Comment Sony a géré le "PSN gate"

Article  par  Romain GOULOUMES  •  Publié le 28.06.2011  •  Mis à jour le 29.06.2011
[ACTUALITÉ] Indisponible pendant un mois et demi suite au piratage de ses serveurs, le PlayStation Network (PSN) est à nouveau intégralement fonctionnel, excepté au Japon.
Dans la nuit du 19 au 20 avril 2011, Sony coupe l'accès à ses serveurs, prenant au dépourvu des millions d’utilisateurs du Playsation Network (PSN). Avant de reconnaître que son réseau de jeu, et plusieurs autres de ses services (à l'image de Qriocity pour la vidéo à la demande), a été victime d'une attaque de hackers, menée entre le 17 et le 19 avril 2011, et que des données personnelles d'utilisateurs ont été compromises, le constructeur prétexte d’abord une maintenance de sa plateforme, sur laquelle les joueurs peuvent s’affronter et communiquer en ligne.

Les informations personnelles, de l’e-mail aux identifiants, de quelque 77 millions de comptes du service ont été subtilisées ainsi que plus de 2,2 millions de numéros et codes de cartes bancaires enregistrés sur le site. Pour Sony, le bilan est lourd : 122 millions d’euros de perdus sur les comptes d’exploitation 2011-2012, et un service qui demandera plus d’un mois et demi pour se remettre intégralement en place. L’image de la firme nippone, dont la gestion de crise a été très critiquée par les professionnels du milieu et les joueurs, est fortement atteinte.
 
Les premières pistes semblent remonter au groupe de hackers activistes Anonymous. Ce dernier s’était illustré au début du mois d’avril 2011 en submergeant de requêtes jusqu’à l’effondrement le PSN et plusieurs sites hébergés par Sony. L’attaque était menée en guise de représailles après que Sony a attaqué en justice le hacker GeoHot, alias George Hotz, pour avoir piraté et rendu public les codes d’accès à sa console de salon (pour l'ironie, on notera que le jeune hacker a été embauché chez Facebook courant mai 2011). Immédiatement désigné du doigt lors du second blackout, le groupe dément dans un communiqué toute implication, et dénonce un écran de fumée lancé par Sony pour détourner l’attention de ses propres négligences de sécurité : l’utilisation de logiciels obsolètes insuffisamment protégés et non maintenus à jour. Le collectif de cyberactivistes, qui jouit d'une popularité certaine chez les joueurs, avait interrompu sa précédente attaque de peur d'attiser leur mécontentement. Paralyser ainsi le PSN sur une telle durée, aussitôt après un premier assaut, serait hautement contre-productif. À moins que ce fait d'arme ne soit l'initiative d'un groupe isolé. Hypothèse qui pourrait être confirmée par la récente arrestation de trois membres présumés d’Anonymous en Espagne dans le cadre de l’enquête sur ce que certains médias ont nommé le « PSN gate ».

Les soupçons de négligence n’en continuent pas moins de peser sur Sony. Une action en justice engagée aux États-Unis l’accuse d’avoir procédé à plusieurs licenciements à des postes clés, au sein du service assurant la gestion des réseaux notamment, dans les semaines qui ont précédé le piratage. Le recours clame aussi que les informations personnelles des clients ont bénéficié d’un niveau de protection inférieur à d’autres éléments de la firme. Le 1er mai 2011, lors de sa "conférence d'urgence" à Tokyo, Sony avait fait amende honorable en revenant en détail sur les conditions de l'intrusion. La firme nippone a reconnu à cette occasion qu'elle avait bien connaissance des failles exploitées par les pirates, confessant son manque de vigilance. Tout n’est visiblement pas encore au point : à la mi-juin, c’est au tour des serveurs de Sony Pictures France d’être la cible d’une attaque[+] NoteLe site n'est toujours pas accessible à la date du 28 juin 2011.X [1]. Deux pirates, un Français et un Libanais, ont dérobé plus de 177 000 adresses électroniques. À l’exception de 70 d’entre elles, utilisées comme preuve de leur intervention, ils se sont abstenus de les publier publiquement.

Si la sécurité de Sony a fourni la preuve de ses insuffisances, il en est de même de sa communication de crise. À compter de la prise de conscience qu’une intrusion s’est produite, il aura fallu six jours au géant de l’électronique pour révéler publiquement l'ampleur du problème. Et ceci alors que les cabinets d’expertise auraient confirmé dès le 23 avril 2011, soit trois jours auparavant, le vol de données. À la frustration de ne pas pouvoir s'adonner en ligne à leurs jeux préférés, s’est ajouté chez un nombre grandissant de joueurs le sentiment d’être maintenus dans l’ignorance. La rumeur selon laquelle les informations personnelles seraient en vente en ligne au plus offrant a accentué l’inquiétude des utilisateurs enregistrés, qui se sont empressés, sur recommandation de Sony de surveiller leur compte en banque.
 
L’image du groupe chez les joueurs est écornée mais pas au point de remettre en question leur fidélité. Selon Sony, 70 millions de comptes ont profité de la réouverture du PSN pour se reconnecter et bénéficier du programme de compensation Welcome Back, ouvrant droit à deux jeux gratuits dans une liste de cinq sur PS3 et de quatre sur PSP.  D'autres, en Asie, se montrent plus méfiants. Le PlayStation Store, boutique de jeux en ligne de Sony, et Qriocity, son service de vidéo à la demande, sont toujours absents sur les PS3 et PSP des joueurs japonais. Les gouvernements et organismes bancaires exigent en effet des garanties de sécurité avant de donner leur autorisation pour réactiver ces services.

Microsoft, de son côté, avec son service Xbox Live concurrent direct du Playstation Network, s’est montré plutôt silencieux sur le sujet. Sa plateforme n’a jusque-là pas été la cible - ou du moins son fonctionnement n’en a pas souffert - des hackers. Il est vrai que le géant américain n’a pas tout à fait la même approche du piratage ni la même image auprès des adeptes de la discipline, que son concurrent nippon. Le cas de ce hacker irlandais de 14 ans, qui avait tenté sans y parvenir de dérober des données personnelles du Xbox Live en mai 2011, en fournit l’illustration. La direction irlandaise de Microsoft, loin d’engager des poursuites, lui a proposé de collaborer dans un cadre plus légal afin de tirer profit de son talent. L’avenir dira si le choix de l’Américain est le bon en termes d’image et de sécurité.

Sony, lui, a une pente à remonter. En dépit de l'optimisme affiché devant la presse, toute la communauté de joueurs est loin de lui avoir renouvelé sa confiance. En Angleterre, des milliers de consoles auraient fini sur le marché de l’occasion du fait de l’indisponibilité du PSN et de l’impatience suscitée. Sur le système de paiement à proprement parler, plusieurs questions restent en suspens. Combien de temps avant de voir disparaitre le doute au moment d’acheter un jeu par carte bancaire ? Les alternatives plus sûres, à l’instar des cartes prépayées déjà en circulation, apportent un premier élément de réponse. Reste à voir comment Sony va axer sa communication future sur le thème désormais central de la sécurité et surtout quelle réaction auront les hackers.

--
Crédit photo : wlodi / Flickr
  • 1. Le site n'est toujours pas accessible à la date du 28 juin 2011.
Vous souhaitez nous apporter un complément, rectifier une information ? Contactez la rédaction