PSN hacké : un scandale

"Une des plus grandes failles de sécurité de l'histoire d'internet"


"Une des plus grande faille de sécurité de l'histoire d'internet"

10


Après l'attaque et le vol de données dont a été victime le PlayStation Network de Sony et ses utilisateurs, il est plus que temps que les entreprises si avides de stocker ces données le fassent sérieusement et de façon plus transparente. Espérons que cette affaire aura au moins eu le mérite de tirer le signal d'alarme et que d'autres entreprises susceptibles de subir les mêmes intrusions sauront réagir rapidement afin d'éviter que cela se reproduise. D'après nos informations, c'est pas gagné !

Aujourd'hui, la résurgence sur un forum de discussion d'un compte rendu dans lequel des hackers de la PlayStation 3 discutent des failles de sécurité de PSN, éclaire d'un jour nouveau et inquiétant les problèmes de sécurité de Sony. Ce compte rendu, daté du 16 février et publié le même jour sur les sites de hackers de la PS3, doit bien entendu être pris avec des pincettes : la provenance de ces informations, très faciles à contrefaire et à publier, est au mieux suspecte.

Malgré tout, le contenu de ce document m'a été décrit par quelqu'un de bien informé et qui connaît bien la PlayStation 3 comme « paraissant exact », et cela corrobore de précédentes informations vérifiées sur la façon dont la PS3 dialogue avec les serveurs PSN. Cela ouvre le champ à une foultitude de nouveaux problèmes quant à ce qui est rapidement en train de se transformer en une des intrusions frauduleuses les plus énormes de l'ère Internet.

"Si Sony observe ce canal de diffusion, il devrait savoir que faire tourner une ancienne version d'Apache sur un serveur Red Hat aux vulnérabilités avérées n'est pas très indiqué, notamment quand ce serveur indique librement sa version et que c'est le serveur d'authentification."

La conclusion est simple : les vulnérabilités de PSN étaient bien connues et discutées publiquement il y a plusieurs mois, et Sony n'a pas réagi suffisamment tôt. Vu la pléthore de preuves tangibles que le propriétaire de la plate-forme a recueillies sur les sites de hackers de la PS3 et présentées lors du procès l'opposant à Georges « Geohot » Hotz, il est évident qu'il ne peut prétendre avoir ignoré ces affirmations. Sony observe manifestement de très près le monde du hacking et il le fait depuis l'apparition du PSJailbreak original l'été dernier.

Les informations fournies par Sony quant à la nature du piratage sont déjà assez alarmantes, mais certains indices laissent à penser que l'histoire est loin d'être terminée. Beaucoup ont pensé au début de la « panne » du PSN que le service avait été arrêté pour combler une faille de sécurité qui permettait aux utilisateurs d'un firmware personnalisé d'exploiter les serveurs de test pour s'authentifier de façon à pirater des jeux et des DLC. Malheureusement, la vérité était beaucoup plus choquante.

La sécurité de PSN a été battue en brèche côté serveur et toutes les informations que l'utilisateur donne confidentiellement à Sony quand il s'abonne au service n'étaient plus protégées. Les noms, les adresses, les détails d'authentification, les questions de sécurité et les mots de passe ont été dérobés – et, même si Sony n'est pas certain à 100 % que des informations confidentielles concernant les cartes de crédit aient été volées, le géant japonais n'en écarte pas la possibilité.

Le seul fait que les informations d'authentification aient été volées va à l'encontre de tout ce que l'on sait des usages en matière de stockage de données sensibles. Il y a une bonne raison pour laquelle la plupart des sites Internet ne peuvent pas vous donner votre propre mot de passe et ne peuvent que le réinitialiser : le serveur lui-même ne le stocke jamais.

Le mot de passe que l'on choisit est découpé et crypté après sa première transmission et seule la valeur résultant de ce cryptage est conservée. Quand vous entrez votre login, le mot de passe est à nouveau découpé et crypté, puis comparé à ce que conserve le système – si les deux valeurs correspondent, l'accès vous est accordé.

En bref, il n'est absolument pas nécessaire de conserver le mot de passe côté serveur. Les déclarations de Sony laissent à penser qu'il stockait pourtant des informations sensibles dans un simple format texte, ce qui dépasse l'entendement.

La seule autre explication est que les hackers n'ont eu accès qu'au découpage et au cryptage, et n'ont donc piraté qu'une petite minorité de mots de passe en moulinant ces données à l'aide de quelque chose comme un dictionnaire d'indexation structurelle. Cela dit, à en juger d'après la tonalité des excuses de Sony, cela ne semble pas être le cas.

Mise à jour : Dans un nouveau message, Sony a confirmé qu'il avait bien utilisé une fonction de découpage et de cryptage.

Si des hackers ont accès à votre nom, à votre adresse et à votre date de naissance, ces informations sont en elles-mêmes plus que suffisantes pour vous causer des problèmes, et le fait que les questions de sécurité puissent avoir été percées à jour ne fait qu'ajouter à la sévérité des dégâts potentiels. Des informations de ce genre sont d'une immense valeur pour les usurpateurs d'identité, mais uniquement votre nom et votre adresse peuvent suffire pour un escroc habile – comme je l'ai appris à mes dépens.

Commentaires (4)

Fermés

  • Chargement