Billets publiés le 28 avril 2011

Le 19 avril dernier, Sony a découvert qu’une intrusion avait eu lieu sur ses serveurs, et que la nature confidentielle de l’information de certains comptes du PlayStation Network (PSN) et du service Qriocity a été compromise. À la suite de cette découverte, Sony a fermé temporairement les services PSN et Qriocity et a mandaté une firme externe spécialisée en sécurité pour mener une enquête afin de connaître l’origine du problème et comprendre ce qui s’est passé.

Par conséquent, depuis plus d’une semaine, le réseau PSN est hors ligne. Il a été impossible de profiter du long congé pascal pour essayer le mode coopératif de Portal 2 ou s’affronter en ligne à Mortal Kombat, deux importants jeux arrivés en magasin cette semaine.

PlayStation Blog

Un seul sujet est prédominant sur PlayStation Blog ces jours-ci…

Six jours sont passés sans que Sony soit en mesure de donner l’état de la situation, suscitant la grogne du sénateur américain Richard Blumenthal. Il a envoyé une lettre ouverte à Jack Tretton, le président de Sony Computer Entertainment of America, afin de lui demander des explications. Au même moment, Sony a publié un billet sur son blogue répondant à certaines des interrogations soulevées par le sénateur. Difficile de savoir si la lettre en question a été transmise au préalable et s’il s’agit bel et bien d’une réaction de la part de Sony. Quoi qu’il en soit, voici un extrait du communiqué résumant l’état de la situation :

Bien que nous enquêtons toujours sur les détails de l’incident, nous croyons qu’une personne non autorisée a eu accès aux informations que vous nous avez transmises : nom, adresse (ville, province, code postal), pays, courriel, date de naissance, noms d’usager et mots de passe du PlayStation Network et des services Qriocity, et votre identifiant PSN. Il est aussi possible que vos informations de profil aient été touchées, incluant l’historique de vos achats et l’adresse de facturation (ville, province, code postal) ainsi que la réponse à la question de sécurité pour récupérer votre mot de passe. Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous nous avez fourni vos données bancaires, il est possible que le numéro de votre carte de crédit (excluant le code de sécurité) et sa date d’expiration soient aussi concernés. Bien qu’il n’y ait pas de preuve que les données de cartes de crédit ont été récupérées, nous ne pouvons exclure cette possibilité.

Patrick Seybold, directeur des communications corporatives et des médias sociaux pour Sony

Avec autant d’informations entre leurs mains, les pirates ont aujourd’hui tout le nécessaire pour usurper l’identité de Sony aux yeux des membres PSN afin de leur soutirer encore plus d’informations, ou simplement confirmer la validité des informations obtenues par des moyens pernicieux. Si vous êtes membre PSN, soyez vigilant. Vérifiez le statut de votre compte bancaire et n’hésitez pas à demander à votre banque de vous émettre une nouvelle carte de crédit. Malgré qu’il soit très difficile pour les pirates d’effectuer des achats sans le code de sécurité, la prudence est de mise.

46 DC EA D3 17 FE 45 D8 09 23 EB 97 E4 95 64 10 D4 CD B2 C2

Le 3 janvier dernier, George Hotz a diffusé sur son site web la clé maîtresse de la PlayStation 3. Cette clé est la signature exigée par la console afin de considérer un logiciel comme étant valide et approuvé par Sony. Le dévoilement de cette clé est la pire chose qu’il pouvait arriver à Sony, puisqu’il est impossible de remplacer cette signature par le biais d’une mise à jour : cela rendrait tous les jeux PS3 obsolètes, puisque l’ancienne signature serait non reconnue.

Drapeau de la PS3

Quand une clé devient un drapeau…

Hotz a poussé la note lorsqu’il a distribué le nécessaire à trafiquer la plus récente version du micrologiciel (firmware) de l’époque en une version personnalisée, permettant l’exécution de code téléchargé sur la console par le biais d’une clé USB. Cependant, il a volontairement bloqué l’accès à la zone Level 2, permettant la communication avec des fonctions de haut niveau nécessaires au fonctionnement de jeux PS3. Autrement dit, la console ne pouvait qu’exécuter des logiciels « homebrew » (des émulateurs par exemple) compilés spécialement pour celle-ci.

Malgré cette précaution, d’autres pirates sont parvenus à gagner l’accès à la zone Level 2, et des logiciels permettant l’exécution et l’installation intégrale de jeux sur la console ont vu le jour. Sony a alors poursuivi George Hotz en justice pour avoir violé le Digital Millennium Copyright Act (DMCA), une loi américaine visant à protéger la propriété intellectuelle à l’ère du numérique.

Anonymous à la rescousse

Quelques semaines après le dépôt de la poursuite contre George Hotz, le collectif de pirates se présentant sous le nom d’Anonymous a envoyé un communiqué destiné aux dirigeants de Sony. Le groupe exprime sont mécontentement face à l’attitude contrôlante de Sony à l’égard de ses utilisateurs et décrit clairement ses intentions : Anonymous prendra possession de tous les sites et noms de domaine sous la gouverne de Sony.

Chose promise, chose due. Il parvient à mettre à mal la totalité des services en ligne de Sony, y compris le PlayStation Network. Anonymous va néanmoins admettre que l’attaque contre le réseau PSN était une erreur, puisque l’intention de départ était de faire bénéficier les utilisateurs, et non pas les empêcher de profiter du jeu en ligne.

Le réseau PSN revient alors en ligne, mais seulement pour une courte durée. Nous nous retrouvons alors face à la situation actuelle, où Sony décide elle-même de fermer son réseau pour une durée indéterminée. Impossible de savoir si l’intrusion en question est l’acte d’Anonymous, puisque la structure du collectif en question est anarchique.

Épilogue

Pour l’instant, Sony nous promet que la mise en ligne de ses services devrait se faire d’ici un peu moins d’une semaine. La compagnie se défend d’avoir tardé à alerter ses utilisateurs de la gravité de la situation, puisqu’elle n’a pas été en mesure de savoir si la confidentialité de leurs renseignements personnels avait été compromise sur le coup.

Chose certaine, Sony ne se sortira pas indemne de toute cette histoire. La compagnie est chanceuse que le piratage de sa console ne semble pas avoir gagné en popularité et d’avoir conclu une entente à l’amiable avec George Hotz. Reste à voir si ses utilisateurs seront conciliants quand viendra le moment de choisir entre Sony et sa concurrence dans un avenir rapproché.