Avec le vol des détails personnels de 77 millions d’utilisateurs de sa Playstation, Sony s’est hissé au sommet d’un triste palmarès : celui des pires intrusions dans des réseaux numériques de l’histoire. Au crédit du géant de l’électronique de divertissement figure le fait qu’il a pris l’initiative de l’annoncer lui-même cette semaine. Mais il a mis le temps : il l’a fait ce mardi, après avoir découvert l’intrusion et avoir mis l’ensemble du réseau Playstation hors circuit le 19 avril déjà. La dimension de l’intrusion, la négligence qui l’a rendue possible, les dégâts potentiels tant pour les utilisateurs que pour Sony, tout cela est véritablement de nature à couper le souffle. Sur le blog américain de la Playstation, Sony a donné une idée de l’ampleur du désastre en reconnaissant qu’une personne « illégale et non autorisée » a réussi à s’emparer des « noms, adresses, adresses email, années de naissance, noms d’utilisateur, mots de passe, identifiants, questions de sécurité et autres ». Un expert cité par la presse américaine, Alan Paller, du SANS Institute, a estimé que l’intrusion constituait peut-être le plus important vol de données personnelles de l’histoire. Un doute demeure sur les numéros de carte de crédit, dont Sony a reconnu qu’ils avaient aussi pu être volés, avec la date d’expiration mais sans le numéro de sécurité de trois chiffres qui figure au dos.
Le retard mis par Sony à faire part de l’intrusion a grandement contribué à augmenter la colère des utilisateurs grugés. Il est d’autant plus troublant qu’il semble avoir été motivé par le souci de ne pas compromettre le lancement d’une nouvelle tablette, qui se distingue de ses concurrents, au premier rang desquels l’iPad d’Apple, par le fait qu’elle permet justement de lancer les jeux conçus pour la Playstation. Aux États-Unis, des commentateurs ont comparé ce manquement aux déplorables exemples des gestions par Toyota du scandale des pédales déficientes et par Tepco de celle de la catastrophe de la centrale de Fukushima, pas moins.
Comment une société comme Sony, qui bénéficie par ailleurs de l’image d’un fabricant d’équipements sophistiqués et fiables, a-t-elle pu se comporter de manière aussi négligente avec des données confiées par ses clients ? On a en effet appris à cette occasion que les données étaient stockées en clair, sans aucun encryptage. Sans surprise, l’action Sony a accusé le coup.
Pour les utilisateurs grugés, le fait de ne pas pouvoir se servir de leur appareil tant que le réseau Playstation ne sera pas rétabli sera probablement le moindre des désagréments. Sur Wired, un utilisateur signant « Wirehedd » a fait état d’une salve d’appels de télémarketing agressifs reçus la semaine dernière sur un numéro de portable non listé et de spam reçu soudainement sur une adresse email renseignée exclusivement sur sa Playstation, suggérant que sitôt volées, les données ont été revendues aux réseaux cybermafieux qui savent comment les utiliser à leur profit.
Le numéro de sécurité de la carte de crédit ne figurant pas parmi les données potentiellement volées, l’impact financier direct du hold-up sur le compte en banque concerné est quelque peu limité. Mais comme les hackers ont mis la main en même temps sur une série d’autres types de données personnelles, la voie est ouverte à toutes sortes de carambouilles, depuis les tentatives d’utilisation de mots de passe sur des comptes d’e-banking, Facebook ou de messagerie (nombreux sont ceux qui par paresse utilisent partout le même mot de passe) aux pièges de type phishing bien plus ciblés que les attaques habituellement lancées au petit bonheur la chance.
Les propriétaires de Playstations sont bien inspirés de faire un point sur les données tombées dans l’escarcelle des hackers, de vérifier l’intégrité de leurs différents comptes et de redoubler de prudence ces prochains temps. Quant à Sony, nombreux sont ceux qui estiment que vu l’ampleur du désastre, la société ne pourra pas se contenter d’excuses, mais devra offrir une compensation significative à ses clients.