Le PSN Gate : C’est le dernier scandale en date mettant en scène l’entreprise Sony et un groupe ou une personne inconnue ayant réussi à pirater les 77 000 000 de comptes affiliés au magasin de jeux vidéos et de musique en ligne de la marque : Le Playstation Network et Qriocity. C’est certainement le plus gros piratage de données personnelles de l’histoire. Vous ne pouvez pas l’avoir raté, et vous n’avez pas fini d’en entendre parler.
Ce qui a été volé :
"Sony divulgue alors la nature des données sur ses utilisateurs dont elle sait avec certitude qu’elles ont été volées : le nom, l’adresse (code postal, ville, état), le pays, l’adresse email, la date de naissance, l’identifiant et le mot de passe du compte PSN/Qriocity, et le pseudonyme PSN. Il faut souligner ici que ces données sont largement suffisantes pour usurper une identité aux États-Unis, qui sont rongés par ce problème (en 2003, les pertes causées par le vol d’identité ont été estimées à 52,6 milliards de dollars, et près de 10 millions d’Américains en ont été victimes cette même année).
Elle ajoute qu’elle ne peut garantir que d’autres données n’ont pas été volées : le profil, l’historique des achats, l’adresse de facturation, et la réponse à la question de sécurité. Si les utilisateurs ont ajouté un sous-compte au leur (conjoint, enfants), ces données sont également susceptibles d’être compromises. Enfin, et surtout, Sony indique ne pas être en mesure de pouvoir garantir que les numéros de carte bancaire de ses utilisateurs ont été préservés, bien qu’elle ajoute n’avoir trouvé aucun élément permettant de penser qu’ils aient été compromis. « Par excès de prudence, nous devons vous indiquer que votre numéro de carte bancaire (hormis son code de sécurité) et sa date d’expiration ont pu être obtenus », précise-t-elle. L’intégralité des 77 millions de comptes PSN, répartis dans 59 pays, est susceptible d’avoir été touchée." (source : http://www.macgeneration.com/unes/voir/129492/psn-sony-fait-77-millions-de-victimes)
Historique des évènements concernant la guerre Sony / Hackers
Novembre 2006 : Sony sort sa PS3 pour la première fois au public au Japon. Saluée par la critique, attendue par les fans, la playstation est tout de suite confrontée à la Wii qui fait un énorme carton, et la Xbox 360 est déjà sur le marché depuis un an.
A cette époque (pas si lointaine) une autre guerre fait rage entre Sony et Microsoft pour imposer le Blu-ray ou le HD-DVD, de son coté Apple milite pour le tout dématérialisé et ne supporte aucun des deux formats.
Le service technique de Sony rassure tous les éditeurs de jeux vidéos en annonçant que sa console est extrêmement sécurisée, et que la pirater sera donc très difficile et le service marketing de chez Sony sait que la PS3 finira par marcher connaissant leurs catalogues et la communauté de fans de la console. Ils ont quand même la bonne idée de mettre en avant un argument de vente original : la fonction "OtherOS" qui donne la possibilité d’installer un système d’exploitation sur le disque dur. (en l’occurrence Linux). Cet argument n’a bien sûr pas touché la majorité des clients PS3, c’était plutôt adressé aux "geeks" prêts à mettre la main à la pâte pour concevoir et diffuser une version de Linux compatible. L’idée était d’avoir une console / lecteur bluray / ordinateur pour un prix raisonnable.
Aout 2007 : Geohot, un jeune adolescent surdoué du hacking réussi à "jailbreaker" l’iphone, c’est à dire qu’il débloque la limitation d’Apple pour que leur téléphone ne fonctionne qu’avec le réseau AT&T avec qui ils ont un contrat d’exclusivité. Premier hack grand public et appréciée par la communauté internationale. Il est invité sur les plateaux de TV, tout le monde est touché par ce petit génie de 18 ans. Apple ne sait pas comment réagir, cette situation n’est au départ pas idéale, mais ça lui fait finalement une jolie publicité et lui ouvre un marché sans avoir à briser le contrat avec AT&T. Le jailbreak n’est officiellement pas autorisé par la loi, cependant Apple n’a jamais lancé de procès. La marque se contente de le rendre difficile puisque qu’il faut tout recommencer à chaque mise a jour du logiciel du téléphone. Geohot ne demande pas d’argent pour son programme, un système de dons est mis en place pour le soutenir.
Novembre 2009 : La protection de la console de Sony n’a toujours pas craqué (en tout cas publiquement). Sony sort la playstation 3 slim, plus petite, moins chère, elle a pour but de relancer les ventes qui s’affaissent. Seulement la petite nouvelle de Sony a couté très cher et la marque ne gagne pas d’argent en la vendant 299€, ils sont cependant obligés de faire avec parce que la wii se vend toujours très bien, et elle ne coute que 150€... ils misent donc tout sur la vente de jeux, et suppriment la fonction "OtherOS" de cette nouvelle petite console, elle reste active sur le premier modèle de PS3.
Janvier 2010 : Geohot, le petit génie annonce qu’il a réussi à hacker la PS3, il réussi l’exploit en 5 semaines, ce que personne n’a encore réussi a faire, grâce à la fonction "OtherOS".
Avril 2010 : Sony sort une mise à jour du systeme d’exploitation de sa console qui supprime la fonction "OtherOS" qui permettait d’installer Linux sur la première PS3. La version de Sony est que cela pose des problèmes de sécurités sur la console. Une class Action (recours collectif) est lancée aux USA contre Sony pour publicité mensongère (c’était un argument de vente au départ). Une semaine après la mise à jour, Geohot encore annonce qu’il a réussi à programmer une version du logiciel officiel de Sony remettant la possibilité d’utiliser "OtherOS", mais il ne la sort finalement pas.
Juillet 2010 : L’EFF (Electronic Founder Foundation), fondation internationale de protection des libertés, gagne 3 exemptions à la loi sur le droit d’auteur du Digital Millenium Copyright Act, dont une concernant le jailbreak de l’iphone. Il est maintenant autorisé aux utilisateurs d’iphone aux USA de télécharger une application non validée par l’Apple store qui impose des conditions contraignantes et touchant même à la censure. Les logiciels visant à pirater ou obtenir des applications gratuitement restent cependant interdites. La tournure que prend les évènements ne fait plus vraiment plaisir à Apple qui n’a plus le monopole de vente de logiciel sur sa propre machine. Sony voit ça de loin, mais d’un mauvais oeil.
Aout 2010 : La société OzMod publie une vidéo montrant le premier hack publique de PS3, et ils vont commercialiser une clé à brancher sur la console permettant de faire une sauvegarde de ses jeux sur disque dur (dans le cas où le CD se raye) mais évidemment, les esprits malintentionnés peuvent aussi faire une copie des jeux de leurs amis... Sony réagi immédiatement en indiquant qu’ils seraient capables de détecter en ligne les consoles débloquées et qu’elles seraient bannies, obligeant leurs possesseurs à en racheter une pour pouvoir de nouveau jouer en réseau. Sony réussi a faire interdire la commercialisation de la clé.
Décembre 2010 : Un groupe de hacker annonce FailOverFlow, un hack définitif de la PS3 qui décrypte toutes les clés de protections de Sony, et surtout redonne la possibilité d’utiliser "OtherOS" donc d’installer un autre systeme d’exploitation.
Janvier 2011 : Après s’être retiré de la scène pour un (tres) court instant, Geohot annonce un nouvel exploit, il a réussi à obtenir la "root key" de la playstation grace au hack de FailOverFlow. Cela permet d’en modifier intégralement son contenu, il publie cette clé sur son site. Le lendemain il propose une version complètement modifiée de la playstation permettant d’afficher le simple message "Hello world" bien connu des programmateurs comme étant la preuve qu’il a pu modifier le code original de la console.
Il trouve enfin une semaine plus tard, La Master Key qu’il publie encore, cette clé permet de faire signer n’importe quelle application comme étant une officielle de Sony. Il annonce par la même occasion qu’il n’en fait aucun usage commercial (il ne l’a jamais fait d’ailleur avec aucun de ses hacks, de même pour FailOverFlow) et qu’il est prêt à venir travailler pour Sony.
Sony réagit immédiatement en lançant un procès à toute une liste de hacker, comprenant Geohot et FailOverflow.
Février 2011 : Sony demande à Google et Twitter de leurs fournir les adresses IP (donnant accès a l’adresse postale, et au nom) des personnes ayant commentées les vidéos concernant le hack de la PS3 sur youtube. Tollé général de la communauté des hackers du monde entier et impopularité évidente de la marque auprès du grand public. Ne pouvant plus rien faire pour empecher physiquement le hack, ils menacent ensuite tous leurs clients d’être bannis du réseau Playstation Network et Qriocity s’ils sont découverts. Réponse immédiate de la communauté de hacker par un nouveau programme qui permet de contourner cette interdiction.
Mars 2011 : Sony réussi à obtenir grace à l’injonction d’un juge toutes les adresses IP des personnes ayant visité le site de Geohot concernant la PS3, puis il obtient par le système de paiement en ligne paypal les adresses IP des personnes ayant fait un don à Geohot. Ce dernier est en Amérique du sud en vacances, Sony l’accuse de fuir le procès, il répond sur internet qu’il fini ses vacances prévus et payées bien avant l’histoire du jailbreak (en novembre 2010) et qu’il est en contact avec ses avocats tous les jours, ne se sentant pas du tout fugitif.
Avril 2011 : Sony sentant certainement que l’affaire tourne vraiment au vinaigre pour leur image, propose un accord à l’amiable avec Geohot, l’accord est resté secret, mais les poursuites sont annulées.
Quelques semaines plus tard, le PSN Gate arrive, Sony est "victime" d’un hack. En fait il y a déjà un fait alarmant, c’est que Sony n’à pas respecté les consignes de sécurités internationales relatives à la protection des données privées. Il est bien connu de la part des administrateurs de réseaux d’entreprise (surtout les plus grosses) que le mot de passe d’un compte ne doit jamais se trouver au même endroit et de manière non cryptée que les autres informations. Or Sony annonce elle même que ce mot de passe à pu être obtenu. Une très grande majorité des internautes utilise le même mot de passe pour tous ses comptes. Combien parmi vous utilisent le même pour se connecter à sa boite mail, son compte facebook, son compte paypal, etc... ? Ce fait est extrêmement grave car il est possible que Sony elle-même ait eu accès à ce mot de passe. Et maintenant ces 77 000 000 de mots de passe sont disponibles à une personne ou une organisation inconnue.
Mon point de vue :
Il est bien trop tôt pour prendre une position et affirmer que c’est la communauté des hackers qui est coupable de ce fait. Cela dit, il reste des questions importantes à se poser qui me font penser que c’est bien eux, mais dans une intention pacifique et politique, pas commerciale comme le laisse suggérer la majorité des médias :
Un hack de cette envergure demande une connaissance parfaite du système de sécurité ou du moyen de le contourner, qui a pu le faire ? une personne seule ou une organisation ? si c’est une organisation, il est possible que ce hack soit financé, par qui ? par quel pays ? dans quel but ?
J’aurai tendance à penser que c’est l’oeuvre d’un ou de plusieurs hackeurs revanchards mais non dangereux, pour plusieurs raisons :
– Le hack est souvent un geste politique, il est très rare qu’un hack soit commercialisé, ceux qui ont essayé se sont vite confrontés à la loi, mais surtout à la concurrence de la gratuité. Ils fonctionnent en général sur le système de dons (comme Geohot, ou Failoverflow). Cela peut représenter des sommes énormes (aucun chiffre officiel) mais la majorité des gens ne payent pas.
– Sony à complètement dépassé les limites de la protection de la vie privée en demandant les adresses IP. La communauté internationale de hacker à mis plusieurs fois en garde la société contre sa politique de chasse aux sorcières. Je m’attendais à une réponse d’un jour à l’autre.
– Pour connaître quelques hackers, et en étant un moi-même (à un très faible niveau), lorsqu’un hack malfaisant se produit, il est fait par une ou des personnes très habiles qui connaissent tous les protocoles de sécurités et savent être invisibles lorsqu’ils font des actions de manière intentionnellement malveillante. Sinon, ils ne le font pas.
Une véritable organisation aurait réussi à prendre ces informations sans se faire voir, et même si Sony l’avait vu, ils auraient pu étouffer l’affaire. Après tout il n’y a pas véritablement de risque de données bancaires volées, il manque le code de sécurité à 3 chiffre derrière la carte qui ne peut pas être conservé par Sony. Donc le fait que ce soit rendu public aussi rapidement de la part de Sony, montre que les responsables l’ont fait dans l’intention de se faire voir, sinon ils n’auraient même pas essayés. Sony sait que s’ils étouffent l’affaire, ces hackers vont rendre public leurs faits. C’est beaucoup plus lucratif pour un hacker de se concentrer sur les cartes de crédits que sur 77 000 000 de comptes playstation, sans avoir le code de sécurité. Cela ressemble donc plus à un défi ou à un acte politique comme l’ont toujours revendiqués la majorité des hackers "pacifistes’" et activistes.
– Si c’est un acte politique comme je le pense, alors ces données ont été détruites peu de temps après. Evidemment certains esprits malfaisants vont surfer sur le scandale et laisser des traces pouvant faire croire à un lien avec cette affaire, mais pour ma part, je n’y croirai pas. Ce serait beaucoup trop évident et tout le monde est à l’affut dans le monde de la sécurité banquaire.
Finalement, ce dont j’ai peur, si effectivement c’est bien un groupe de hacker, c’est que Sony en sorte gagnant dans cette bataille, parce qu’ils ont maintenant une certaine légitimité dans leur démarche ultra sécuritaire et contre la protection de la vie privée. Ils se font passer pour des victimes, même si les données n’étaient pas protégées correctement de leur côté. Pour la prochaine playstation, ils auront tout de même plus de raisons d’imposer un système encore plus contrôlé. J’espère qu’ils auront compris la leçon et qu’on ne se bat pas contre ses propres clients. Les programmateurs de Sony ont beaux être très bons, ils ne le seront jamais autant que des équipes de passionnés dont la motivation première est politique.
Pierre-Victor Bainier