et maintenant celui-ci de plus.
Et tout cela soi-disant parce qu’un groupe de hackers n’est pas très heureux de la façon dont Sony a décidé de réagir contre George Hotz, plus connu sous le nom de Geohot, qui était responsable de la panne du système PS3. Beaucoup ont pensé que la réaction de Sony – traduire le hacker en justice pour tenter de le ruiner financièrement et en faire un exemple pour les autres “transgresseurs” – était analogue à celle d’un frelon qui se prend la tête, et d’ailleurs la comparaison était juste.
Dylan Cuthbert, concepteur et programmeur des Q-Games, a exprimé sa colère contre les envahisseurs du service sur Twitter et a ajouté que ces actions “font mal paraître les pirates eux-mêmes sur la bande, pas Sony.
Je ne suis pas d’accord. Si l’on laisse de côté l’illégalité évidente de l’attitude des envahisseurs (ne pensez à aucun moment que je soutiens l’invasion), la leçon importante à retenir ici est que ? encore ? Sony semble mal préparé à faire face à des attaques de cette nature. Ce n’est pas la première fois, probablement pas la dernière, et l’aide (ou l’absence d’aide) qu’elle apporte aux utilisateurs concernés est pour le moins inquiétante de la part d’une entreprise à laquelle vous faites confiance avec vos informations personnelles et votre numéro de carte de crédit.
Et on ne peut s’empêcher de remarquer que, jusqu’à présent, tout indique que l’offensive criminelle contre Sony est le résultat direct de son attitude litigieuse (presque intimidante, diront certains) à l’égard des joueurs qui utilisent l’appareil. Si Sony avait essayé de s’engager de manière productive avec la communauté des hackers – au lieu de se juger assez grand pour les écraser au tribunal – il est possible que vous jouiez à Call of Duty en ligne en ce moment, au lieu de lire un texte sur l’invasion du PSN dans l’espoir de comprendre ce qui se passe.
Qui se souvient du gâchis impliquant Gawker Media ? Essentiellement, le conglomérat de blogs a provoqué des pirates informatiques et s’est retrouvé dans une situation similaire d’invasion d’utilisateurs et de fuite de données. D’ailleurs, apprendre des erreurs des autres est quelque chose d’inaccessible pour ceux qui n’ont même pas commencé à apprendre de leurs propres erreurs, comme cela semble être le cas avec Sony.
Il est intéressant de noter que le dernier paragraphe de mon texte sur ApocaliPS3 spéculait sur le moment où la prochaine compagnie ferait son apparition et sur les conséquences qui en découleraient. Dans ma chronique sur la façon dont j’ai été traité par Sony lorsque mon compte a été piraté, j’ai donné l’indication qu’il vaut mieux envoyer la commodité aux haricots et adopter la pratique de saisir et de supprimer manuellement les données de votre carte de crédit après chaque achat. Vous ne pouvez pas dire que je ne vous ai pas prévenu.
