Playstation Network : le DSI de Sony admet "une vulnérabilité connue" et nomme un RSSI
Après la fuite de données sensibles de son Playstation Network, la direction du géant japonais a fait acte de contrition. Elle annonce revoir et muscler la sécurité de son système d'information.
Les millions de clients du site de jeux en ligne Playstation Network de Sony ont pu avoir peur : leurs informations personnelles ont été exposées lors de l'intrusion d'un pirate dans le système d'information du géant japonais.
Ensuite, certains clients qui avaient donné leur identifiants bancaires à ce PlayStation Network, ont déclaré avoir subi des opérations suspectes sur leur compte en banques. Enfin, des pirates comercialisent actuellement ce qu'ils prétendent être 2,2 millions d'identifiants bancaires complets des clients de ce PlayStation Network.
Excuses publiques du DSI
Face à l'ampleur de la situation et la gravité des faits reprochés, le Top Management de Sony a dû s'expliquer plus en détail sur l'origine de l'attaque qui a eu lieu en avril sur son datacenter de San Diego (Californie) hébergé par l'opérateur américain AT&T.
Shinji Hasejima, le DSI de Sony, a ainsi dû s'excuser publiquement.
Shinji Hasejima a admis que l'attaque était fondée sur une "vulnérabilité connue" affectant "le serveur d'une application Web" utilisé dans le PlayStation Network. Il a refusé de préciser de quelle(s) plateforme(s) ou de quelle vulnérabilité il s'agissait, prétextant que la divulgation de la faille pourrait exposer les utilisateurs à d'autres attaques.
Le DSI a également admis que la direction Sony n'avait pas été consciente de la vulnérabilité, ce qui aura pour conséquence la création d'un poste de RSSI "pour améliorer et renforcer ces aspects".
Nouvelles mesures de sécurité
Ce n'est pas tout. Parmi les nouvelles mesures de sécurité annoncées par le géant japonais, figurent la relocalisation des données dans un autre datacenter "déjà en cours de construction". Sony va également imposer aux utilisateurs du PlayStation Network de changer leur mot de passe. Ces changement devront soit provenir du même matériel qui a originellement crée le compte soit être confirmée par e-mail.
Les autres mesures de protection comprennent des pare-feu supplémentaires, une meilleure gestion des confirmations d'enregistrement de compte, et des "mécanismes de détection automatiques" pour identifier le trafic réseau inhabituel.
Sony paye, et dédramatise
Le vice-président exécutif de Sony, Kazuo Hirai a également rappelé que si 78 millions de comptes avaient été compromis, le nombre de personnes et de numéro de carte de crédit touchées ne serait selon lui que de 10 millions de clients "car certains ont plusieurs comptes". Il a aussi confirmé avoir demandé au FBI d'enquêter.
Sony prévoit de rétablir son service cette semaine. Evidemment, les utilisateurs auront droit à une compensation sous forme de service offert.
Sony a également répété que les données sensibles des moyens de paiements avaient été cryptés et que rien ne prouvait que les pirates possèdent les informations permettant de réaliser des transactions bancaires frauduleuses en ligne. Le géant japonais a néanmoins déclaré que si ses clients doivent payer pour la réémission de leur carte de crédit, il prendrait ces frais à sa charge.