Cette fois, c'est sûr, le PSN sera à nouveau entièrement opérationnel le 31 mai. Évidemment, la promesse n'engage que ceux qui y croient, et ils sont sans doute de moins en moins nombreux. Probablement parce qu'avant cela, Sony avait déjà crié au loup, affirmant que certains des services en ligne de la PlayStation 3 et de la PSP devaient être rétablis au plus tard le week-end dernier . Une prévision optimiste pour Sony qui explique, via un de ses porte-parole Shigenori Yoshida sur le site de Bloomberg , être dans l'incertitude concernant la date de restauration de ses services. Tout en affirmant, donc, que tout sera rentré dans l'ordre le 31 mai.
Aujourd'hui, la firme nipponne s'est expliquée plus longuement sur la question, via le PlayStation Blog . «Quand nous avons tenu, la semaine dernière, une conférence de presse au Japon, avec les éléments en notre possession, nous pensions remettre les services en ligne en moins d'une semaine. Nous n'avions pas réalisé l'étendue de l'attaque sur les serveurs de Sony Online Entertainment [la branche développement et édition de jeux de la marque, ndlr]. Nous avons donc saisi cette occasion pour mener davantage de tests sur le système incroyablement complexe.» C'est donc après avoir revu le bilan des dégâts à la hausse que Sony a fait machine arrière. La société précise: «nous continuons à travailler pour consolider la sécurité de l'infrastructure du réseau et nous œuvrons, avec diverses entités extérieures, pour assurer la sécurité du système. Nous ne restaurerons les services que lorsque nous aurons testé la puissance du système» .
2500 identités publiées en ligne
Autre épine dans le pied de Sony, sa gestion cavalière des données personnelles. La firme nipponne a confirmé ce week-end à l'agence Reuters Japon avoir retiré les données privées de 2500 personnes d'un site web de Sony Electronics, où elles avaient été publiées. Celles-ci provenaient d'une base de données réalisée en 2001 suite à un concours, et piratée lors des intrusions sur les serveurs de l'entreprise. Ni mot de passe ni numéro de carte de crédit n'y figuraient. En s'apercevant de cet ajout extérieur, Sony a fermé le site.
Mais l'intervention a suffi à rappeler, aux rares personnes qui auraient pu l'oublier, que des dizaines de millions de données sont toujours dans la nature. Interrogé par le JDD , Richard Brunois, directeur de la communication de Sony France, a lâché les chiffres pour la France. Les mots de passe, noms, mails et numéros de téléphone de 4,7 millions d'utilisateurs du PSN et 1000 clients du SOE ont été volés. Un million d'entre eux pourraient craindre de voir leur compte en banque débité frauduleusement.
Un million de dollars d'indemnisation
Une situation face à laquelle Sony prend des mesures. Aux États Unis tout d'abord, où la firme prévoit d'indemniser jusqu'à un million de dollars les joueurs qui seront floués. Dans une lettre , le PDG Howard Stringer détaille: «nous avons également des plans pour aider à protéger nos clients, partout dans le monde, du vol (ou de l'usurpation) d'identité. Un programme pour les clients du PlayStation Network et du Qriocity américains a été lancé. Il inclut une police d'assurance qui pourra indemniser l'utilisateur spolié jusqu'à un million de dollars et, pour les autres régions, des annonces sont à venir prochainement.»
Mais en Europe, les choses sont plus compliquées, chaque pays ayant son propre dispositif de protection. Sony explique sur son blog : «La création d'une offre similaire pour les pays européens est un processus très compliqué. Chaque pays a une façon différente de traiter le vol d'identité ; certains offrent des services relativement sophistiqués tandis que d'autres sont beaucoup plus modestes. Nous sommes actuellement en train d'étudier comment nous pouvions gérer cette situation et une fois que le programme sera prêt à être lancé, nous vous fournirons des détails sur les services disponibles dans chaque pays et vous expliquerons comment vous y inscrire.» En ajoutant espérer pouvoir arriver à cet objectif en début de semaine.
D'autres mesures ont en revanche dorénavant été décidées. Outre le programme Welcome Back , deux jeux PS3 seront offerts aux utilisateurs du PSN dans une liste de cinq proposés. Même règle pour la PSP, où le choix se limitera à quatre jeux. Une opération qui reviendra cher à Sony. Au total, les analystes tablent sur un coût de 24 milliards de dollars pour tout ce qui a été entrepris depuis le piratage.
Sony «incompétent», les Anonymous «coupables»
Enfin, d'après le blog All Things Digital du Wall Street Journal , Sony réfléchit sérieusement à promettre des récompenses financières à quiconque dispose d'informations sur les coupables du piratage. Tout en ayant déjà sa petite idée sur la question... Dans une lettre ( PDF ) au Congrès américain, devant lequel Sony devait s'expliquer, la société montre les Anonymous du doigt. «Quand Sony a découvert dimanche dernier que des données avaient été volées, il a aussi découvert que les intrus avaient installé un dossier intitulé "Anonymous" sur l'un de ses serveurs, avec les mots: "Nous sommes légion".» Le groupe d'internautes s'était illustré début avril par une série d'attaques contre les sites de Sony afin de soutenir le hacker George Hotz, poursuivi pour le jailbreak de la PlayStation 3 .
Ils contestent l'accusation sur un de leurs blogs : «soyons clairs : nous sommes légion, mais ce n'était pas nous. Vous êtes incompétents. On ne gagne pas le soutien de l'opinion en volant des informations liées aux cartes de crédit et des identités personnelles» .
Pourtant, ce week-end, certains Anonymous se sont confiés aux médias en fournissant un autre discours. Dans le Financial Times , deux vétérans des Anonymous ont affirmé que le groupe serait bien à l'origine du piratage. Le premier affirme avoir été témoin de discussions détaillant les vulnérabilités des serveurs Sony. Tandis que le second déclare: «C'est un travail Anon. Mais on ne peut blâmer le collectif dans son ensemble pour ce qu'ont fait un ou deux gars» .
Des déclarations qui ont fait bondir d'autres membres du groupe, qui se sont alors fendus d'un communiqué à leur manière , en attaquant le journaliste et les deux interviewés. Ainsi que Sony, dont ils soupçonnent les déclarations de n'être qu'un «écran de fumée» construit afin de rejeter le blâme sur les Anonymous plutôt que sur leur propre négligence dans le respect des normes de sécurité pour cartes de crédit. «Le réseau de Sony n'était pas patché et n'avait pas de pare-feu installé, ce qui est une violation flagrante des normes de la Payment Card Industry , et donc susceptible d'être une négligence criminelle.» Des caractéristiques déjà pointées du doigt par Gene Spafford, professeur de l'Indiana's Purdue University qui affirmait il y a peu : «Sony utilisait de très anciennes versions du logiciel Apache qui n'avaient pas de pare-feu installé. Les données étaient potentiellement vulnérables ; des internautes en ont fait part, dans un forum ouvert, aux employés de Sony, mais nous n'avons remarqué aucune réponse ou mise à jour du logiciel.» .
Pour l'instant, les Anonymous s'accordent le dernier mot de cette histoire : «Sony va devoir apprendre que les délits d'entreprise ne resteront pas impunis. Quand la poussière sera retombée, l'entreprise aura peut-être plus à craindre d'un recours collectif massif de leurs d'utilisateurs que des actions de hackers ... Que LE JEU commence.»
Sur le même sujet :
- Le piratage, une épine dans le « cloud » de Sony
- Piratage : après avoir touché le fond, Sony creuse
- Playstation Network : Sony reçoit le trophée des emmerdes
- PlayStation Network : 77 millions de comptes dans la nature