"PlaystationGate" : Sony confirme la perte de millions de données bancaires

Mise à jour : Nous avons contacté Sony Computer Entertertainment afin d'éclaircir la situation. Toutes les données bancaires sont cryptées. Néanmoins, les pirates ont pu y avoir accès. Seuls les cryptogrammes n'ont pas été dérobés, comme annoncé. Gregory Delfosse, attaché de presse de SCE, explique qu'à l'heure actuelle, les pirates possèdent en clair les quatre derniers chiffres des cartes bancaires, lesquels apparaissent sur l'historique des factures. Les cryptogrammes n'ayant pas été volés, on peut émettre l'hypothèse que c'est un plaisantin qui se cache derrière ce hack du PSN. Ajoutons qu'il existe 4,7 millions de comptes PSN en France et 900 000 cartes bancaires enregistrées dessus.

Actualité originale du 28/04/11 15h00

De l’aveu de Sony, le PlayStation Network et Qriocity ont bien été piratés par des hackers la semaine dernière. Les 77 millions de comptes qu’il comprend sont susceptibles d’être compromis. Données personnelles et bancaires ne sont pas en sécurité.

La principale inquiétude est que ce piratage de masse n’a pas été bien compliqué pour ses protagonistes, les données incriminées n’étant soumises à aucun cryptage. Dès lors, elles sont revendables rapidement, en l’état.

Selon Sony, ces dernières concernent les nom, adresse (ville, pays, code postal) de facturation et de livraison, adresse email, date de naissance, mot de passe et login PlayStation Network/Qriocity, identifiant de joueur en ligne et la question secrète pour mot de passe perdu.

Les cartes bancaires mises à nue

Outre ces données personnelles, les informations de carte bancaire inscrites sur le PSN ou Qriocity sont également visées, ce qui, bien entendu, est encore plus préoccupant. SCE (Sony Computer Entertainment) précise que seuls les numéros de carte bancaire et date d’expiration ont pu être dérobés. Il ne reste donc que le cryptogramme à trois chiffre afin qu’un paiement en ligne ou à distance soit possible.

Avec les informations dont disposent déjà les hackers, il suffit de trouver la bonne combinaison dans les 1000 qu’offre le cryptogramme de carte bancaire. Contacté par nos soins le Crédit Mutuel affirme qu’un « cryptogramme peut être entré autant de fois que voulu lors d’un paiement sur Internet. Même s’il est erroné, l’opération recommencera sans jamais se bloquer ou bloquer la carte. Seul le code de la carte est soumis à la règle des trois erreurs. » Dès lors, on est en droit de penser que les hackers pourront aisément mettre en place une routine essayant les 1000 combinaisons pour trouver les cryptogrammes ayant trait aux données bancaires dérobées sur le PSN/Qriocity. Ajoutons que l’éditeur de logiciels de sécurité GData a mis en ligne la liste des prix auxquels pourraient être négociées les données volées sur le PSN/Qriocity.

Un expert conseille de faire opposition

En l’état, l’affaire devient véritablement dangereuse. À ce sujet, Graham Cluley, expert de la société de sécurité informatique Sophos conseille aux utilisateurs du PSN/Qriocity de faire opposition sur leur carte de paiement utilisée sur ces services, même si la certitude de piratage n’est pas complète : « Si un ami ayant emprunté ma carte bleue me disait qu'il l'a peut-être perdue, je la bloquerais. Si je perdais ma carte dans un taxi, je la bloquerais. Sans attendre de voir une éventuelle transaction frauduleuse apparaître », ajoute-t-il.

Graham Cluley ajoute que les opérations frauduleuses n’auront probablement pas lieu dans les jours à venir, mais plutôt lorsque la vigilance sera retombée. Outre ces éventuels dommages bancaires, il est également prudent de changer les mots de passe et login similaires à ceux de son/ses compte(s) PSN/Qriocity. Autant ne pas donner en pâture aux hackers des comptes Internet possédant les mêmes coordonnées.

À l’heure actuelle, Sony a simplement annoncé que le PSN sera de nouveau disponible dans une semaine. Avec cette réouverture, la firme japonaise devrait également annoncer les mesures qu’elle prendra afin de sécuriser les données, mais aussi les éventuels dédommagements proposés aux utilisateurs concernés.

Déjà un procès contre SCE

Un utilisateur américain n’a d’ailleurs pas attendu de réaction de Sony pour porter plainte. Kristopher Johns, 36 ans et habitant en Alabama, reproche à SCE de ne pas avoir « protégé, crypté et sécurisé des données privées et sensibles. » En outre, il accuse aussi la société nipponne de ne pas avoir révélé l’affaire assez tôt, empêchant de nombreux utilisateurs de « prendre une décision éclairée quant à savoir s'ils devaient changer de carte de crédit, fermer les comptes exposés, vérifier leurs comptes ou prendre toute autre mesure préventive. » Pour tous ces torts, il réclame des dommages, la prise en charge de la surveillance de sa carte bancaire ainsi que le développement de sa plainte en class action. Dès lors, Sony aurait à faire à beaucoup d’utilisateurs. Cette histoire pourrait bien coûter quelques plumes au géant japonais.