Sony Piratage des données clients
30/04/2011 à 06h18, Auteur : // internet-high tech-informatique
Dix jours après l’attaque de hacking dont a été victime Sony, c’est la confusion car de nombreuses doutes,commencent à s’installer.
A commencer par la question la plus importante : les coordonnées bancaires de ceux ayant attaché leur carte bleue à leur compte ont-elles été dérobées par les pirates.
La polémique a été relancée par un article du New York Times. Kevin Steven, un expert de chez Trend Micro, explique avoir vu, sur des forums des hackers, des informations à propos d’un fichier comprenant 2,2 millions de numéros de cartes bancaires.
Les pirates auraient tenté de revendre à Sony les informations, ce que Sony dément.
Kevin Steven a par la suite clarifié sur Twitter, précisant n’avoir pas lui-même vu la base de données, ni vérifié son authenticité.
Parallèlement, de nombreux lecteurs, notamment d’Ars Technica, affirment avoir été victimes de transactions frauduleuses.
Mais avec 77 millions de comptes piratés (tous n’ont cependant pas une carte bancaire associée), il pourrait très bien s’agir d’une coïncidence et ne pas être lié au piratage du Playstation Network.
Archiver les CCV est illégal, selon des directives internationales relayées par Visa et Mastercard.
Sony a-t-il malgré tout pu les conserver par erreur (les iPhones ont bien, officiellement à cause d’un bug, conservé un an de données de géolocalisation) ? « Ce n’est pas impossible », confie un expert en cybersécurité, passé par le FBI, à 20minutes.fr, sous couvert d’anonymat. Selon lui, c’est « assez peu probable » à l’époque actuelle, mais il y a six ans (date de création du PSN), tout le monde ne respectait pas les recommandations.
Si le fichier (a) existait bien et (b) avec les CCV, Sony ne serait pas forcément le coupable. Certains hackers sont capables d’obtenir ces codes de confirmation avec l’aide d’une taupe dans des organismes bancaires, explique l’expert, mais on se situerait ici à l’échelle du crime organisé. En revanche, d’avoir stocké toutes les autres informations (nom, adresses, mot de passe) sans cryptage, exposant ainsi les utilisateurs à un potentiel vol d’identité par des criminels, pourrait coûter cher à Sony, alors que des actions judiciaires ont déjà été lancées aux Etats-Unis.
Pour l’heure, comme Sony n’a livré aucun détail sur l’attaque, les experts ne peuvent que spéculer sur l’identité des responsables et leur motivation. Du coup, le Congrès américain a écrit à Sony, lui demandant d’apporter des précisions. Le groupe japonais a jusqu’au 6 mai pour s’exécuter. Entre la baisse du cours de son action, les potentiels dommages et intérêts à verser ou un geste auprès des utilisateurs pour redorer son image, l’affaire pourrait bien coûter des milliards de dollars à Sony.
Source 20 minutes