Passer au contenu

Hack du PSN : Sony se justifie devant le Congrès américain

Dans une lettre publique au Congrès américain, le président de SCE, Kaz Hirai, revient en largeur sur la situation inédite à laquelle fait face Sony depuis le hack général de ses services en ligne, le 16 avril dernier.

Sollicité par le Congrès américain, Kaz Hirai, président de Sony Computer Entertainment (SCE), a tenu à s’expliquer sur les graves et exceptionnels événements du mois d’avril 2011 dans une longue lettre à Mary Bono Mack, représentante au Congrès américain.

Le constructeur de consoles de jeux vidéo assure que « l’un de [ses] premiers réflexes a été d’appeler le FBI, et [qu’]une enquête active est en cours ». Pour la première fois, Sony revient en détail sur l’attaque dont le PSN a été victime et sur les raisons de son efficacité. Une activité anormale des serveurs est remarquée le 19 avril dernier, une intrusion découverte le lendemain, les serveurs presque aussitôt coupés et le FBI, prévenu le 22.

« Ce qui est de plus en plus évident, prévient Kaz Hirai, c’est que Sony a été victime d’une cyberattaque très précautionneusement planifiée, très professionnelle, hautement sophistiquée et conçue afin de voler des données personnelles et des informations de cartes bancaires à des fins illégales. »

Une faille du système dure à détecter

Pour le patron de SCE, l’enchaînement des faits n’est pas anodin : « Il y a à peu près deux semaines, un ou plusieurs cybercriminels ont accédé aux serveurs du PSN au moment où [ceux-ci] étaient visés par une attaque de déni de service. » C’est également la raison pour laquelle la firme n’a pas pu détecter immédiatement l’intrusion. C’est seulement le 19 avril que des mouvements anormaux ont été repérés sur les serveurs.

« D’abord, la détection était difficile en raison de l’extrême sophistication de l’intrusion elle-même, précise-t-il. Ensuite, elle était ardue parce que les hackers ont exploité une vulnérabilité du logiciel du système. Enfin, nos équipes de sécurité étaient très occupées à se défendre contre les attaques de déni de service. Cela a rendu plus difficile la détection rapide de l’intrusion – et tout ceci, peut-être, à dessein. »

Cache-cache avec les logs

Face à l’étonnement du Congrès, qui regrette que les consommateurs aient été prévenus tardivement, Kaz Hirai détaille le difficile cheminement de Sony, obligé de recourir à plusieurs sociétés d’experts en sécurité informatique pour analyser les images des différents serveurs et cerner les modalités de l’attaque.

Ce n’est que le 23 avril au soir que les experts « ont été en mesure de confirmer que les hackers avaient utilisé des techniques très sophistiquées et agressives pour obtenir des accès non autorisés, pour cacher leur présence aux administrateurs système et accroître leurs droits dans les serveurs », assure le président de Sony. L’une des techniques utilisées par les hackers consistait à supprimer tous les fichiers « log » pour dissimuler leur activité.

L’auteur n’est pas connu

Kaz Hirai reconnaît que l’auteur de l’intrusion n’est toujours pas connu, pas plus que ses motivations. Le hacker a toutefois laissé sur l’un des serveurs piratés un message intitulé « Anonymous », du nom du groupe protéiforme et clandestin de hackers : n’importe qui pouvant s’en réclamer.

Kaz Hirai répète une fois encore qu’aucune donnée bancaire ne semble avoir été volée. « Nous le savons à partir des autres données personnelles contenues dans les bases de données des comptes, détaille-t-il. Le hacker a envoyé des requêtes à la base de données et les équipes d’experts ont constaté de grandes quantités de données transférées en réponse. Elles n’ont pas vu de données correspondant aux informations de cartes de crédit. »

Le président de SCE se veut rassurant et attire l’attention sur le sens des responsabilités de Sony ainsi que sur la difficile gestion de cette attaque pirate d’une ampleur inédite. « Je crois qu’après avoir passé en revue tous les faits vous conviendrez que la compagnie a agi en bonne foi pour informer ses clients en accord avec ses responsabilités éthiques et légales. »

Alors que les premières attaques en justice en class action ont été initiées en Amérique du nord (Etats-Unis et Canada), ce sera au Congrès, mais aussi aux utilisateurs, de juger si la bonne foi de Sony Computer Entertainment est suffisante.

Selon vous, Sony Computer Entertainment est-il de bonne foi ?
Résultats du sondage :
– Oui, la société a fait de son mieux  26.64%
– Non, la société cherche une excuse et tente de se justifier  24.08%
– Peu importe qui de Sony ou des hackers est en tort, ce sont les utilisateurs qui trinquent  46.22%
– Ne se prononce pas  3.06%

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


William Audureau