Piratage du PlayStation Network ou comment 77 millions de joueurs ont vu leurs informations fuiter

En 2007, la Playstation 3 sort en Europe, cette console, présentée comme le futur du jeu vidéo, incorpore de nombreuses nouveautés comme son processeur CELL, son lecteur BLU-RAY mais également un service en ligne nommé PlayStation Network, ou PSN.

En avril 2011, on ne décompte pas moins de 50 millions de consoles PS3 vendues à travers le monde, et 77 millions de comptes PSN créés sur ces consoles.

Ce service en ligne permettait de jouer en ligne, mais aussi de discuter et de profiter de services comme le streaming vidéo ou audio.

Mais, en avril 2011, le 20 avril exactement, PlayStation est forcée de désactiver ses serveurs et donc de fermer son service en ligne temporairement, à cause d’une cyberattaque qui s’est déroulée du 17 au 19 avril.

Les précédents du piratage du PlayStation Network

Avant de vous expliquer cette panne et ce piratage, il est important de savoir que les serveurs de Sony n’en sont pas à leurs premiers piratages et attaques.

Mai 2009, un logiciel nommé Open Remote Play permettait d’utiliser les fonctionnalités de la PlayStation 3 depuis un ordinateur via la fonction de lecture à distance, alors que cela n’est officiellement pas possible.

Mars 2010, Sony a dû mettre à jour son système d’exploitation car des hackers ont réussi à mettre Linux sur la console.

Décembre 2010 est apparue une nouvelle faille dans la sécurité de la PS3 au niveau des clés de signature des applications. Des hackers, portant le nom de Fail0verFlow, ont découvert dans le calcul des applications qu’un nombre m, normalement aléatoire, était utilisé de manière constante. Dans ces conditions, il a suffi à cette équipe de hackeurs de mettre au point un algorithme permettant de remonter à la source et de découvrir les clés. Grâce à ces clés publiques et privées, les hackers ont pu remplacer la liste de révocation (lorsqu’une clef est publique, on la révoque pour ne plus être utilisée) par une nouvelle liste dépassant la taille normale et provoquer un OverFlow (dépassement de tampon) durant le lancement de la console au niveau de la NOR Flash, permettant ainsi un accès complet au système de la PS3.

Le 2 janvier 2011, un hacker, nommé George Hotz, a réussi à jailbreaker, ou débrider un OS en installant des applications tierces non approuvées, le lendemain, George Hotz commence à distribuer le jailbreak sur son site.

Le 11 janvier 2011, à la suite de cette distribution, Sony décide de porter plainte contre George Hotz. Début avril, le groupe Anonymous attaque les serveurs de Sony pour protester contre cette plainte. Le 11 avril 2011, il a été révélé que Hotz et Sony étaient parvenus à un règlement à l’amiable. Cela comprenait une injonction permanente contre Hotz pour tout travail de piratage sur tous les produits.

Entre le 17 et 19 avril de cette même année, le PlayStation Network subit une attaque inédite, une intrusion externe qui va engendrer de gros problèmes. 

La panne et le mutisme de Sony

L’intrusion externe, qui s’est déroulée entre le 17 et 19 avril 2011, a entraîné une panne du PSN. En effet, les utilisateurs voulant se connecter au service en ligne sur la PS3 recevaient un message d’alerte indiquant « en cours de maintenance ». À cette date du 20 avril, les joueurs n’étaient pas au courant que les serveurs de Sony ont été attaqués. Sony a communiqué, via le blog officiel PlayStation, qu’ils étaient « conscients que certaines fonctionnalités du PlayStation Network » étaient en panne.

Le 21 avril 2011, Sony a demandé aux joueurs d’être patient et que les fonctionnalités en ligne reviendraient d’ici 2 à 3 jours, et affirme qu’aucune donnée n’a fuité, bancaire ou non.

Cependant, le 26 avril qui suit, une semaine après la fermeture des serveurs, Sony se contredit et confirme qu’il « n’exclut pas une possible » fuite de données potentielle. Sony a reconnu la « compromission des informations personnelles à la suite d’une intrusion illégale dans nos systèmes ». Cette fuite comprenant :

• Le nom d’utilisateur
• Le mot de passe
• L’adresse mail
• L’adresse postale
• Certaines données de carte de crédit

Le 1^er mai 2011, les serveurs ne sont toujours pas de retour, mais Sony annonce le programme « Welcome Back » annonçant que des services allaient revenir la semaine qui suit celle du 1^er mai.

Communiqué officiel et révélations liés au piratage du PlayStation Network

Le 2 mai 2011, Sony décide enfin, après deux semaines de fermeture des serveurs, de faire un communiqué de presse officiel annonçant que les serveurs en ligne ont été mis hors ligne pour maintenance en raison d’activités potentiellement liées au piratage criminel.

Sony indique également que plus de 12 000 numéros de cartes de crédit non américaines cryptés ainsi que 24.7 millions de comptes ont pu être consultés et récupérés par les hackers.

Au cours de la semaine, Sony a envoyé une lettre à la Chambre des représentants des États-Unis, répondant aux questions et aux préoccupations concernant l’événement. Dans la lettre, Sony a annoncé qu’il fournirait des polices d’assurance contre le vol d’identité d’un montant de 1 million de dollars par utilisateur des services du PlayStation Network, bien qu’aucun rapport de fraude par carte de crédit n’ait été signalé.

Le 4 mai 2011, Sony reconnaît avoir été au courant de la sensibilité du PlayStation Network et de n’y avoir prêté aucune réelle attention. Shinji Hasejima explique que « la vulnérabilité du réseau était connue, une des plus connues au monde. Mais Sony n’y était pas assez sensible… n’en était pas convaincu. Nous essayons maintenant de l’améliorer ». Le professeur Gene Spafford, de l’université Purdue, révèle que Sony utilisait des versions obsolètes de logiciels et que ses serveurs n’étaient pas protégés par un pare-feu. Sony dément totalement ces accusations.

Les experts en sécurité Eugene Lapidous d’AnchorFree, Chester Wisniewski de Sophos Canada et Avner Levin de l’Université Ryerson ont vivement critiqué Sony, ils remettent en question les méthodes de sécurisation des données des utilisateurs. Eugene Lapidous a qualifié la cyberattaque de « difficile à excuser » et Chester Wisniewski l’a qualifiée d' »acte d’orgueil ou simplement d’incompétence flagrante ».

Il est important de vérifier la vulnérabilité d’un système d’information, pour cela, il est recommandé de faire des tests d’intrusion de l’entièreté du système pour détecter les failles avant qu’il ne soit trop tard.

La ré-ouverture des serveurs, 23 jours plus tard

Le 6 mai 2011, les serveurs ne sont toujours pas opérationnels, mais Sony déclare avoir commencé les « étapes finales des tests internes » pour le PlayStation Network, qui avait été reconstruit.

L’agence de presse britannique, Reuters, titre cette attaque comme « la plus grande effraction de sécurité informatique jamais réalisée ».

Un porte-parole de Sony a déclaré que :

• Sony avait supprimé les données personnelles volées de 2 500 personnes
• Les données comprenaient des noms et certaines adresses
• Aucune date n’avait été fixée pour le redémarrage

Le 14 mai, divers services ont commencé à revenir en ligne pays par pays, en commençant par les États-Unis. Ces services comprenaient :

• La connexion aux services PSN (avec l’obligation de réinitialiser le mot de passe)
• Le jeu en ligne sur PS3 et PSP
• La lecture de contenu vidéo loué
• Le service Music Unlimited
• L’accès à des services tiers (comme Netflix ou encore Hulu)
• La liste d’amis
• Les fonctionnalités de chat
• Le PlayStation Home

Le 18 mai, Sony a été contraint de fermer en urgence la page de réinitialisation de mot de passe sur son site à la suite de la découverte d’un autre exploit qui permettait aux utilisateurs de réinitialiser les mots de passe d’autres utilisateurs, en utilisant l’adresse e-mail et la date de naissance de l’autre utilisateur.

Les conséquences du piratage du PlayStation Network

Lors de la conférence de presse le 1^er mai, Sony avait annoncé le plan « Welcome Back », ce plan de dédommagement annonçait des jeux offerts. Sony a dédommagé les joueurs, en échange d’une possible plainte contre eux, en offrant :

• 2 jeux PS3 parmi une liste de 5 jeux
• 2 jeux PSP parmi une liste de 4 jeux
• 30 jours offerts au PlayStation Plus (l’abonnement payant de PlayStation)
• Une protection gratuite contre le vol de données pendant un an

Le 23 mai, Sony a déclaré que les coûts de la panne s’élevaient à 171 millions de dollars.

Durant toute cette panne, les actions de Sony ont chuté de 8% à la bourse de Tokyo.

Les conséquences légales

De nombreux gouvernements ont lancé des enquêtes à l’encontre du géant nippon. L’ICO (Information Commissioner’s Office), en Angleterre, a déclaré coupable Sony de manquement sur la protection des données et Sony a dû verser 250 000 £.

Sony avait été invité à témoigner devant une audience du Congrès Américain sur la sécurité informatique et à répondre à des questions sur la cyberattaque qu’ils ont subi, mais Sony a décidé d’envoyer seulement une réponse écrite à la place.

Une action en justice a été publiée le 27 avril par Kristopher Johns de Birmingham, au nom de tous les utilisateurs de PlayStation, prétendant que Sony « n’a pas réussi à chiffrer les données et à établir des pares-feux adéquats pour gérer une éventualité d’intrusion de serveur, n’a pas fourni d’avertissements rapides et adéquats des failles de sécurité, et retardé de manière déraisonnable la remise en ligne du service PSN. »

Aux États-Unis, pas moins de 55 actions collectives ont été lancées contre Sony. Un procès canadien contre Sony USA, Sony Canada et Sony Japon a réclamé des dommages jusqu’à 1 milliard de dollars canadiens.

En octobre 2012, un juge californien a rejeté une action en justice contre Sony pour la violation de la sécurité du PSN, jugeant que Sony n’avait pas violé les lois californiennes sur la protection des consommateurs, citant « il n’existe pas de sécurité parfaite ».

Le 15 septembre 2011, les termes et conditions d’utilisation ont été changés, ces changements ont été motivés par les nombreuses actions encourues contre Sony et ces nouvelles conditions les protègent dorénavant plus sur de possibles attaques par la suite, et font renoncer aux utilisateurs à leur droit de poursuivre Sony.

Cette affaire, nommée le PSNGate, est aujourd’hui rentrée comme une des plus importantes cyberattaques de ces 20 dernières années.

Sony a beaucoup perdu dans cette affaire, que ce soit au niveau financier ou au niveau de la réputation. Leur sécurité informatique était clairement insuffisante et le géant nippon se reposait beaucoup trop sur ces lauriers en se sentant intouchable.

Officiellement, aucune personne identifiée n’a été arrêtée ou reconnue coupable dans cette affaire du PSN, qui a été fermé pendant 23 jours.