Guillaume Lovet (Fortinet): «L’attaque du PSN : les systèmes de Sony n’étaient pas à jour»

Entre le 16 et le 19 avril dernier, Sony a subi plusieurs attaques sur ses services PlayStation Network, Qriocity et Sony Online Entertainment. Guillaume Lovet expert en cybercriminalité chez Fortinet nous fait part de son analyse suite à ce piratage de grande ampleur et les répercussions à envisager.

Comment un piratage d’une telle ampleur est-il possible ?
Guillaume Lovet: Apparemment il s’agirait d’une faille connue, mais la firme nippone a démenti en avoir connaissance en interne. Donc la négligence ou l’erreur humaine n’est pas à exclure, les systèmes de Sony n’étaient sans doute pas à jour.

Pourquoi ?
Il y a deux possibilités, soit ils n’étaient pas au courant que le système était vulnérable, soit, et cette hypothèse semble plus probable, ils ont choisi de ne pas exécuter la mise à jour pour des questions de performances. Cela suppose de toucher à la stabilité des réseaux et comme le secteur des jeux en ligne est très concurrentiel, ce n’est pas évident à mettre en place.

Qui peut être à l’origine de cette attaque, le nom des Anonymous circule, qu’en pensez-vous ?
Bien qu’ils aient démenti être responsables de l’attaque, ce n’est pas impossible. Un mois plus tôt suite à l’affaire entre Sony et « GeoHot » [l’un des responsables du jailbreak de la PS3, NDLR] les Anonymous avaient menacé le groupe nippon de représailles. Mais il faut savoir que statistiquement il y a souvent quelqu’un d’impliqué au sein même de l’entreprise comme lors de « l‘opération Aurora » [nom d’un assaut informatique repéré en 2009 sur des infrastructures réseaux contre plus de 200 firmes dont Google, NDLR]. Ce n’est peut être pas le cas ici et de toute façon Sony a tellement d’ennemis qu’il va être difficile de savoir qui est vraiment à l’origine de ce piratage.

D’après les chiffres 77 millions de comptes ont été piratés, un expert sécurité américain a même parlé de 2,2 millions de coordonnées bancaires en ventes sur des forums underground, qu’est-ce qui a vraiment été piraté ?
Le chiffre de 2,2 millions de données est une simple rumeur, sinon on l’aurait su depuis. En plus Sony ne stocke pas le code de sécurité des cartes bancaires, c’est-à-dire les trois derniers chiffres au dos. Mais les hackers ont au moins récupéré la base de données des utilisateurs et peut-être des informations concernant directement Sony. D’autres firmes peuvent également avoir été la cible d’attaques, car Sony partage son data center.

Lesquelles ?
Je ne peux pas vous révéler ces informations pour l’instant…

Les utilisateurs des services piratés ont-ils de quoi s’inquiéter ? Que préconisez-vous à ces joueurs ?
Non pour l’instant il n’y a pas de quoi s’affoler. Cependant dans les prochains mois il faudra surveiller les relevés bancaires et surtout s’ils utilisent le même mot de passe sur d’autres services, il faut absolument le changer. Les personnes qui possèdent les données vont essayer de s’en servir sur Facebook ou Gmail par exemple, et s’ils accèdent à la messagerie électronique, ça devient plus grave, car à partir de là on peut obtenir plein d’informations.

Les répercussions économiques vont être énormes pour Sony.
Oui d’autant plus que la firme a fait une erreur en révélant l’attaque huit jours après. L’institut Ponémon évalue un coût de 300 dollars par entrée piratée dans les bases de données. Et outre l’action en baisse Sony va également perdre des clients, selon la firme 10% des utilisateurs du PSN vont partir tandis que selon les sondages, le chiffre grimpe à 20%.

Le Xbox Live de Microsoft peut-il être victime lui aussi d’une telle attaque ?
Si la base de données de Microsoft n’est pas encryptée, oui. Mais à mon avis si elle ne l’est pas je peux vous assurer qu’ils vont le faire très rapidement. De même pour Apple.

Cette attaque ne remet-elle pas en cause le développement des services dans le Cloud ? Peut-on vraiment avoir confiance en ces nouvelles plateformes ?
Le cloud c’est la prolongation du web 2.0, avant on stockait les données sur un ordinateur personnel, maintenant on est en train de déléguer à des sociétés externes. C’est exactement la même chose qui s’est passée lors de l’apparition des banques. Les gens ont délégué la sécurité à des professionnels. Au début ils hésitaient et avaient peur des braquages, mais aujourd’hui plus personne ne garde de grosses sommes d’argent chez lui.
Néanmoins, maintenant il faut prendre conscience du problème du côté des sociétés qui sont censées stocker des données. il faut accroitre la règlementation. Aux Etats-Unis, une société attaquée doit révéler le piratage immédiatement selon une loi. Suite à l’affaire du PSN les réglementations devraient être multipliées. En Australie, un projet de loi similaire à celui des Etats-Unis vient d’ailleurs d’être déposé.

(Propos recueillis le 04/05/2011.)