Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Nouvelle vulnérabilité découverte dans les services de Sony
Après les attaques et les fuites de données confidentielles d'utilisateurs

Le , par Gordon Fowler

0PARTAGES

0  0 
Mise à jour du 19/05/11

Les ennuis se succèdent pour Sony. Après l'attaque de ses serveurs et la fuite de données personnelles de ses clients, la société japonaise avait renforcé sa sécurité et rouvert ses services en début de semaine (lire ci-avant).

Les utilisateurs du PlayStation Network, de Sony Online Entertainment et de Qriocity étaient alors invités à changer leurs mots de passe.

Problème, le processus de réinitialisation de ces mots de passe utilise des données volées lors de l'attaque. Il suffit en effet de connaître la date de naissance et l'e-mail d'un utilisateur pour le modifier.

La société relativise cependant la gravité de la faille potentielle : « contrairement à ce que disent certains rapports, il n'y avait pas de hack impliqué. Le processus de réinitialisation des mots de passe était vulnérable à un un exploit utilisant une URL, vulnérabilité que nous avons colmatée ».

Et de confirmer que « les utilisateurs qui n'ont pas réinitialisé leur mot de passe pour le PSN sont invités à le faire directement depuis leur PS3 » ou sur Playstation.com lorsque les pages concernées seront remises en ligne.

Le découvreur de la faille conseille lui aussi de créer un nouveau mot de passe mais en plus « de changer l’adresse mail utilisée par une nouvelle qui ne sera communiquée nulle part ailleurs […] pour plus de sécurité ».

Aucun piratage de compte n'aurait été relevé. Mais deux précautions valent mieux qu'une.

Source : Site du Hacker à l'origine de la découverte, Blog Playstation

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 19/05/2011 à 18:33
Citation Envoyé par RomainVALERI Voir le message
Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...
Si si, des centrales au japon vont fermer et certains programmes de R&D sur le nucléaire seront stoppés. Ils ont bien tiré des leçons des catastrophes, juste pas les bonnes.
Mais à chaud, est-ce qu'on peux en vouloir à des gens qui pensent plus à leur fric qu'à un véritable projet sur le long terme? (valable pour les patrons de sony)
2  0 
Avatar de RomainVALERI
Expert confirmé https://www.developpez.com
Le 19/05/2011 à 11:05
Citation Envoyé par Charvalos Voir le message
... je pense que cela va servir de leçon et que les autres entreprises (Microsoft, Nintendo, etc) vont sûrement revoir leur politique de sécurité.
Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...
1  0 
Avatar de tulipebleu
Membre régulier https://www.developpez.com
Le 01/06/2011 à 9:28
Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.

Pratiquement aucune entreprise d'informatique n'a les moyens de payer jour et nuit des gardes pour éviter de se faire voler physiquement des disques dure, ni d'être toujours à jour au niveau sécurité (mise à jour logiciel, nouvelle méthode d'attaque, etc...)

Enfin, cela montre aussi qu'il faudra un jour ou l'autre définir de nouveau protocole web qui serons fiable. Ces nouveaux protocoles ne serons certainement pas compatibles, mais au moins ils seront sécurisés. Ce sera la fin du DNS Spoofing, du spaming, etc... Peut être qu'il faudra attendre 50 ans, ou de les grands acteurs (Microfost, IBM, etc...) se fasse hacker dans les grandes largeurs le même mois, mais cela arrivera tôt ou tard.
1  0 
Avatar de thelvin
Modérateur https://www.developpez.com
Le 01/06/2011 à 18:50
Citation Envoyé par tulipebleu Voir le message
Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.
Probablement, mais c'est toujours la même chose : équilibrer sécurité et côté pratique.
Personnellement je connais pas mon numéro par cœur : j'ai 3 CB et ça veut juste pas rentrer. Je peux comprendre qu'il y en ait qui apprécient de pas aller chercher leur CB à chaque fois.
D'ailleurs, si tout le monde prend l'habitude de taper ses coordonnées à chaque fois au lieu de les garder retenues sur des serveurs "de confiance," ils vont trouver normal de faire ça partout, au cybercafé, devant tout le monde, et d'ailleurs il peut très bien y avoir un spyware sur leurs PCs habituels. C'est la même chose que le mot de passe trop chiant qui se retrouve sur un post-it.

Note : est-ce que ça veut dire que j'enregistre mes coordonnées partout ? Non. Moi je suis un sale geek qui code au lieu d'aller me baigner quand il fait soleil le week-end. J'ai des scripts qui remplissent les coordonnées à ma place, sous le nez de la plupart des spywares. L'idée pourrait se généraliser avec le stockage hors-ligne ou d'autres protocoles comme le MS Wallet de l'époque, sauf que ça les spywares peuvent l'espionner quand même.
Idée de la mort : un protocole pour dire d'aller chercher les coordonnées bancaires sur l'ADSL box, qui n'accepte de les donner que si on lui en donne l'ordre par un moyen indépendant comme un bouton de la box ou le téléphone portable, dans les 5 minutes. Ces coordonnées sont effacées lors qu'on débranche le câble d'alim. Ou si on ne lui donne pas régulièrement un code genre blizzard authenticator. Quel est le lien entre tout ça ? Moi, mon intégrité physique. Craquez-moi ça*.

* Simple : aller chercher les coordonnées chez un prestataire qui casse tout ce beau schéma en enregistrant mes coordonnées. Ou bien qui n'implémente pas ce protocole. Foutue chaîne aussi faible que son maillon le plus faible.
0  0 
Avatar de ManusDei
Expert confirmé https://www.developpez.com
Le 03/06/2011 à 9:31
Le gouvernement parlait à une époque d'une clef USB, sur laquelle on aurait tous nos codes, qui permettrait de s'authentifier.

Il y avait eu une annonce sur le sujet sur le forum à un moment.
0  0 
Avatar de Sunchaser
Membre expert https://www.developpez.com
Le 03/06/2011 à 9:47
Bonjour,

J'ai entendu ce matin que c'était reparti pour un tour. Un "groupe de vilains garnements" déclare avoir volé a nouveau 1 million de données confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?
0  0 
Avatar de Rayek
Modérateur https://www.developpez.com
Le 03/06/2011 à 11:27
Citation Envoyé par Sunchaser Voir le message
Bonjour,

J'ai entendu ce matin que c'était reparti pour un tour. Un "groupe de vilains garnements" déclare avoir volé a nouveau 1 million de données confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?
Tu as les sources ?
Car le PSN est bien reparti depuis hier
0  0 
Avatar de Sunchaser
Membre expert https://www.developpez.com
Le 03/06/2011 à 11:38
Citation Envoyé par Rayek Voir le message
Tu as les sources ?
Car le PSN est bien reparti depuis hier
Heu, non, désolé par directement.
J'ai vu çà du coin de l’œil ce matin sur des chaines d'infos (du style BFM tv ou autres la). Mais bon, moi le matin, çà va pas fort et c'est peut être eux qui sont "buggé" pour le coup (avec une mauvaise info); mais ils n'ont pas dit que pour le moment les serveurs étaient encore "off", juste l'info qu'il y aurait eu encore piratage.
0  0 
Avatar de FaridM
Membre expérimenté https://www.developpez.com
Le 03/06/2011 à 13:47
Des infos ici : lemonde.fr
0  0 
Avatar de Rayek
Modérateur https://www.developpez.com
Le 03/06/2011 à 14:22
Citation Envoyé par Farid63 Voir le message
Des infos ici : lemonde.fr
Ok, mais ce n'est pas le PSN, mais un autre site qui a été "hacké".
0  0