Parmi les catastrophes industrielles les plus redoutées des services en ligne, le vol des données personnelles figure en très bonne place. Et c'est précisément ce qui vient d'arriver à Sony : suite à une attaque de ses serveurs, l'intégralité de la base de données du PlayStation Network, mais également du service Qriocity, a été compromise. Alors que le monde des médias continue de faire ses gorges chaudes sur le faux problème de la localisation sur l'iPhone (jusqu'à un épisode de South Park diffusé mercredi), ce problème autrement plus sérieux ne semble pas déchaîner les mêmes passions. On n'en frémit pas moins en songeant au tintamarre médiatique qu'aurait provoqué une telle catastrophe si elle était arrivée à l'iTunes Store.
Historique des événements
Cette violation est intervenue les 17 et 19 avril. Lorsque Sony s'est aperçue du problème, elle a engagé les services d'une société externe pour mener l'enquête, et purement et simplement coupé le service le 20 avril, il n'est à ce jour toujours pas disponible. Les utilisateurs du PSN se sont vus opposés une erreur "80710A06" sans plus d'explications. Le même jour, Sony publie sur le blog PlayStation ce message sibyllin :
« Bonjour à tous.
Certaines fonctions du PlayStation Network sont actuellement indisponibles. Nous vous tiendrons informés dès que nous aurons plus d’informations.
Merci de votre compréhension. »
Les employés de la hotline de Sony reçoivent cet email le même jour :
« Bonjour,
Pour cause de maintenance d'urgence, tous les services du PlayStation® Network et de Qriocity, y compris les magasins, la gestion de compte, l'identification externe, et le service client, sont actuellement indisponibles depuis les environs de 5 heures du matin.
Nous n'avons pas encore d'estimation quant à la remise en ligne des services, mais nous vous tiendrons informés lorsqu'ils seront disponibles. »
Le lendemain, Sony ne donne toujours pas d'explication, mais semble manifestement trop optimiste quant à la résolution du problème :
« Alors que notre enquête sur les causes de l'interruption du Network suit son cours, nous souhaitons vous informer du fait que nous ne pourrions être en mesure de rétablir complètement le service que d'ici un jour ou deux. Nous vous remercions pour votre patience durant le temps nécessaire à la résolution de cette question. Veuillez revenir sur cet espace pour plus de détails, et nous vous tiendrons informés dès que possible »
À l'heure où nous écrivons ces lignes, soit huit jours après ce message, le PSN n'est toujours pas rétabli. Ça n'est que le 22 avril que Sony communiquera sur les causes de l'interruption du service, pour révéler que le PSN et Qriocity ont été victimes d'une intrusion externe, mais elle ne révélera que les données personnelles de ses utilisateurs ont été compromises que le 26 avril.
Ce qui a été volé
Sony divulgue alors la nature des données sur ses utilisateurs dont elle sait avec certitude qu'elles ont été volées : le nom, l'adresse (code postal, ville, état), le pays, l'adresse email, la date de naissance, l'identifiant et le mot de passe du compte PSN/Qriocity, et le pseudonyme PSN. Il faut souligner ici que ces données sont largement suffisantes pour usurper une identité aux États-Unis, qui sont rongés par ce problème (en 2003, les pertes causées par le vol d'identité ont été estimées à 52,6 milliards de dollars, et près de 10 millions d'Américains en ont été victimes cette même année).
Elle ajoute qu'elle ne peut garantir que d'autres données n'ont pas été volées : le profil, l'historique des achats, l'adresse de facturation, et la réponse à la question de sécurité. Si les utilisateurs ont ajouté un sous-compte au leur (conjoint, enfants), ces données sont également susceptibles d'être compromises. Enfin, et surtout, Sony indique ne pas être en mesure de pouvoir garantir que les numéros de carte bancaire de ses utilisateurs ont été préservés, bien qu'elle ajoute n'avoir trouvé aucun élément permettant de penser qu'ils aient été compromis. « Par excès de prudence, nous devons vous indiquer que votre numéro de carte bancaire (hormis son code de sécurité) et sa date d'expiration ont pu être obtenus », précise-t-elle. L'intégralité des 77 millions de comptes PSN, répartis dans 59 pays, est susceptible d'avoir été touchée.
Il faut ici souligner le caractère invraisemblable de l'affaire : Sony a manifestement fait l'impasse sur une règle élémentaire en matière de protection des données, puisque le mot de passe des comptes PSN a pu être récupéré, et par là même toutes les données qui y sont associées. Il faut savoir que l'usage et la précaution exigent qu'on ne stocke jamais le mot de passe des comptes des utilisateurs en clair (ou d'une manière qui soit déchiffrable) à quelque endroit du serveur que ce soit. En pratique, on ne stocke qu'un code correspondant au mot de passe à l'aide d'une fonction de hachage cryptographique qui donne une empreinte numérique pour ainsi dire unique pour un même lot de données. Ainsi, au lieu de vérifier la validité du mot de passe à la connexion, on vérifie que son empreinte numérique est identique à celle stockée sur le serveur. La validité du mot de passe est garantie, et il est impossible de retransformer l'empreinte en mot de passe, ou d'intercepter le mot de passe durant la transmission entre le poste client et le serveur.
Le fait même que les mots de passe aient pu être volés laisse à penser que Sony les aurait stockés, au pire en clair, au mieux avec une empreinte numérique faible de type MD5 (une fonction de hachage cryptographique répandue, mais peu fiable, puisque relativement simple à déchiffrer). Une bévue qui serait à peine digne d'un amateur sur des données aussi sensibles que celles-ci, et impensable pour le géant nippon, qui aura fort à faire pour la justifier.
Une coupure lourde de conséquences
Le premier effet sensible de cette intrusion aura donc été la coupure des services du PSN et de Qriocity. Impossible donc d'acheter des contenus, mais également d'accéder à certains services en ligne qui sont proposés contre un abonnement payant. C'est le cas de Hulu, ou de jeux en ligne massivement multijoueurs comme DC Universe Online ou Free Realms, dont les abonnés payent le service pour rien. D'autres jeux, comme Bionic Commando Rearmed 2 et le bundle Final Fight/Magic Sword ne sont même plus jouables en local, leurs DRM exigeant une connexion au PSN pour les faire fonctionner. Sony a indiqué qu'elle réfléchissait à une compensation pour ses utilisateurs lésés, Hulu a également fait savoir qu'elle offrirait une semaine gratuite d'accès pour les abonnés à son service payant Hulu Plus.
L'autre effet de la coupure concerne les développeurs eux-mêmes, puisqu'ils ne peuvent plus vendre leurs jeux sur le PSN depuis maintenant neuf jours. Le manque à gagner est donc sensible, et le sera d'autant plus à mesure que la coupure durera, et pourra faire figure de véritable catastrophe économique pour les petits studios de développement, comme en témoigne anonymement un développeur auprès du site Develop. Sony elle-même ne peut plus percevoir de commission sur la totalité des ventes, mais c'est bien le moins qu'elle puisse endurer.
Les conséquences du vol
Mais les conséquences les plus graves vont bien au-delà de la simple coupure du PSN. Les services en ligne doivent leur fonctionnement même à la seule confiance que ses utilisateurs sont prêts à leur accorder : donner son numéro de carte bancaire n'est pas un geste anodin et implique que tout sera fait pour sécuriser au maximum les données confidentielles. Il sera désormais délicat pour Sony de regagner la confiance de ses utilisateurs, et elle devrait en sentir le contrecoup pour un certain temps. Pire encore, Qriocity vient à peine d'ouvrir ses portes en Europe (lire Qriocity ouvre en France), et commence donc sa carrière sous le sceau de l'infamie. Sony avait déjà fort à faire pour concurrencer iTunes, elle n'avait résolument pas besoin de ce handicap supplémentaire, qui pourrait bien condamner tous ses espoirs.
La base de données de Sony peut faire l'objet d'une vaste campagne d’hameçonnage aux effets dévastateurs, sachant qu'il est d'autant plus difficile d'identifier une arnaque si l'email vous semble indiscutablement adressé personnellement, ce qui pourrait être relativement aisé avec la somme de détails personnels qui ont été récupérés. D'autre part, les internautes ayant souvent la mauvaise habitude d'utiliser les mêmes identifiants et mots de passe pour plusieurs comptes, l'intrusion pourrait avoir un effet de contagion tout trouvé sur d'autres services en ligne.
Mais le scénario catastrophe le plus retentissant serait que les numéros de cartes bancaires aient bel et bien été récupérés. En prenant la moyenne constatée en 2010 de 318 $ par numéro de carte bancaire subtilisé, et en partant du principe que chacun des 77 millions de comptes PSN incluait un numéro de carte bancaire, l'opération pourrait coûter la bagatelle de 24 milliards de dollars…
Devant l'ampleur potentielle de la catastrophe, les responsables politiques sont rapidement montés au créneau : le sénateur du Connecticut Richard Blumenthal a envoyé un courrier à Sony pour faire part de son trouble face au temps qu'a pris le fabricant nippon pour communiquer sur cette crise, non sans omettre de souligner le simple fait que celle-ci ait pu tout simplement se produire. Les attorneys généraux de 22 états américains ont diligenté une enquête, rejoints par le FBI. La Federal Trade Commission pourrait également s'en mêler. Les régulateurs canadiens, australiens et britanniques en charge du respect de la vie privée, enquêtent également sur l'affaire, pour déterminer si Sony a pris toutes les mesures nécessaires afin de garantir la protection des données.
Si les sociétés de cartes bancaires ont indiqué surveiller de près les transactions et n'avoir pour l'heure pas détecté de fraude, le simple renouvellement des cartes bancaires par mesure de sécurité pourrait à lui seul coûter aux banques quelques 300 millions de dollars, d'après les experts interrogés par Reuters.
Si l'on ignore encore le montant des dommages qui découleront de cette affaire, elle aura résolument un coût conséquent, si ce n'est pour les utilisateurs du PSN, au moins pour les développeurs de jeux et pour Sony. Une agence d'avocats a d'ores et déjà pris l'initiative d'intenter une procédure judiciaire avec option collective (class action) à l'encontre de Sony, l'accusant de ne pas avoir observé les pratiques habituelles pour protéger ses clients, qui pâtissent de « l'une des plus vastes fuites de données de l'histoire d'Internet. »
Cette malheureuse affaire aura tout de même eu un effet bénéfique, au moins pour ceux qui n'auront pas été touchés directement par ce problème : une saine piqûre de rappel quant à la divulgation des données personnelles à des sociétés tierces, dont la seule garantie est leur simple parole d'honneur.
