Sécurité

Comment le PlayStation Network a été piraté – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Après 7 jours d’interruption spéculative, Sony a finalement annoncé que la panne du PlayStation Network (PSN) était due à un piratage massif qui exposaient les noms, les anniversaires, les adresses e-mail, les mots de passe, les questions de sécurité et peut-être les détails de la carte de crédit de tous les utilisateurs du PSN.

Au début, l’explication la plus probable de l’indisponibilité du PSN était la continuation de la panne d’Anonymous. DDoS représailles pour La persécution par Sony du jailbreaker PlayStation 3Georges Hotz (géohot). Puis, alors que la panne s’étendait sur quelques jours et que Sony annonçait qu’il était « reconstruire » son réseau en raison d’une « intrusion externe », il est devenu évident qu’il s’agissait de bien plus qu’une simple attaque par déni de service par force brute. L’annonce d’aujourd’hui par Sony confirme que les mécanismes de sécurité du PlayStation Network ont ​​été entièrement contournés et qu’au moins l’une de ses bases de données les plus sensibles a été piratée et consultée entre le 17 et le 19 avril.

Comment le PlayStation Network a-t-il été piraté ? Ironiquement, pour des raisons de sécurité et parce que Sony est historiquement très discret sur ces questions, nous ne connaîtrons probablement jamais le vecteur d’attaque exact – mais nous pouvons certainement faire des suppositions bien informées sur la façon dont le PlayStation Network a été piraté. Premièrement, étant donné sa proximité avec les récentes attaques d’Anonymous, il est probable que la violation de la base de données soit liée d’une manière ou d’une autre. Il est prudent de supposer qu’Anonymous aurait pu découvrir une faiblesse dans les mécanismes de sécurité du PSN, puis transmettre ces données à un autre groupe de pirates informatiques – et à partir de là, si le trou était suffisamment grand, les attaquants auraient pu simplement passer en plein avec un Injection SQL attaque.

Psssssst :  Ingénierie inversée EFF Carrier IQ - High-teK.ca

L’autre alternative est la sortie récente d’une version personnalisée du firmware de la PlayStation 3 appelée Reboguer, qui transforme efficacement une PS3 en une unité de développement et active une multitude de fonctionnalités auxquelles les consommateurs ne peuvent normalement pas accéder. Plus important encore, cependant, le micrologiciel Rebug donne à votre console un accès fiable au réseau de développeurs interne de Sony. Selon certaines informations, une fois que vous êtes sur le réseau interne de confiance, toute une série de nouveaux hacks sont devenus disponibles, y compris l’utilisation de fausses informations de carte de crédit sur le PlayStation Network.

Avec le micrologiciel personnalisé installé, il est possible que la base de données des détails du client – celle qui a été piratée – soit devenue facilement accessible. Il est possible que les mécanismes de sécurité de Sony n’aient tout simplement pas pris en compte une attaque interne d’un réseau de confiance — et en effet, vous ne pouvez pas créer un réseau fonctionnel sans avoir des agents de confiance.

Au-delà du piratage lui-même, l’autre nouvelle choquante est que les mots de passe du PlayStation Network ont ​​été exposés. À en juger par le temps qu’il a fallu à la PS3 pour être jailbreakée – elle a duré beaucoup plus longtemps que ses contemporaines, la Xbox et la Wii – nous devons supposer que Sony connaît une chose ou deux sur la sécurité, mais pourquoi alors les mots de passe PSN étaient-ils apparemment stockés en clair, texte lisible par l’homme ? Heck, pourquoi les adresses e-mail, les données personnelles et les détails de la carte de crédit étaient-ils également stockés sous forme non cryptée ? Bien qu’il puisse être impossible d’empêcher complètement l’accès non autorisé à un système, il est très simple de chiffrer les données d’une manière qui à la fois sécurise la confidentialité des utilisateurs et la rend presque sans valeur pour les pirates potentiels.

Psssssst :  La NSA construit un ordinateur quantique pour casser presque tous les types de cryptage - High-teK.ca

À l’avenir, rien n’indique quand le PlayStation Network reviendra. Sony a averti ses utilisateurs de faire attention aux escroqueries par courrier ou par téléphone et de déposer une « alerte de fraude » auprès des bureaux de crédit comme Experian et Equifax, ce qui devrait empêcher que votre carte de crédit ne soit utilisée par les pirates. Si vous êtes un utilisateur du PlayStation Network, consultez le blog PlayStation pour plus d’informations.

Alors que nous nous dirigeons vers un style de vie dominé par des services basés sur le cloud comme Gmail, Steam, Xbox Live et Netflix, ces attaques deviendront de plus en plus courantes. Il est infiniment pratique d’avoir toutes vos données au même endroit et accessibles à partir de n’importe quel ordinateur connecté à Internet – mais de même, ces services représentent la cible de piratage la plus juteuse imaginable. Une grande base de données d’adresses e-mail vaut des millions si elle est vendue à un baron du spam !

Si Sony peut être piraté – si l’une des plus grandes entreprises technologiques au monde peut être piratée – nous ne pouvons qu’espérer que d’autres entreprises surveillent et apprennent de ses erreurs.

Bouton retour en haut de la page