Durant l'attaque, des millions de données personnelles et bancaires ont été subtilisées. Le , Sony ferme le PlayStation Network quelques jours après l'intrusion. Avec un total de plus de 77 millions d'utilisateurs[1],[3],[4], le nombre de vols de données et d'identifiants en fait la plus grande faille du réseau depuis son lancement en 2006[5],[6]. De lourdes pertes financières se comptant en milliards de dollars ont été recensées et un bon nombre d'actions en justice ont été engagées contre la firme[1],[7],[8]. Pour compenser les utilisateurs du réseau, Sony dédommage financièrement les utilisateurs affectés par les vols et offre deux jeux gratuitement téléchargeables sur cinq mois ainsi qu'un mois gratuit au service PlayStation Plus[1],[9].
Le , une restauration régionale est annoncée par Kazuo Hirai, porte-parole de Sony, dans une vidéo officielle[10]. Sony débute la remise en ligne du PlayStation Network par région et par continent au courant du [11].
Prémices
Des pirates informatiques avaient d'ores et déjà planifié leur attaque contre le PlayStation Network. Le , ceux-ci avaient trouvé une faille dans le système, et contrairement à ce qui a été dit au départ, Sony avait bien mis à jour les serveurs Apache[12]. Au début du mois d', une attaque est menée par le groupe Anonymous pour protester contre l'attitude procédurière de Sony à l'encontre de George Hotz (GeoHot), l'auteur du piratage de la PlayStation 3 qui a notamment permis le fonctionnement de logiciels jugés illégaux sur la console[13],[14],[15]. Le , une intrusion est commise dans les serveurs de Sony Online, responsables des MMORPG de Sony. Les pirates informatiques repartent avec les données personnelles d'environ 25 millions de comptes d'utilisateurs[16]. L'attaque est survenue entre le 17 et le [17] sur les services du PlayStation Network et de Qriocity. Des millions de données personnelles non chiffrées ont été dérobées[18],[19].
Réponses de Sony
Le mercredi , Sony coupe entièrement et mondialement les services du PlayStation Network et de Qriocity à cause de l'attaque du 17 au . Cette maintenance est la plus longue qu'a connu le réseau depuis son lancement en 2006[5],[6]. Durant le début de la maintenance, les équipes de Sony, notamment Patrick Seybold de Sony Computer Entertainment, mettent à jour les informations obtenues par le biais de plusieurs comptes de réseaux sociaux et notamment sur Twitter ainsi que sur leur blog officiel[1]. Au lendemain de la maintenance, le jeudi , il est expliqué que la maintenance pourrait durer deux jours, tout au plus, avant un retour du PSN[1],[20], mais celle-ci, à la suite de l'« intrusion extérieure » ayant affecté les services du PlayStation Network et de Qriocity, durera en réalité plus longtemps que prévu[17],[1],[21]. Sony informe les internautes que les équipes se mobilisent et travaillent 24 heures sur 24 au rétablissement. Sony garantit cependant que les données personnelles, notamment les coordonnées bancaires, ne sont pas concernées par le problème[1] mais la firme se contredit quelques jours plus tard et rapporte, le , que des données d'utilisateurs ont été piratées en même temps que le réseau, incluant les noms, adresses et adresses électroniques, dates d'anniversaire, pseudonymes et mots de passe. Certaines données de profils d'utilisateurs, incluant historiques des paiements, factures et réponses aux questions de sécurité PlayStation Network, auraient été illégalement obtenues[22],[23]. Le , le réseau est toujours en maintenance et Sony n'annonce toujours aucune date de remise en service[24], mais informe cependant les internautes d'un possible dédommagement des utilisateurs[25]. Patrick Seybold précise que les infrastructures du groupe et les centres de données sont transférés à de nouveaux endroits, plus sécurisés[1],[26]. Sony annonce le retour d'une partie des services à partir du [1], avant que Seybold explique : « [les] équipes travaillent jour et nuit pour une reprise aussi rapide que possible. Nous espérons pouvoir relancer quelques services d'ici une semaine à compter d'hier (mercredi 27 avril). Toutefois, nous voulons être très clairs, nous relancerons le service uniquement quand nous serons certain qu'il sera parfaitement sécurisé. Nous ne savons pas encore quels services seront remis en ligne en premier »[1]. Une nouvelle FAQ apportant des précisions sur le PSNgate est publiée le [27].
Le , lors d'une conférence de presse tenue par les porte-paroles de Sony Corporation, Kazuo Hirai, Shinji Hasejima et Shiro Kambe, Sony annonce un retour partiel des services dans un délai d'une semaine, par zone géographique, soit à partir du [1],[28],[29] avec un système plus fiable et plus sécurisé[26],[30]. Les autres services de jeux en ligne, de musiques et vidéos seront les premiers disponibles[28],[31],[32]. Contrairement à ce qui a été annoncé lors de la conférence, les utilisateurs n'auront pas l'obligation de réinitialiser leur mot de passe depuis la PS3[1]. Le , Kazuo Hirai répond, avant le délai fixé, au Congrès américain et rédige une lettre de huit pages[33]. Malgré la conférence du 1er mai, le réseau reste toujours inactif[34]. Patrick Seybold explique que « les équipes de Sony Network Entertainment et de Sony Computer Entertainment ont commencé les étapes du test interne du nouveau système » qu'ils déterminent comme une « étape importante dans la restauration des services du PlayStation Network et de Qriocity »[34],[35]. Le , Sony propose à ses clients de mieux protéger leurs données personnelles contre d'éventuels vols d'identité. Cette proposition se concrétise avec l'annonce d'un programme, nommé AllClear ID, pour tous les possesseurs d'un compte PlayStation Network ou Qriocity aux États-Unis[36],[37]. Le , face à la menace d'une nouvelle attaque, Sony reporte de nouveau, par prudence, la remise en ligne des serveurs[34],[38],[39],[40]. Cette troisième attaque s'est produite mais n'a fait aucun dégât[41]. En raison de plusieurs reports et du mécontentement de millions d'utilisateurs[4], la firme décide de ne plus donner de date quant à la remise en ligne du réseau[42],[43]. Cependant, cette précocité est due aux nombreuses vérifications supplémentaires requises pour assurer la sécurité du réseau[44],[45],[46]. Shigenori Yoshida, porte-parole de Sony, annonce que les services du PlayStation Network et de Qriocity pourraient ne pas être totalement opérationnels avant le [1],[47]. En date du , Sony rapporte que les phases internes du jeu sont terminées et qu'il en est aux tests externes du réseau[1],[19].
Depuis la fermeture, certaines sorties de jeux ont été reportées[1],[48]. Un communiqué apparaît sur le site PlayStation Japonais indiquant que Sony redémarrera les services par région comme prévu, le constructeur semblant prêt pour une remise en service rapide au Japon, même si quelques vérifications restent à effectuer[26]. Sony expose la version 3.61 de la version firmware du PlayStation 3. Le , Kazuo Hira annonce officiellement la phase de restauration du réseau à commencer par l'Amérique du Nord et du Sud, l'Europe, l'Australie, la Nouvelle-Zélande et le Moyen-Orient[11]. Durant la nuit du 15 au , une courte interruption à la suite d'une énorme surcharge du réseau est détectée[1], mais la panne ne dure environ que deux heures.
Poursuites
L'annonce de la maintenance du PlayStation Network a fait émerger de multiples questions sur la manière dont tous ces problèmes ont pu survenir. Sony Computer Entertainment of America confirme au FBI qu'il a pu y avoir d'éventuels vols de données bancaires mais, celles-ci étant chiffrées, le risque de vol est extrêmement faible. Sony s'associe à différentes polices, dont le FBI, pour traquer les responsables du PSNgate. La firme s'est également attaché les services de deux équipes de détectives privés et d'une troisième de consultants[1]. Sony envisage de proposer une récompense à toute personne pouvant lui permettre d'arrêter les coupables[49].
Accusations
Durant le mois d'avril, Sony se refuse à tout commentaire concernant le groupe Anonymous, qui dément toute activité de piratage concernant le PSN, mais explique toutefois que d'autres activistes auraient pu réagir seuls[50],[51]. Ce n'est qu'à partir du que la firme accuse le groupe Anonymous d'être à l'origine de l'attaque lorsqu'un fichier nommé « Anonymous », avec le slogan « We are Legion », a été retrouvé dans les fichiers serveurs de la firme[1],[33],[52],[53],[54],[55]. Le , les accusations contre Anonymous au sein des joueurs se font ressentir, bien que le groupe ait auparavant démenti son implication dans le piratage du réseau[33],[52],[55]. Quelques rumeurs laissaient, au départ, penser que les auteurs du piratage étaient employés ou ex-employés chez Sony[56] : quelques jours avant le piratage, Sony avait licencié 200 personnes[1]. Dans un courrier envoyé au journal anglais, The Guardian, le groupe explique que « La personne responsable du vol de cartes de crédit est allée à l'encontre du modus operandi et des intentions d'Anonymous. Le soutien du public ne se gagne pas en volant des cartes bancaires et des informations personnelles. Nous essayons de combattre les activités criminelles menées par certaines sociétés ou gouvernements, pas de voler des numéros de cartes. [...] Si une enquête honnête et légitime est menée sur l'affaire des cartes bancaires, Anonymous sera acquitté. Bien que notre groupe soit éparpillé et décentralisé, nos "responsables" ne pardonnent pas le vol de cartes de crédit »[55]. Le vol des numéros de carte bancaires n'étant pas prouvé le doute subsiste toujours. Deux jours après, deux membres de longue date d'Anonymous confirment que le groupe est impliqué dans le PSNgate[57]. Dans une lettre datant du , d'autres membres d'Anonymous démentent ce qu'affirment les deux membres concernant l'attaque[58]. Le , il est rapporté qu'un canal de discussion de la communauté Anonymous est à son tour piraté et expose les adresses IP de tous les utilisateurs ayant participé à la discussion[59].
Critiques
Durant la fin du mois d', les mises à jour quotidiennes et les notifications sur le blog officiel PlayStation concernant cette situation critique se multiplient, mais Sony ne donne aucune excuse aux clients mécontents[60]. À la place, la société remercie leurs clients de leur patience et regrette la situation à de multiples occasions. La firme promet des remboursements auprès des utilisateurs abonnés pour les dégâts occasionnés[61]. Michael On, gérant de fonds chez Beyond Asset Management, déclare que « Le directeur général devrait démissionner après ces problèmes de piratage et l'échec du groupe en matière de nouveaux produits compétitifs [...] La manière dont Sony s'est occupé de tout cela tend à prouver que [la société] n'a pas la capacité de gérer les crises »[62].
Vols de données et fraudes
Le , pratiquement une semaine après la fermeture du réseau, Sony confirme qu'il « n'exclut pas la possibilité »[1],[63] que des données personnelles telles que les pseudonymes PlayStation Network, mots de passe, adresses et adresses électroniques aient été corrompues[42],[23],[64]. Sony mentionne également de possibles vols de données bancaires. Certains utilisateurs clament que Sony a négligé la situation des vols de données bancaires du et que la société aurait dû révéler, dès le départ, ces vols plutôt que de les annoncer le [65]. Cette histoire se focalise sur les violations du PCI et le fait de n'avoir donné aucune information ou explication sur d'éventuels vols de données. Le sénateur américain, Richard Blumenthal, écrit au chef de Sony Computer Entertainment America, Jack Tretton, concernant Sony et demande pourquoi la société a mis tout ce temps pour informer les utilisateurs que leurs données personnelles auraient été obtenues par le biais d'un accès non autorisé[66],[8]. La firme rétorque qu'elle ne voulait pas donner d'informations « partielles ou incomplètes » à ses clients avant de connaître l'ampleur de l'attaque[23]. Le groupe VISA informe que les utilisateurs de carte bancaire devraient « surveiller et signaler toute activité suspecte inhabituelle à leur banque »[1].
Il est rapporté, le samedi , que des utilisateurs de chez PlayStation ont été victimes de fraudes bancaires[67], cependant il paraissait difficile de savoir si ces fraudes étaient liées à l'incident. Des utilisateurs ayant enregistré leurs données bancaires seulement chez Sony ont également été victimes de fraudes bancaires[1],[68],[69]. Il est, plus tard, révélé que les principales entreprises de cartes de crédit n'ont rapporté aucune transaction frauduleuse qui serait en lien avec la cyber-attaque dont l'entreprise a été victime[23]. Patrick Seybold explique, auprès des utilisateurs, que « l'usage frauduleux lié au piratage n'est pour le moment que spéculation et dément l'existence d'une liste en vente sur les réseaux frauduleux, et le fait que Sony se soit vu proposer un rachat »[1],[70].
Lors de la conférence du , Kazuo Hirai envisage un remboursement éventuel des utilisateurs abonnés au réseau[1]. Le , la firme confirme sa certitude concernant l'utilisation frauduleuse des cartes bancaires, les pirates ne possédant pas les trois chiffres du cryptogramme visuel[1]. Le quotidien américain New York Times s'appuie sur les propos d'un chercheur de la sécurité informatique, Kevin Stevens, et soutient que 2,2 millions de cartes bancaires étaient mis en vente sur des sites clandestins (pour une somme entre 50 000 et 100 000 dollars)[71],[72],[73]. Le , Sony affirme « avoir retiré d'internet les noms et adresses de 2 500 participants à un concours volés par les hackers et publiés sur un site »[41]. Cependant, ces coordonnées datent de l'année 2001 et la firme précise que « le site internet était périmé et inactif » lorsqu'il a été découvert[1],[74].
Failles du système
À la fin d', les sites de vidéos en streamingHulu, Vudu, Netflix et Lovefilm sont inaccessibles et exposent le même message de maintenance[75], malgré le fait que certains utilisateurs disent avoir réussi à accéder aux services de Netflix[76]. Alors que la maintenance continue, la PlayStation 3 est incapable d'afficher un certain nombre de jeux Capcom téléchargés depuis le PlayStation Store[77].
Le , Sony reconnaît avoir été au courant de la sensibilité du PlayStation Network et de n'y avoir prêté aucune réelle attention. Shinji Hasejima explique que « la vulnérabilité du réseau était connue, une des plus connues au monde. Mais Sony n'y était pas assez sensible... n'en était pas convaincu. Nous essayons maintenant de l'améliorer »[1],[78]. Le professeur Gene Spafford(en), de l'université Purdue, révèle que Sony utilisait des versions obsolètes de logiciels et que ses serveurs n'étaient pas protégés par un pare-feu[34],[46],[79],[80]. Sony dément totalement ces accusations mais affirme également que le « soi-disant expert » se révèle finalement incapable d'avancer la moindre preuve de la négligence de la société[12]. L'expert affirme, sur son compte Twitter, que ses phrases avaient été coupées et sorties de leur contexte[12]. Le , des membres du site Electronic Theatre possédant un compte PSN ont reçu des courriels en provenance d'une source inconnue qui se fait passer pour Sony Computer Entertainment, et certains utilisateurs appellent donc à la vigilance[34]. Il est rapporté, en date du , que le serveur aurait été attaqué par le biais d'un serveur du site Amazon[81],[82].
Conséquences
Pertes
À la suite de l'intrusion et de la fermeture du PlayStation Network, l'action en bourse Sony a connu une baisse de son cours d'action et s'expose à des pertes à la bourse de Tokyo[8]. La société aurait baissé de 5 % le jeudi et la maintenance, les éventuelles compensations pour les consommateurs ainsi que la sécurisation du réseau auraient coûté 2 milliards de dollars[8]. Après avoir perdu près de 8 % depuis le début de la maintenance, l'action du constructeur remonte de 2,5 %, au matin du , à 2 316 yen[83]. Lors d'un recensement des ventes d'occasion de consoles, depuis le , celles de la PlayStation 3 se multiplient depuis la fermeture du réseau[84]. Une fraction importante des vendeurs opte pour une Xbox 360 du concurrent Microsoft[85].
Les pertes étaient au départ estimées à 10 millions de dollars par semaine depuis la fermeture du réseau le [86]. D'après le Ponemon Institute, institut spécialisée en sécurité informatique, l'addition maximum était évaluée entre 1,5 et 24 milliards de dollars, parmi le manque de bénéfices et les plaintes des consommateurs[80],[86]. Nobuo Kurahashi, analyste de Mizuho Investors Securities, pensait que le piratage des serveurs pouvait coûter 1,2 milliard de dollars, alors que Yuji Fujimori, de Barclays Capital, estimait que les chiffres s'élèveraient à 2,7 milliards de dollars (soit 1,9 milliard d'euros)[1],[86]. La porte-parole de Sony, Kumie Tanaka, explique dans le Wall Street Journal, que la firme examine l'ampleur et les chiffres exacts des pertes causée par le PSNGate[87]. Des petits commerces dépendant du réseau ont vu leurs ventes et bénéfices diminuer. L'entreprise Capcom commente que les pertes se comptent en millions de dollars[48]. Le bilan des pertes estime que le chiffre total s'élève à 170 millions de dollars, soit 121 millions d'euros[88].
Actions contre Sony
Plusieurs actions légales et gouvernementales ont été portées contre Sony. La révélation de possibles détournements de données privées concerne les autorités mondiales. La commissaire à la protection de la vie privée du Canada, Jennifer , confirme que les autorités canadiennes se penchent sur cet incident[89].
Un utilisateur nommé Kristopher Johns (de Birmingham, Alabama, aux États-Unis) décide de porter plainte, le , contre Sony à cause de la faille de sécurité du PSN[1],[90],[91]. Une jeune femme de 21 ans, nommée Natasha Maksimovic (Mississauga, Ontario, au Canada) décide également de porter plainte contre la firme le [7]. Celle-ci ne demande pas moins de 1 040 000 000 dollars en compensation du préjudice subit et s'adresse, par le biais d'un communiqué, à la firme, expliquant : « Si vous ne pouvez pas croire une multinationale de l'importance de Sony, en qui pouvez vous avoir confiance ? Il me semble que Sony cherche plus à protéger ses jeux que les utilisateurs de PlayStation »[7],[1],[92]. Le , la société britanniqueInformation Commissioner's Office (ICO) condamne la société européenne de Sony à une amende de 250 000 livres, soit environ 300 000 euros, reprochant à la compagnie « d'avoir négligé des failles de sécurité qui auraient pu être corrigées bien avant les fuites », ce que l'équipe de Sony avait d'ailleurs admis[93]. Cependant, il n'existe aucune véritable preuve tangible concernant l'utilisation d'éventuelles données bancaires volées, mais la faiblesse des protections justifie cette amende selon le bureau. Sony Europe note malgré tout sa volonté de faire appel[93].
Dédommagements
Lors d'une conférence de presse ayant lieu le , Sony annonce plusieurs mesures afin « d'exprimer la gratitude de la société pour la patience, le soutien et la fidélité des consommateurs » : une sélection de contenu de divertissement PlayStation en téléchargement gratuit, 30 jours d'abonnement gratuit au service PlayStation Premium Plus (les utilisateurs déjà membres de PlayStation Plus reçoivent 30 jours de service gratuit)[94],[95]. Les clients abonnés à Music Unlimited alimenté par les services Qriocity recevront 30 jours de service gratuit[96].
Le vendredi , trois semaines après le plantage du réseau, Sir Howard Stringer, président de Sony, sort du silence et s'exprime sur l'affaire secouant l'entreprise. Il explique que la firme offrira un contenu appelé « Welcome Back » à leurs clients une fois que les services seront rétablis[42],[97]. Ce contenu est dévoilé au courant du et propose deux jeux gratuits sur cinq à télécharger[9]. La firme inclut, en plus d'autres avantages, un mois gratuit au service PlayStation Plus pour tous les clients du PSN, ainsi qu'une extension de leur abonnement aux clients du service PlayStation Plus et de Music Unlimited pour compenser le temps perdu[1]. Sony annonce, le , le contenu Welcome Back au Japon[98], et dans d'autres pays et régions asiatiques (Hong Kong, Singapour, Malaisie, Thaïlande et Indonésie)[99]. Hormis les jeux offerts, d'autres petits goodies comme des images (avatar pour les comptes du réseau) pouvaient être gratuitement téléchargées.
Jeux PlayStation 3 disponibles par région (uniquement pendant un mois)
↑(en) Johnny Minkley, PSN: The PR Disaster : Opinion, (lire en ligne) :
« In just seven days, what began as frustration at not being able to play online has unraveled into an unprecedented crisis in which tens of millions of users' personal data and – possibly – banking details have been compromised. »
↑ abc et d(fr) Marie-Eve Morasse,, « Attaques contre son système: Sony a trouvé des traces d'Anonymous », Technaute.ca (Montréal), (lire en ligne, consulté le )
↑(en) Tom Ivan, « PlayStation Network down for seventh day, Sony hopes to restore it 'within a week' », computerandvideogames.com, (lire en ligne, consulté le )
↑(en) « PlayStation Network Hacked - Your Personal Details Could Be At Risk! », Rockstar Gaming, (lire en ligne, consulté le )
La version du 26 novembre 2011 de cet article a été reconnue comme « bon article », c'est-à-dire qu'elle répond à des critères de qualité concernant le style, la clarté, la pertinence, la citation des sources et l'illustration.