En ce Dimanche de Fête du Travail, certains se tiennent pourtant la tête entre les mains sur leur lieu de travail (je ne parle pas de moi, mais), notamment chez Sony : le constructeur japonais vit en effet depuis quelques mois une crise sans précédent sur la sécurité de ses services, notamment autour de la PlayStation 3.
Un ensemble de crises et de guerres contre les hackers qui ont mené ces derniers jours au plus grand vol de comptes de l’histoire : 77 millions, plus quelques millions de numéros de Carte Bleues potentiellement utilisables. Face à l’ampleur de cette crise, Sony a bien plus à perdre qu’on ne pourrait le penser et sa gestion de crise ne laisse rien présager de bon. Résumé et analyses dans la suite.
…………………………
//10 JOURS PLUS TARD
Récapituler l’affaire PSN est assez ardu, vu le nombre d’embranchements, d’affaires dans l’affaire et de rumeurs. Je vous la fais donc en mode série télé : « previously, on… »
- Entre le 17 et le 19 Avril, Sony s’aperçoit d’une intrusion extérieure dans les serveurs du PlayStation Network et du service Qriocity.
- La décision de les mettre hors-ligne est prise le 20, sans en avertir les utilisateur ni les médias ni leur expliquer la situation. Raison officiellement invoquée ? Une maintenance technique.
- La maintenance, qui ne devait durer que 48h00, atteint son 5e jour, toujours sans communication de la part de Sony. La grogne générale se transforme en levée de boucliers et intense speculation. La piste du hacking commence à prendre forme, d’autant que le célèbre collectif de hackers Anonymous avait annoncé début Avril préparer des attaques contre Sony, en représailles des actions judiciaires menées contre deux hackers, dont le célèbre GeoHot (voir plus bas).
Sony engage en parallèle des experts en sécurité extérieurs à la société et collabore avec le FBI pour évaluer l’ampleur des dégâts et retrouver les auteurs du coup.
- Le 26 Avril enfin, par le biais de son blog, Sony officialise l’attaque subie par ses services, un record mondial : des hackers se sont introduits dans les serveurs et ont récupéré l’intégralité des comptes du PSN et de Qriocity. Montant du butin ? 77 millions de comptes contenant Noms, prénoms, mails, mots de passe, adresses physiques et numéro de cartes bleues pour environ 10 millions d’entre eux. Cette dernière donnée, sûrement la plus sensible est toujours sujet à débat: Sony assure que les données étant cryptées (notamment le code de sécurité), les hackers ne peuvent rien en faire.
Dans le doute « et par excessive prudence », ils conseillent cependant à leurs membres de changer leurs mots de passe dès le retour des services et de vérifier leur compte en banque.
Toute l’infrastructure de sécurité serait remise à plat et à jour, ce qui demande un temps certain, une semaine au moins.
- Le 28 Avril, le New York Time rapporte que de nombreux forums de hacking bruissent de la mise en vente supposée d’une première partie des numéros de carte bleue, environ 2,2 millions, pour une mise à prix initiale de 100 000 $ – sachant que sur le marché noir des numéros de carte bleue, le prix unitaire se négocie entre 0,10$ et 700$.
Le NYT rapporte également que les hackers auraient tenté de revendre la liste à Sony, sans retour. Dans la foulée, les premières plaintes (qui risquent d’engendrer des class actions, très coûteuses) tombent.
- Depuis quelques jours, Sony communique plus via son blog avec des questions / réponses qui tentent d’éluder un maximum de points, tout en restant flous sur le fameux point de la carte de crédit. Un flou pas très bienvenu.
- Dernière rumeur en date, un log de discussion IRC sur le channel #PS3Dev, supposé celui entre les hackers avant l’attaque. Le site de Wired apporte rapidement une contre-preuve : Oui, ces hackers parlaient de la sécurité des serveurs de Sony, non ils ne comptaient pas les attaquer, ce ne sont pas les auteurs du forfait.
On comprend en tout cas que les versions d’Apaches utilisées sur les serveurs d’authentification du PSN n’étaient pas à jour et que les manières de s’infiltrer étaient légions. C’est d’ailleurs via un firmware custom appelé « Codename Rebug » que des hackers pouvaient se connecter au PSN et en récupérer tout le contenu sans payer, mais également via des fonctions inutilisées du firmware officiel, permettant de se connecter sans se logger.
Ces quelques facettes du « PSNGate » montrent à quel point la sécurité de Sony était un vrai gruyère, moqué de la communauté des hackers depuis des mois déjà.
- Aujourd’hui, Sony vient d’annoncer plusieurs choses : les dates de remise en service du PSN et de Qriocity et les dédommagements potentiels pour les utilisateurs, sous forme d’allongement de l’abonnement au PSN+ ou de contenu gratuit en cadeau.
…………………………
//ET CA CONTINUE, ENCORE ET ENCORE
Quelle affaire mes amis. Même si un expert en sécurité cité par Wired pense que l’attaque n’était pas dirigé spécifiquement contre Sony, mais contre une société possédant beaucoup de comptes (cela aurait pu être Microsoft comme Amazon ou Apple), cela commence à faire beaucoup pour le géant japonais, qui accumule depuis quelques mois les casseroles en terme de sécurité.
Cela avait commencé fort dès le début de l’année avec l’affaire « fail0verflow« , du nom du collectif de hackers ayant fait tomber la sécurité de la PS3, la seule encore inviolée de sa génération.
Au lieu de modifier la console, ces derniers avaient tout simplement décrypté la clef privée d’authentification des jeux utilisée par Sony. Avec une petite manipulation, on pouvait alors faire reconnaître à la console n’importe quel programme ou copie de jeu. Et impossible pour Sony de changer cette clef, sous peine de rendre tous les jeux PS3 vendus jusqu’alors inutilisables. Une impasse qui sonnait le début des ennuis pour le constructeur.
Second volet, avec le célèbre GeoHot, une des figures de la scène jailbreak de l’iPhone. Moins d’un mois après l’affaire fail0verflow, il annonce avoir hacké la console « par curiosité » et par envie d’ouvrir un système fermé. Cela aurait pu être un nouveau camouflet pour Sony, mais le constructeur, sûrement sur les nerfs, à emprunté en réaction la voie brutale.
Attaquant en justice GeoHot et un second hacker, elle a également forcé des décisions de justice pour obtenir les IP des personnes ayant commenté les vidéos ou les posts de GeoHot, ou téléchargé son jailbreak. Une manoeuvre spectaculaire mais maladroite: en effet, la collecte de ces données ne prouve en rien que ces personnes se trouvent dans l’illégalité. Par contre, Sony s’est mis des milliers de gamers, internautes et hackers à dos en lançant cette chasse aux sorcières aveugle et aggressive, le mythe du gentil hacker contre la méchante multinationale ne les aidant également pas.
Le piratage historique du PSN et de Qriocity s’ils ne semblent finalement pas liés aux représailles d’Anonymous sur l’affaire Geohot, représentent la goutte d’eau qui pourrait faire déborder le vase et ce, pour plusieurs raisons.
…………………………
//LES PERTES IMMEDIATES
La conséquence la plus simple est le blocage du système. Disparaître du radar durant deux semaines – dont une sans laisser d’explications – va coûter chèrement au PSN (sur lequel je me concentrerai, n’ayant pas d’expérience utilisateur de Qriocity).
Il y a tout d’abord les habitués dont l’entrée à leur réseau favori est fermée et muette. Il y a ensuite toutes les transactions (ventes de jeux, DLC, micro paiements) tout bonnement stoppées, j’y reviendrai plus tard.
Lorsqu’un réseau de l’importance du PSN s’arrête durant – au mois – 2 semaines, les séquelles sont évidentes.
Si l’affaire du Red Ring Of Death avait coûté pas moins d’un milliard de dollars à Microsoft et que l’Antenna Gate avait largement limité les bénéfices d’Apple sur ses millions de housses non vendues mais offertes, Sony devrait également largement ouvrir son portefeuille en terme de contenu offert.
…………………………
//LA PERTE DE CONFIANCE
Le plus grave traumatisme sera sans doute celui des joueurs. Au delà de la communication de crise assez maladroite de la part de Sony, c’est un lien de confiance qui vient d’être brisé. Comment se dire que l’on va retourner mettre ses informations et son numéro de carte bleue sur un réseau qui a prouvé son inefficacité et son insécurité ? Comment ne pas être profondemment embêté de devoir changer tous ses mots de passe sur le net similaires à celui de son PSN, de devoir faire opposition sur sa Carte Bleue au cas où ? Ces tracasseries sont déjà bien énervantes pour un vol de portefeuille / téléphone, mais quand c’est lié à ce qui est censé être un service de pur loisir…
Les gamers sont souvent venus sur console pour obtenir un service plus accessible, simple et sécuritaire que sur PC, des garanties aujourd’hui brisées. S’il est difficile de recruter de nouveaux membres, il est encore plus difficile de les rattraper une fois ces derniers partis. Et où iraient ces gamers déçus ? Devinez.
…………………………
//LE BENEFICE A LA CONCURRENCE
C’est de manière polie(ssone) que Microsoft a annoncé un arrivage massif de nouveaux utilisateurs ces derniers jours sur le Live, assurant que ses serveurs « robustes » pourront tenir la charge et offrir une expérience sans égale et en toute sécurité. Cela peut paraître trivial entre deux constructeurs habitués aux joutes verbales et coups de com’, mais cela pèse lourd à mon sens.
Le PSN a toujours porté une image de service bien en retrait comparé au XBox Live. Bien que ce dernier soit payant, son ergonomie, la richesse de ses services, le nombre d’exclusivités via la Live Arcade et la qualité du réseau l’ont toujours placé en tête. C’est même à mon sens l’argument de vente numéro 1 de la 360 face à la PS3.
Et Sony, qui a longtemps couru après le Live en améliorant son offre PSN, vient de trébucher – et saigne gravement. L’image du challenger doit apporter innovation, meilleur rapport qualité / prix et attaquer le leader sur ses fondements. Avec ce coup d’arrêt, le PSN semble avoir signé sa reddition sur cette génération de consoles : le Live apparaîtra durablement comme le leader incontesté du secteur.
…………………………
//LA MASCOTTE DES HACKERS
Si Microsoft peut également se réjouir, c’est sur l’image de marque. La firme américaine a souvent été (et est encore) associée à celle des virus, des hackers et des malwares.
En quelques mois, Sony semble être devenu la nouvelle coqueluche des hackers et des bidouilleurs, bien décidés à faire payer au constructeur japonais son attitude fermée et aggressive envers la communauté du modding / hacking.
L’exemple de Kinect est ainsi assez parlant: pendant que Sony attaquait à tout va les hackers, Microsoft flairait le filon des bidouilleurs de Kinect et ouvrait pour la première fois les drivers de l’un de ses produits hardware, entraînant une énorme vague de sympathie, une visibilité régulière avec des posts et des vidéos Youtube montrant les exploits des amateurs, sans pour autant remettre en question les ventes élevées de Kinect, bien au contraire.
La culture Internet a montré qu’il est facile de tomber dans le collimateur du groupe et de se faire taper dessus à tort ou à raison. Si les enchaînements d’évènements de Sony depuis début 2011 vont lui coûter négativement sur sa cible (les clients), ils risquent également de la rendre très populaire auprès d’une autre cible, qu’elle aimerait bien éviter (les hacker, modders et bidouilleurs)…
…………………………
//LA MISE EN DANGER DES DEVELOPPEURS
Dernier point moins visible, mais qui a son importance : la mise en danger de la base de l’écosystème PSN, les développeurs. Car s’il est évident que l’arrêt longue durée du PSN a coûté autant en chiffre d’affaire perdu sur les ventes et les DLC, que penser du long terme ?
Comme dit plus haut, Sony va perdre des certains utilisateurs dans cette affaire, mais surtout la confiance de tous les autres. Comment avoir envie de dépenser sur un réseau qui est désormais synonyme de hack, de piratage et de revente de données personnelles et sensibles ?
La communauté des développeurs, qui ne porte déjà pas spécialement le PSN dans son coeur (le Live est bien plus rentable), s’inquiète ouvertement des conséquences à long terme et de la viabilité du PSN pour créer du business. Et dans ces développeurs, il y a les gros éditeurs qui vendent des costumes, des reprises de vieux hits ou des maps supplémentaires, mais il y a aussi et surtout des développeurs indépendants dont l’équilibre financier est toujours très précaire. L’arrêt sec puis le ralentissement possible des transaction sur leur environnement de marché pourrait signer leur arrêt de mort, surtout lorsque l’on sait que le PS Store risque de prendre un mois entier pour réouvrir !
Et ces dernières années, ces « petits développeurs » ont montré à quel point ils pouvaient peser dans la balance, en terme de chiffre d’affaire comme d’image de marque. Des titres comme Flower, Limbo et autres Shadow Complex le prouvent : les exclusivités sont la fondation d’une marketplace saine. Si les développeurs quittent le PSN, les conséquences seront en cascade et dramatiques.
…………………………
//J’EN AI REVE, SONY L’A PAS VRAIMENT FAIT
Que faire maintenant ? La situation est, à la veille d’un E3 où Nintendo sera la star avec sa nouvelle console, critique pour Sony. Il faut rattraper gamers, développeurs, investisseurs et experts de la sécurité.
Les premières mesures annoncées par le géant de Tokyo semblent pour le moment bien timides. En substance, cela donne : « oui, nous remettons en place une sécurité à jour, oui, vous aurez un mois de PSN+ gratuit, voire du contenu non identifié encore en cadeau. » Hey Sony, c’est ça, votre opération « Welcome Back » ? Du flou, du vent ?
Je suis partisan d’une politique « oeil pour oeil ». A crise spectaculaire, mesures spectaculaires. Microsoft avait encaissé sans compter le scandale du RROD avec des prises en charge systématiques et organisées des consoles défectueuses, Apple avait offert des housses pour son iPhone 4 etc. Et encore, ces scandales ne touchaient pas à la sécurité du consommateur. Nous parlons ici de 77 millions de comptes dans la nature, et de possiblement entre 2,2 et 10 millions de numéros de carte bleue sur le marché noir !
Alors cher Sony, ce n’est pas ton mois gratuit de services « Plus » qui va calmer tes membres et rassurer tes actionnaires. Je te demande autre chose, un coup d’éclat, soutenu par une politique nécessaire et solide de remise en question. Arrêter de courir après deux adolescents bidouilleurs et des internautes et frapper le plus fort comme le faisaient les major du disque via la RIAA il y a 10 ans, par exemple. Arrêter un hacker, c’est couper la tête d’une hydre. Perdre un client du PSN, c’est une perte sèche et souvent définitive.
Rendre la future version du PSN+ gratuite pour tous, offrir 20$/€ de crédit à dépenser librement, proposer une mise à jour régulière et facile du mot de passe (je rappelle qu’il n’existe aujourd’hui aucun moyen de récupérer un mot de passe oublié sur le PSN…), ouvrir les firmwares (de toute façon déjà forcés) de la console, changer la structure, toute en webservices, des serveurs… Il y a beaucoup à faire et à offrir pour tenter de juguler l’hémorragie d’utilisateurs et développeurs qui risque d’aller chez le concurrent. Et les annonces d’aujourd’hui, timides et vagues, montre que Sony et sa communication de crise assez pathétique, n’a pas bien mesuré l’ampleur du nouveau Tsunami qui est en train de frapper son pays virtuel. Attention, cela pourrait être fatal.
…………………………
“Les Chroniques du Week End sont des réflexions de Lâm Hua sur la culture et l’industrie geek. Elles engagent les opinions de leur auteur et pas nécessairement celles de l’ensemble de la rédaction du JDG.
…………………………
Vos meilleurs commentaires et suggestions : à vous de jouer !