Affaire PlayStation Network : les attaques auraient utilisé le Cloud d'Amazon
Sony commence à réactiver ses services

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 16/05/11

Le PlayStation Network commence juste à se remettre des attaques perpétrées contre Sony. Attaques dont on ne sait toujours que peu de choses, à part qu'elles ont abouti au vol d'informations personnelles sur les 77 millions de membres des réseaux de jeux de Sony (Playstation Gaming Network et Sony Online Entertainment division).

Sony avait dans un premier temps accusé le célèbre groupe Anonymous qui avait immédiatement démenti (lire ci-avant). Quelques heures plus tard, le Financial Time faisait pourtant savoir que deux anciens membres de l'organisation avaient contacté le FBI pour confirmer que Anonymous était bien impliqué.

Anonymous avait alors admis qu'il était possible que des personnes se revendiquant du groupe aient pu fomenté l'attaque mais qu'il s'agirait alors d'un abus de leur part, le groupe ne cautionnant jamais le vol de données comme les numéros de carte bleue. La structure non-hiérarchique et totalement décentralisée de l'organisation officieuse explique lesnombreuses confusions possibles.

Si on ne sait pas exactement qui a attaqué, on sait en revanche aujourd'hui d'où les attaques venaient.

D'après Bloomberg, les pirates auraient utilisé des instances Amazon EC2, la plate-forme de Cloud Computing de Amazon pour casser les défenses de Sony. Pour louer ce service, des données erronées auraient été fournies lors de l'inscription et de la mise en service. Le compte a depuis été repéré et fermé par Amazon.

L'utilisation de la puissance de calcul du Cloud (et de la bande passante temporaire supplémentaire qu'il permet) pour des exploits, des hacks ou des attaques criminelles n'est pas une première. A tel point que l'on peut se demander si les pirates n'ont pas compris avant les autres ses avantages.

Un hacker (pas un pirate) avait ainsi fait la démonstration qu'il était possible de casser rapidement l'algorithme SHA-1, sans aucun matériel puissant et – point le plus important - pour un prix dérisoire en utilisant, lui aussi, AmazonEC2.

Cette preuve de faisabilité faisait suite à une autre affaire. Zeus, le fameux Trojan avait réussi quelques semaines plus tôt à s'immiscer dans un site hébergé par Amazon et à se propager ainsi grâce au Cloud.

Quoiqu'il en soit, les services de Sony commencent à rouvrir doucement leurs portes, en commençant par les Etats-Unis. Pour y accéder, les utilisateurs devront impérativement mettre à jour le firmeware de leurs consoles et changer leurs mots de passe (qui devront par ailleurs être impérativement plus complexes que précédemment).

Reste à savoir si les joueurs seront effectivement au rendez-vous. Car comme dit le proverbe : « Chat échaudé, etc. ».

Sources :

Financial Time
Bloomberg
Sony


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de berceker united berceker united - Expert confirmé https://www.developpez.com
le 16/05/2011 à 12:04
Le service de jeux en ligne a été réactivé en France hier soir vers 20h. Il y avait tellement de monde que certain jeux étaient saturé comme Call of Duty. Tout les services n'était pas activés comme le service playstation network permettant de voir les dernières nouveauté des jeux et démo. Le service de musique en ligne Qriocity aussi n'était pas activé à ce moment là. Ce site était partiellement fermé. Il était possible d'écouter de la musique que 30 secondes par titre.
Avatar de Sunchaser Sunchaser - Membre émérite https://www.developpez.com
le 16/05/2011 à 14:04
RRooooo, pinaise ! Trop cool.
Trop bien, je vais prendre une journée off rien que pour pouvoir me défouler, c'est que j'ai pleins de gens a tuer, moi !
Allez hop, fusil a l'épaule, qui viens avec moi ?


Mince, on va vraiment finir par me prendre pour un barjot moi ... ah, mais, on me dit dans l'oreillette que c'est trop tard et que ca, ca fait longtemps que c'est fait.
Tant pis.
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 19/05/2011 à 8:28
Nouvelle vulnérabilité découverte dans les services de Sony
Après les attaques et les fuites de données confidentielles d'utilisateurs

Mise à jour du 19/05/11

Les ennuis se succèdent pour Sony. Après l'attaque de ses serveurs et la fuite de données personnelles de ses clients, la société japonaise avait renforcé sa sécurité et rouvert ses services en début de semaine (lire ci-avant).

Les utilisateurs du PlayStation Network, de Sony Online Entertainment et de Qriocity étaient alors invités à changer leurs mots de passe.

Problème, le processus de réinitialisation de ces mots de passe utilise des données volées lors de l'attaque. Il suffit en effet de connaître la date de naissance et l'e-mail d'un utilisateur pour le modifier.

La société relativise cependant la gravité de la faille potentielle : « contrairement à ce que disent certains rapports, il n'y avait pas de hack impliqué. Le processus de réinitialisation des mots de passe était vulnérable à un un exploit utilisant une URL, vulnérabilité que nous avons colmatée ».

Et de confirmer que « les utilisateurs qui n'ont pas réinitialisé leur mot de passe pour le PSN sont invités à le faire directement depuis leur PS3 » ou sur Playstation.com lorsque les pages concernées seront remises en ligne.

Le découvreur de la faille conseille lui aussi de créer un nouveau mot de passe mais en plus « de changer l’adresse mail utilisée par une nouvelle qui ne sera communiquée nulle part ailleurs […] pour plus de sécurité ».

Aucun piratage de compte n'aurait été relevé. Mais deux précautions valent mieux qu'une.

Source : Site du Hacker à l'origine de la découverte, Blog Playstation
Avatar de RomainVALERI RomainVALERI - Expert confirmé https://www.developpez.com
le 19/05/2011 à 11:05
Citation Envoyé par Charvalos Voir le message
... je pense que cela va servir de leçon et que les autres entreprises (Microsoft, Nintendo, etc) vont sûrement revoir leur politique de sécurité.
Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 19/05/2011 à 18:33
Citation Envoyé par RomainVALERI Voir le message
Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...
Si si, des centrales au japon vont fermer et certains programmes de R&D sur le nucléaire seront stoppés. Ils ont bien tiré des leçons des catastrophes, juste pas les bonnes.
Mais à chaud, est-ce qu'on peux en vouloir à des gens qui pensent plus à leur fric qu'à un véritable projet sur le long terme? (valable pour les patrons de sony)
Avatar de tulipebleu tulipebleu - Membre régulier https://www.developpez.com
le 01/06/2011 à 9:28
Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.

Pratiquement aucune entreprise d'informatique n'a les moyens de payer jour et nuit des gardes pour éviter de se faire voler physiquement des disques dure, ni d'être toujours à jour au niveau sécurité (mise à jour logiciel, nouvelle méthode d'attaque, etc...)

Enfin, cela montre aussi qu'il faudra un jour ou l'autre définir de nouveau protocole web qui serons fiable. Ces nouveaux protocoles ne serons certainement pas compatibles, mais au moins ils seront sécurisés. Ce sera la fin du DNS Spoofing, du spaming, etc... Peut être qu'il faudra attendre 50 ans, ou de les grands acteurs (Microfost, IBM, etc...) se fasse hacker dans les grandes largeurs le même mois, mais cela arrivera tôt ou tard.
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 01/06/2011 à 18:50
Citation Envoyé par tulipebleu Voir le message
Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.
Probablement, mais c'est toujours la même chose : équilibrer sécurité et côté pratique.
Personnellement je connais pas mon numéro par cœur : j'ai 3 CB et ça veut juste pas rentrer. Je peux comprendre qu'il y en ait qui apprécient de pas aller chercher leur CB à chaque fois.
D'ailleurs, si tout le monde prend l'habitude de taper ses coordonnées à chaque fois au lieu de les garder retenues sur des serveurs "de confiance," ils vont trouver normal de faire ça partout, au cybercafé, devant tout le monde, et d'ailleurs il peut très bien y avoir un spyware sur leurs PCs habituels. C'est la même chose que le mot de passe trop chiant qui se retrouve sur un post-it.

Note : est-ce que ça veut dire que j'enregistre mes coordonnées partout ? Non. Moi je suis un sale geek qui code au lieu d'aller me baigner quand il fait soleil le week-end. J'ai des scripts qui remplissent les coordonnées à ma place, sous le nez de la plupart des spywares. L'idée pourrait se généraliser avec le stockage hors-ligne ou d'autres protocoles comme le MS Wallet de l'époque, sauf que ça les spywares peuvent l'espionner quand même.
Idée de la mort : un protocole pour dire d'aller chercher les coordonnées bancaires sur l'ADSL box, qui n'accepte de les donner que si on lui en donne l'ordre par un moyen indépendant comme un bouton de la box ou le téléphone portable, dans les 5 minutes. Ces coordonnées sont effacées lors qu'on débranche le câble d'alim. Ou si on ne lui donne pas régulièrement un code genre blizzard authenticator. Quel est le lien entre tout ça ? Moi, mon intégrité physique. Craquez-moi ça*.

* Simple : aller chercher les coordonnées chez un prestataire qui casse tout ce beau schéma en enregistrant mes coordonnées. Ou bien qui n'implémente pas ce protocole. Foutue chaîne aussi faible que son maillon le plus faible.
Avatar de ManusDei ManusDei - Expert confirmé https://www.developpez.com
le 03/06/2011 à 9:31
Le gouvernement parlait à une époque d'une clef USB, sur laquelle on aurait tous nos codes, qui permettrait de s'authentifier.

Il y avait eu une annonce sur le sujet sur le forum à un moment.
Avatar de Sunchaser Sunchaser - Membre émérite https://www.developpez.com
le 03/06/2011 à 9:47
Bonjour,

J'ai entendu ce matin que c'était reparti pour un tour. Un "groupe de vilains garnements" déclare avoir volé a nouveau 1 million de données confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?
Avatar de Rayek Rayek - Modérateur https://www.developpez.com
le 03/06/2011 à 11:27
Citation Envoyé par Sunchaser Voir le message
Bonjour,

J'ai entendu ce matin que c'était reparti pour un tour. Un "groupe de vilains garnements" déclare avoir volé a nouveau 1 million de données confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?
Tu as les sources ?
Car le PSN est bien reparti depuis hier
Contacter le responsable de la rubrique Accueil