Suite à la fuite de données privées du PlayStation Network et de Qriocity, et de leur coupure durant maintenant onze jours, Sony déclenche enfin sa communication de crise, et a présenté son plan pour la sécurité de ses services en ligne.
Les cadres dirigeants du fabricant nippon ont tenu une conférence de presse ce dimanche, en pleines vacances au Japon, formulant pour la première fois des excuses depuis le début de ce véritable fiasco, en s'inclinant sept secondes durant. Une vidéo de la conférence est disponible en ligne, traduite en anglais.
Sony a indiqué que sur les 77 millions de comptes utilisateurs concernés, 10 millions incluent un numéro de carte bancaire, qui a pu être subtilisé durant l'opération d'infiltration. Le risque n'est toujours pour l'heure que potentiel, Sony n'étant pas encore en mesure de confirmer si oui ou non ils ont bel et bien été récupérés. À ce jour il n'a été détecté aucune activité suspecte sur ces numéros de cartes, qui font l'objet d'une surveillance rapprochée par les organismes bancaires.
Si les 10 millions de détenteurs de ces cartes procèdent à un remplacement, l'opération pourrait coûter aux banques entre 30 et 50 millions de dollars, que Sony envisage de leur rembourser.
Bien qu'Anonymous, le groupe d'hacktivistes sans dirigeant, ait démenti être responsable de cette attaque, Sony l'a malgré tout cité nommément dans sa conférence. Il faut savoir qu'Anonymous avait déjà lancé une opération à l'encontre de Sony, cette fois revendiquée, en représailles du procès intenté à George Hotz pour le jailbreak de la PlayStation 3. Sony n'accuse pas pour autant Anonymous d'être derrière cette opération, mais promet de rendre publiques les informations qu'elle pourra mettre au clair, en collaboration avec les autorités, quant à l'origine de cette attaque.
Sony s'est également expliquée sur sa communication tardive : elle indique avoir coupé le service pour empêcher tout dommage supplémentaire, et engagé trois sociétés pour analyser le réseau. L'envergure de l'analyse, la nature graduelle de l'enquête, et le temps nécessaire à la préparation du PSN pour inspection ont été responsables de cette communication tardive.
Elle a indiqué également que son data center, situé à San Diego, serait déménagé vers un endroit qui sera tenu secret, et doté d'une sécurité renforcée pour éviter d'autres attaques. Elle vient de créer un nouveau poste pour superviser la sécurité. Si les mots de passe n'étaient pas stockés sur le serveur, leur empreinte numérique l'était, et il y a fort à parier que l'algorithme de hachage cryptographique utilisé était MD5, ce qui expliquerait qu'ils aient pu être compromis (le MD5 n'est plus considéré comme suffisamment sûr depuis 2004, lire PSN : Sony fait 77 millions de victimes).
Sony promet que le PSN serait remis graduellement en ligne à partir de cette semaine. Une mise à jour du logiciel interne de la PS3 obligera les utilisateurs à changer leur mot de passe, et ne permettra ce changement qu'à partir de la PS3 associée au compte, ou par email vérifié. Sony enjoint également ses utilisateurs à changer les identifiants et mots de passe d'autres services en ligne s'ils sont identiques à ceux qu'ils utilisaient pour le PSN et Qriocity, et souligne qu'en aucune circonstance elle ne contactera ses utilisateurs pour leur demander leur numéro de carte bancaire ou toute autre donnée permettant de les identifier: toute tentative de cet ordre doit être considérée comme un hameçonnage. Le géant japonais mettra à disposition de ses utilisateurs, pour chaque pays, toutes les informations et contacts permettant la surveillance et la protection de leur compte en banque.
À titre compensatoire, Sony offrira des contenus gratuits à tous ses utilisateurs région par région, et un mois d'accès gratuit au service payant PlayStation Plus, de même qu'un mois d'accès au service Music Unlimited pour les abonnés de Qriocity.
Après le FBI, la FTC, et les attorney généraux de 22 États américains (sans oublier les organismes régulateurs du respect de la vie privée au Canada, en Australie et en Grande Bretagne), c'est désormais le département de la sécurité intérieure des États-Unis qui se penche sur l'événement.
Un sondage paru ce week-end, portant sur 2132 internautes américains, révèle que 21 % des détenteurs de PlayStation 3 envisagent de revendre leur console et de passer sur Xbox 360.
Les cadres dirigeants du fabricant nippon ont tenu une conférence de presse ce dimanche, en pleines vacances au Japon, formulant pour la première fois des excuses depuis le début de ce véritable fiasco, en s'inclinant sept secondes durant. Une vidéo de la conférence est disponible en ligne, traduite en anglais.
Sony a indiqué que sur les 77 millions de comptes utilisateurs concernés, 10 millions incluent un numéro de carte bancaire, qui a pu être subtilisé durant l'opération d'infiltration. Le risque n'est toujours pour l'heure que potentiel, Sony n'étant pas encore en mesure de confirmer si oui ou non ils ont bel et bien été récupérés. À ce jour il n'a été détecté aucune activité suspecte sur ces numéros de cartes, qui font l'objet d'une surveillance rapprochée par les organismes bancaires.
Si les 10 millions de détenteurs de ces cartes procèdent à un remplacement, l'opération pourrait coûter aux banques entre 30 et 50 millions de dollars, que Sony envisage de leur rembourser.
Bien qu'Anonymous, le groupe d'hacktivistes sans dirigeant, ait démenti être responsable de cette attaque, Sony l'a malgré tout cité nommément dans sa conférence. Il faut savoir qu'Anonymous avait déjà lancé une opération à l'encontre de Sony, cette fois revendiquée, en représailles du procès intenté à George Hotz pour le jailbreak de la PlayStation 3. Sony n'accuse pas pour autant Anonymous d'être derrière cette opération, mais promet de rendre publiques les informations qu'elle pourra mettre au clair, en collaboration avec les autorités, quant à l'origine de cette attaque.
Sony s'est également expliquée sur sa communication tardive : elle indique avoir coupé le service pour empêcher tout dommage supplémentaire, et engagé trois sociétés pour analyser le réseau. L'envergure de l'analyse, la nature graduelle de l'enquête, et le temps nécessaire à la préparation du PSN pour inspection ont été responsables de cette communication tardive.
Elle a indiqué également que son data center, situé à San Diego, serait déménagé vers un endroit qui sera tenu secret, et doté d'une sécurité renforcée pour éviter d'autres attaques. Elle vient de créer un nouveau poste pour superviser la sécurité. Si les mots de passe n'étaient pas stockés sur le serveur, leur empreinte numérique l'était, et il y a fort à parier que l'algorithme de hachage cryptographique utilisé était MD5, ce qui expliquerait qu'ils aient pu être compromis (le MD5 n'est plus considéré comme suffisamment sûr depuis 2004, lire PSN : Sony fait 77 millions de victimes).
Sony promet que le PSN serait remis graduellement en ligne à partir de cette semaine. Une mise à jour du logiciel interne de la PS3 obligera les utilisateurs à changer leur mot de passe, et ne permettra ce changement qu'à partir de la PS3 associée au compte, ou par email vérifié. Sony enjoint également ses utilisateurs à changer les identifiants et mots de passe d'autres services en ligne s'ils sont identiques à ceux qu'ils utilisaient pour le PSN et Qriocity, et souligne qu'en aucune circonstance elle ne contactera ses utilisateurs pour leur demander leur numéro de carte bancaire ou toute autre donnée permettant de les identifier: toute tentative de cet ordre doit être considérée comme un hameçonnage. Le géant japonais mettra à disposition de ses utilisateurs, pour chaque pays, toutes les informations et contacts permettant la surveillance et la protection de leur compte en banque.
À titre compensatoire, Sony offrira des contenus gratuits à tous ses utilisateurs région par région, et un mois d'accès gratuit au service payant PlayStation Plus, de même qu'un mois d'accès au service Music Unlimited pour les abonnés de Qriocity.
Après le FBI, la FTC, et les attorney généraux de 22 États américains (sans oublier les organismes régulateurs du respect de la vie privée au Canada, en Australie et en Grande Bretagne), c'est désormais le département de la sécurité intérieure des États-Unis qui se penche sur l'événement.
Un sondage paru ce week-end, portant sur 2132 internautes américains, révèle que 21 % des détenteurs de PlayStation 3 envisagent de revendre leur console et de passer sur Xbox 360.
