Nouvelle vulnérabilité découverte dans les services de Sony
Après les attaques et les fuites de données confidentielles d'utilisateurs

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 19/05/11

Les ennuis se succèdent pour Sony. Après l'attaque de ses serveurs et la fuite de données personnelles de ses clients, la société japonaise avait renforcé sa sécurité et rouvert ses services en début de semaine (lire ci-avant).

Les utilisateurs du PlayStation Network, de Sony Online Entertainment et de Qriocity étaient alors invités à changer leurs mots de passe.

Problème, le processus de réinitialisation de ces mots de passe utilise des données volées lors de l'attaque. Il suffit en effet de connaître la date de naissance et l'e-mail d'un utilisateur pour le modifier.

La société relativise cependant la gravité de la faille potentielle : « contrairement à ce que disent certains rapports, il n'y avait pas de hack impliqué. Le processus de réinitialisation des mots de passe était vulnérable à un un exploit utilisant une URL, vulnérabilité que nous avons colmatée ».

Et de confirmer que « les utilisateurs qui n'ont pas réinitialisé leur mot de passe pour le PSN sont invités à le faire directement depuis leur PS3 » ou sur Playstation.com lorsque les pages concernées seront remises en ligne.

Le découvreur de la faille conseille lui aussi de créer un nouveau mot de passe mais en plus « de changer l’adresse mail utilisée par une nouvelle qui ne sera communiquée nulle part ailleurs […] pour plus de sécurité ».

Aucun piratage de compte n'aurait été relevé. Mais deux précautions valent mieux qu'une.

Source : Site du Hacker à l'origine de la découverte, Blog Playstation


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de RomainVALERI RomainVALERI - Expert confirmé https://www.developpez.com
le 19/05/2011 à 11:05
Citation Envoyé par Charvalos Voir le message
... je pense que cela va servir de leçon et que les autres entreprises (Microsoft, Nintendo, etc) vont sûrement revoir leur politique de sécurité.
Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 19/05/2011 à 18:33
Citation Envoyé par RomainVALERI Voir le message
Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...
Si si, des centrales au japon vont fermer et certains programmes de R&D sur le nucléaire seront stoppés. Ils ont bien tiré des leçons des catastrophes, juste pas les bonnes.
Mais à chaud, est-ce qu'on peux en vouloir à des gens qui pensent plus à leur fric qu'à un véritable projet sur le long terme? (valable pour les patrons de sony)
Avatar de tulipebleu tulipebleu - Membre régulier https://www.developpez.com
le 01/06/2011 à 9:28
Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.

Pratiquement aucune entreprise d'informatique n'a les moyens de payer jour et nuit des gardes pour éviter de se faire voler physiquement des disques dure, ni d'être toujours à jour au niveau sécurité (mise à jour logiciel, nouvelle méthode d'attaque, etc...)

Enfin, cela montre aussi qu'il faudra un jour ou l'autre définir de nouveau protocole web qui serons fiable. Ces nouveaux protocoles ne serons certainement pas compatibles, mais au moins ils seront sécurisés. Ce sera la fin du DNS Spoofing, du spaming, etc... Peut être qu'il faudra attendre 50 ans, ou de les grands acteurs (Microfost, IBM, etc...) se fasse hacker dans les grandes largeurs le même mois, mais cela arrivera tôt ou tard.
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 01/06/2011 à 18:50
Citation Envoyé par tulipebleu Voir le message
Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.
Probablement, mais c'est toujours la même chose : équilibrer sécurité et côté pratique.
Personnellement je connais pas mon numéro par cœur : j'ai 3 CB et ça veut juste pas rentrer. Je peux comprendre qu'il y en ait qui apprécient de pas aller chercher leur CB à chaque fois.
D'ailleurs, si tout le monde prend l'habitude de taper ses coordonnées à chaque fois au lieu de les garder retenues sur des serveurs "de confiance," ils vont trouver normal de faire ça partout, au cybercafé, devant tout le monde, et d'ailleurs il peut très bien y avoir un spyware sur leurs PCs habituels. C'est la même chose que le mot de passe trop chiant qui se retrouve sur un post-it.

Note : est-ce que ça veut dire que j'enregistre mes coordonnées partout ? Non. Moi je suis un sale geek qui code au lieu d'aller me baigner quand il fait soleil le week-end. J'ai des scripts qui remplissent les coordonnées à ma place, sous le nez de la plupart des spywares. L'idée pourrait se généraliser avec le stockage hors-ligne ou d'autres protocoles comme le MS Wallet de l'époque, sauf que ça les spywares peuvent l'espionner quand même.
Idée de la mort : un protocole pour dire d'aller chercher les coordonnées bancaires sur l'ADSL box, qui n'accepte de les donner que si on lui en donne l'ordre par un moyen indépendant comme un bouton de la box ou le téléphone portable, dans les 5 minutes. Ces coordonnées sont effacées lors qu'on débranche le câble d'alim. Ou si on ne lui donne pas régulièrement un code genre blizzard authenticator. Quel est le lien entre tout ça ? Moi, mon intégrité physique. Craquez-moi ça*.

* Simple : aller chercher les coordonnées chez un prestataire qui casse tout ce beau schéma en enregistrant mes coordonnées. Ou bien qui n'implémente pas ce protocole. Foutue chaîne aussi faible que son maillon le plus faible.
Avatar de ManusDei ManusDei - Expert confirmé https://www.developpez.com
le 03/06/2011 à 9:31
Le gouvernement parlait à une époque d'une clef USB, sur laquelle on aurait tous nos codes, qui permettrait de s'authentifier.

Il y avait eu une annonce sur le sujet sur le forum à un moment.
Avatar de Sunchaser Sunchaser - Membre émérite https://www.developpez.com
le 03/06/2011 à 9:47
Bonjour,

J'ai entendu ce matin que c'était reparti pour un tour. Un "groupe de vilains garnements" déclare avoir volé a nouveau 1 million de données confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?
Avatar de Rayek Rayek - Modérateur https://www.developpez.com
le 03/06/2011 à 11:27
Citation Envoyé par Sunchaser Voir le message
Bonjour,

J'ai entendu ce matin que c'était reparti pour un tour. Un "groupe de vilains garnements" déclare avoir volé a nouveau 1 million de données confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?
Tu as les sources ?
Car le PSN est bien reparti depuis hier
Avatar de Sunchaser Sunchaser - Membre émérite https://www.developpez.com
le 03/06/2011 à 11:38
Citation Envoyé par Rayek Voir le message
Tu as les sources ?
Car le PSN est bien reparti depuis hier
Heu, non, désolé par directement.
J'ai vu çà du coin de l’œil ce matin sur des chaines d'infos (du style BFM tv ou autres la). Mais bon, moi le matin, çà va pas fort et c'est peut être eux qui sont "buggé" pour le coup (avec une mauvaise info); mais ils n'ont pas dit que pour le moment les serveurs étaient encore "off", juste l'info qu'il y aurait eu encore piratage.
Avatar de FaridM FaridM - Membre expérimenté https://www.developpez.com
le 03/06/2011 à 13:47
Des infos ici : lemonde.fr
Avatar de Rayek Rayek - Modérateur https://www.developpez.com
le 03/06/2011 à 14:22
Citation Envoyé par Farid63 Voir le message
Des infos ici : lemonde.fr
Ok, mais ce n'est pas le PSN, mais un autre site qui a été "hacké".
Contacter le responsable de la rubrique Accueil