Sony a adressé un courrier de 8 pages au Congrès américain pour répondre à ses questions, suite à l'affaire du piratage du PlayStation Network et de Qriocity.
Signée de Kazuo Hirai, PDG de Sony Computer Entertainment Inc (la division du fabricant dédiée à la PlayStation), la lettre qualifie cette attaque comme étant « soigneusement préparée, très professionnelle, hautement sophistiquée, et conçue pour voler des informations personnelles et les numéros de cartes bancaires ».
Parallèlement, Sony a publié un compte-rendu sur son blog, indiquant qu'elle a trouvé sur ses serveurs un fichier laissé par leur visiteur. Nommé "Anonymous", il contient les mots "We are Legion.", le slogan du groupe d'hacktivistes.Il faut faire un petit récapitulatif du contentieux qui oppose Anonymous à Sony : le groupe informel et sans leader s'est ému de la procédure intentée par Sony à l'encontre de Geohot pour le jailbreak de la PlayStation 3, et, prenant fait et cause pour le hacker, a lancé en représailles la campagne OpSony. Celle-ci consiste essentiellement en une attaque de déni de service sur ses serveurs, visant non pas à en voler le contenu, mais simplement à les surcharger afin de les mettre en panne. L'opération a officiellement été annoncée sur le site dédié à la communication d'Anonymous, et a mis hors ligne le PSN début avril. Mais l'opération s'est retournée contre Anonymous, qui s'est mis à dos les utilisateurs du PSN : ceux-ci ont inondé les serveurs de chat d'Anonymous de leur plainte. Craignant pour sa popularité, le groupe a donc décidé de changer son fusil d'épaule.
Lorsque les utilisateurs du PSN ont trouvé porte close le 20 avril, Anonymous a publié plusieurs communiqués pour se dédouaner de toute responsabilité : Anonymous veut punir Sony, mais pas ses utilisateurs.
Que penser de tout cela ? Anonymous n'est généralement pas avare de fanfaronnades pour se vanter de ses méfaits. Si le groupe a pu s'intéresser aux données personnelles, jusqu'ici elles ont toujours concerné leur cible directe (en l'occurrence, Anonymous a publié les données personnelles des dirigeants de Sony et de leurs familles).
Etant donné le contexte, un autre hacker aurait pu tirer parti du conflit entre Sony et Anonymous pour faire porter le chapeau à ces derniers. On peut s'étonner qu'Anonymous nie avoir pris part à l'infiltration du PSN d'une part, et de l'autre qu'il laisse ainsi sa "carte de visite" sur le serveur de Sony. Toutefois, n'oublions pas la nature informelle du groupe : sans dirigeant, et sans droit d'entrée, n'importe quel internaute peut se réclamer du groupe, et lancer ses propres initiatives en son nom. Il se peut donc que l'infiltration du PSN soit une opération qui se soit faite sans concertation avec d'autres membres du groupe.
Sony précise n'avoir toujours pas identifié le ou les hackers qui ont infiltré le PSN, et profite de l'occasion pour demander au Congrès américain de considérer le lien entre la sécurité des données et les "cyber crimes" et le "cyber terrorisme", qui menacent la sûreté d'Internet pour les consommateurs et pour le commerce.
Sony va devoir faire face à d'autres problèmes, puisque nombre d'instances gouvernementales tiennent à déterminer sa part de responsabilité dans ce fiasco. Jennifer Stoddart, Commissaire à la protection de la vie privée du Canada, a fait savoir qu'elle envisageait d'imposer de conséquents dommages et intérêts pour l'exemple : « Je suis profondément troublée par le grand nombre de violations majeures que nous voyons, y compris des incidents graves ces dernières semaines qui ont affecté des centaines de milliers de Canadiens. Il me semble qu'il est temps de commencer à imposer des contraventions — significatives et de nature à attirer l'attention — sur les sociétés lorsque de mauvaises pratiques sur la sécurité et le respect de la vie privée mènent à des violations. » Elle s'est également dite très déçue que Sony n'ait pas jugé utile de contacter son bureau suite à l'infiltration. Notons toutefois que la Commissaire n'a pas le pouvoir d'imposer des contraventions sur le secteur privé, et que les entreprises ne sont pas tenues de lui rendre compte.
