Piratage du PSN : Sony sort de sa réserve

Sony a annoncé, dimanche 1er mai par voie de communiqué, des dispositions pour faire face au piratage du Playstation Network, le 17 avril, rapporte ITespresso.fr. Tout en prévoyant de restaurer progressivement les services de divertissements numériques affectés dans le courant de la semaine. Rappelons que les données personnelles des utilisateurs ont été dérobées, y compris, probablement, leurs coordonnées de carte bancaire. Une catastrophe pour l’image de Sony qui a tardé à s’expliquer.

« Nous prenons la sécurité de l’information de nos consommateurs très au sérieux et nous sommes engagés à favoriser la protection des données personnelles, explique Kazuo Hirai, en qualité de Président exécutif adjoint de Sony Corporation, cité dans le communiqué. Nos équipes ont travaillé sans relâche pour apporter le retour en ligne des services, et ils le font seulement après que nous ayons vérifié l’augmentation des niveaux de sécurité à travers nos réseaux. »

Sony assure cependant que les données subtilisées n’ont pas fait l’objet d’une exploitation malveillante en sous-main. Une affirmation contredite par un expert en sécurité qui soupçonnait la vente de 2 millions de numéros de cartes bancaires en fin de semaine dernière.

Le niveau de sécurité IT est donc renforcé pour éviter qu’une catastrophe se renouvelle : installation d’un logiciel de surveillance automatisé et de gestion de configuration, « amélioration » du niveau de protection des données et du chiffrement, « renforcement » de la capacité de détecter des intrusions, mise en place de pare-feu supplémentaires (il y en avait pourtant trois niveaux selon SecurityVibes)…

La cyber-attaque s’est concentrée sur les données hébergées dans un data center de Sony situé à San Diego (Californie). Le groupe japonais en a profité pour déclarer qu’il « accélère » l’élaboration d’un nouveau centre de données « dans un emplacement différent en cours de développement pour plusieurs mois ».

Pour reprendre en main le volet de la protection des données personnelles (clients, personnel), un poste de Chef de la sécurité des informations est créé au sein du groupe japonais. Du côté des utilisateurs de la PlayStation 3 ayant accès à la plate-forme Internet de la console de jeux (PlayStation Network), une mise à jour de sécurité IT sera requise (notamment le renouvellement du mot de passe). Toujours dans une volonté de restaurer la confiance, Sony enclenche un programme de fidélisation spécifique pour le PlayStation Network et Qriocity.

Alors, d’où vient l’attaque ? Sony reste discret sur les origines. Néanmoins, le groupe high-tech déclare qu’elle mène une « enquête approfondie » pour « traquer et poursuivre les responsables de l’intrusion illégale dans le respect de la loi ». En attendant, les premières plaintes commencent à apparaître. Aux Etats-Unis, un particulier poursuit Sony devant un tribunal fédéral de San Francisco. En parallèle, des instances nationales de régulation en charge de la protection des données personnelles – comme l’Information Commissionner’s Office au Royaume-Uni ou la Commission nationale de l’informatique et des libertés (CNIL) en France – affichent leur volonté d’initier des enquêtes pour en savoir plus sur les causes et les conséquences du piratage de Sony.