La série noire continue pour Sony. Le piratage du réseau de jeu en ligne de Sony est probablement l'un des plus gros scandales technologiques de ces derniers mois. C’est l’intégralité du réseau en ligne qui a été visité par les pirates.
Cela correspond à des millions de données personnelles dévoilées ainsi que très probablement des coordonnées bancaires d'autant de malheureux utilisateurs. Il semblerait bien que Sony n'est pas respecté les règles de sécurité les plus élémentaires. Sony prouve ainsi une nouvelle fois que la sécurité de ses systèmes est plus que perfectible.
Déjà il y a quelques mois, un hacker avait réussi à craquer la console PS3 de Sony même si toutefois l'importance de cette attaque n'était clairement pas de la même magnitude que la vulnérabilité que Sony vient d’être forcé de dévoiler.
Sony était déjà en perte de vitesse depuis le semi-échec commercial de sa Playstation 3 et il semble bien qu'à vouloir trop gagner en rognant sur ses frais de fonctionnement on se retrouve parfois dans l'illégalité la plus totale. Le stockage de données sensibles de type bancaire est quelque chose qui est particulièrement règlementé par les opérateurs type Visa, MasterCard et autre. En fait, il existe même une norme appelée PCI-DSS (pour Payment Card Industry Data Security Standard) qui garantit une quasi invulnérabilité pour les systèmes ainsi protégés. Si le réseau en ligne PS3 s'est fait piraté c'est que les infrastructures réseaux de Sony n'étaient pas aux normes. Et si les infrastructures de Sony n'étaient pas aux normes, c'est que Sony n'a tout simplement pas respecté la loi. La norme PCI-DSS stipule que les données sensibles doivent être stockées dans un réseau étanche par rapport au système traitant ces données... En conséquence, un pirate compromettant tout le système ne pourrait, dans le pire des cas, qu'obtenir les nouvelles cartes de crédit traitées par le système mais en aucun cas les anciennes !!! La compromission de la totalité des cartes de crédit est donc impossible lorsque cette norme a été respectée. Pour les curieux vous pouvez télécharger la norme en cliquant ici. Dans la documentation en Français c’est marqué noir sur blanc page 20. L'incapacité de Sony de trancher de façon claire en ce qui concerne la compromission ou non des données bancaires est donc pour un expert une preuve de la non-application des règles de PCI-DSS. Ce qui est illégal...
Toutefois, le scandale ne s'arrête pas là... En effet, la raison pour laquelle Sony ne désire pas préciser si les données bancaires ont été ou non corrompues vient peut être du fait que pour tous les contrevenants se sont de lourdes amendes qui devront être payées pour chacune des cartes volées. On parle même d’une amende de plusieurs dizaines de dollars par carte volée. Sachant que 77 millions de comptes sont concernés, vous pouvez faire le calcul. Les prétendues recherche de Sony concernant la compromission de leurs systèmes n’auraient-elles pas dans ce contexte comme seules motivations de masquer la vérité aux autorités de régulation ?
On comprend mieux dans ces conditions l’empressement de Sony à proposer des jeux gratuit aux utilisateurs. Pas sûr que cela suffise à faire oublier leurs multiples erreurs sur ce dossier alors que pas plus tard qu’avant hier un site de Sony se faisait de nouveau pirater. Peut être serait-il temps de commencer à penser à la sécurité ? En même temps c’est un juste retour de bâton… Pour une fois que ce n’est pas vous qui piratez vos utilisateurs… Tout cela commence à faire beaucoup…
Cela correspond à des millions de données personnelles dévoilées ainsi que très probablement des coordonnées bancaires d'autant de malheureux utilisateurs. Il semblerait bien que Sony n'est pas respecté les règles de sécurité les plus élémentaires. Sony prouve ainsi une nouvelle fois que la sécurité de ses systèmes est plus que perfectible.
Déjà il y a quelques mois, un hacker avait réussi à craquer la console PS3 de Sony même si toutefois l'importance de cette attaque n'était clairement pas de la même magnitude que la vulnérabilité que Sony vient d’être forcé de dévoiler.
Sony était déjà en perte de vitesse depuis le semi-échec commercial de sa Playstation 3 et il semble bien qu'à vouloir trop gagner en rognant sur ses frais de fonctionnement on se retrouve parfois dans l'illégalité la plus totale. Le stockage de données sensibles de type bancaire est quelque chose qui est particulièrement règlementé par les opérateurs type Visa, MasterCard et autre. En fait, il existe même une norme appelée PCI-DSS (pour Payment Card Industry Data Security Standard) qui garantit une quasi invulnérabilité pour les systèmes ainsi protégés. Si le réseau en ligne PS3 s'est fait piraté c'est que les infrastructures réseaux de Sony n'étaient pas aux normes. Et si les infrastructures de Sony n'étaient pas aux normes, c'est que Sony n'a tout simplement pas respecté la loi. La norme PCI-DSS stipule que les données sensibles doivent être stockées dans un réseau étanche par rapport au système traitant ces données... En conséquence, un pirate compromettant tout le système ne pourrait, dans le pire des cas, qu'obtenir les nouvelles cartes de crédit traitées par le système mais en aucun cas les anciennes !!! La compromission de la totalité des cartes de crédit est donc impossible lorsque cette norme a été respectée. Pour les curieux vous pouvez télécharger la norme en cliquant ici. Dans la documentation en Français c’est marqué noir sur blanc page 20. L'incapacité de Sony de trancher de façon claire en ce qui concerne la compromission ou non des données bancaires est donc pour un expert une preuve de la non-application des règles de PCI-DSS. Ce qui est illégal...
Toutefois, le scandale ne s'arrête pas là... En effet, la raison pour laquelle Sony ne désire pas préciser si les données bancaires ont été ou non corrompues vient peut être du fait que pour tous les contrevenants se sont de lourdes amendes qui devront être payées pour chacune des cartes volées. On parle même d’une amende de plusieurs dizaines de dollars par carte volée. Sachant que 77 millions de comptes sont concernés, vous pouvez faire le calcul. Les prétendues recherche de Sony concernant la compromission de leurs systèmes n’auraient-elles pas dans ce contexte comme seules motivations de masquer la vérité aux autorités de régulation ?
On comprend mieux dans ces conditions l’empressement de Sony à proposer des jeux gratuit aux utilisateurs. Pas sûr que cela suffise à faire oublier leurs multiples erreurs sur ce dossier alors que pas plus tard qu’avant hier un site de Sony se faisait de nouveau pirater. Peut être serait-il temps de commencer à penser à la sécurité ? En même temps c’est un juste retour de bâton… Pour une fois que ce n’est pas vous qui piratez vos utilisateurs… Tout cela commence à faire beaucoup…