Passer au contenu

Hack du PSN : vos informations bancaires sont-elles en danger ?

Depuis hier, Sony tente tant bien que mal de s’expliquer sur les risques de vol de données encourus par les utilisateurs du PlayStation Network. Avec des communiqués souvent flous et contradictoires. Le point.

Quelle est la situation ?
A la suite d’« une intrusion extérieure », Sony a suspendu depuis maintenant une semaine son service de jeu en ligne, le PlayStation Network (et Qriocity, son service de location de contenu multimédia). Il est impossible de jouer online, d’acheter des jeux, parfois même de jouer à certains titres dont les trophées se synchronisent en ligne, et enfin, d’accéder à son profil pour en changer les données.

Quand le PSN devrait-il être de nouveau accessible ?
La semaine prochaine. Les sources françaises évoquent la date du 3 mai.

Quelles sont les régions touchées ?
Toutes. Cela pose à Sony un souci de communication, ses déclarations se contredisant parfois d’un pays à l’autre : le blog français de l’éditeur ne dit pas exactement la même chose que le blog américain, qui ne dit pas la même chose que le blog espagnol, etc.

Combien de comptes PlayStation Network ou Qriocity sont concernés ?
Sony est formel : en théorie, tous. Mais le constructeur reste flou (ou prudent) sur le niveau de gravité. Et pour cause, plusieurs niveaux de détails sont concernés, et certains semblent plus vulnérables que d’autres – reste à savoir lesquels.

 

« Le tableau des données personnelles n’était pas chiffré. »

 

Quelles sont les menaces pour les données des utilisateurs ?
Sony en distingue deux : la base de données personnelles, et la base de données bancaires, qui répondent à deux systèmes de sécurité différents.

Y a-t-il eu vol de données personnelles ?
Sony le pense. La compromission des données est « probable », admet le site français. « Nous pensons que quelqu’un a pu obtenir ces données personnelles, admet Sony sur la version hispanophone de son site. Le tableau des données personnelles, qui est une base de données séparée, n’était pas chiffré, reconnaît Sony aux Etats-Unis, mais il était bien sûr protégé par un système de sécurité très sophistiqué, qui a été infiltré par une attaque malveillante. »

Y a-t-il eu vol de données bancaires ?
Sony est beaucoup plus flou. La base de données bancaires, au contraire de la base de données personnelles, est protégée par cryptage. « Le fichier des cartes de crédit était crypté et nous n’avons pas de preuve que ces données ont été volées », précise le site américain. L’éditeur invite toutefois à la prudence, ainsi sur le blog francophone : « nous vous encourageons à rester vigilant sur l’évolution de vos données de compte, votre crédit ou toutes autres données. » Le message est ambigu. Il semble toutefois qu’il faille bien séparer la situation des deux bases de données : celle concernant les informations utilisateurs (pseudo, mot de passe, âge, adresse, trophées, etc.) est d’ores et déjà « hackée », estime Sony, mais sauf preuve du contraire, le fichier bancaire n’a pas encore été touché. La firme de Tokyo, en pleine crise, préfère toutefois rester prudente.

Les données personnelles contiennent-elles des informations bancaires ?
Cela dépend des comptes. Pour la plupart, la réponse est : oui, mais de manière parcellaire et inexploitable. En effet, comme sur Xbox 360 ou sur Amazon, la partie « gestion de compte » comprend un onglet « historique des achats ». Il est possible, avoue Sony, que par l’intermédiaire de celui-ci, « les quatre derniers chiffres de votre carte de crédit, sa date d’expiration et l’adresse de facturation » soient visibles. Pas de panique pour autant : avec quatre chiffres visibles sur seize, les chances de tomber sur votre numéro entier sont de… 10 puissance 12, soit 1 sur 1 000 milliards !
Les informations bancaires accessibles sont trop lacunaires pour être exploitables, et dans un contexte de crise, la seule menace considérable est surtout celle du phishing, et Sony l’écrit noir sur blanc en français : « Pour votre sécurité, nous vous encourageons à être particulièrement vigilants aux e-mails, appels téléphoniques, courriers ou autres tentatives demandant vos informations personnelles. » Y compris, voire surtout, si l’interlocuteur prétend être Sony.

Existe-t-il des cas dans lesquels les données bancaires sont de tout de même visibles, et donc piratables ?
Il semble malheureusement que oui, dans un cas précis : il s’agit, typiquement, des pères de famille qui auraient ouvert un compte pour eux – jusque là tout va bien – et un autre pour leur enfant mineur, et rentré leurs données bancaires pour alimenter son compte PSN et lui permettre d’acheter des jeux. Le blog espagnol est le plus explicite : « Si vous avez ouvert un compte dépendant du vôtre à une autre personne, ses informations ont également été obtenues […], explique Sony. Si vous avez rentré vos informations bancaires à travers le PlayStation Network ou Qriocity, il est possible que le numéro de carte de crédit (sauf le code de sécurité) et sa date d’expiration ait également été obtenus. » Il s’agit alors du cas le plus grave, tous les chiffres semblant concernés.

Que faire si vous avez rentré vos données bancaires pour un compte secondaire ?
La solution la plus simple et la plus efficace consiste à faire opposition de manière préventive. Dans son blog italien, Sony envisage également le cas où vous auriez oublié la carte bancaire associée à votre compte, et rappelle qu’un e-mail de confirmation émanant de l’adresse [email protected] a dû vous être envoyé au moment où vous avez rempli les champs.

A lire aussi sur 01net. :
PSN : Sony admet que les données bancaires ont peut-être été volées
Tout le contenu du PSN gratuit à cause d’un firmware pirate ?
♦ Attaque du PlayStation Network : les Anonymous font leur mea culpa
PlayStation Network « hacké », Sony pourrait courir à la catastrophe

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


William Audureau