Sony Playstation Network accusé de ne pas mettre à jour Apache

Un expert en sécurité a livré un témoignage officiel accablant Sony. Le géant japonais a de son côté mis en place sa feuille de route pour la reprise de ses activités.

Sony qui ne met pas à jour Apache et n'utilise pas de pare feu ? Cela peut sembler difficile à croire, mais c'est pourtant ce que vient de déclarer officiellement, devant le Congrès, l'expert en sécurité Gene Spafford, au sujet de la spectaculaire fuite de données qui affecte Sony. 

"Les serveurs de jeux en réseau étaient hébergés sur des serveurs Web Apache. Mais, ils étaient exécutés sur de très vieilles versions du logiciel, qui n'ont pas été mises à jour et ne bénéficiaient pas de pare-feu", a témoigné Gene Spafford lors de son audience devant la Chambre de l'Energie et du Commerce des Etats-Unis, dans le cadre de l'enquête du Congrès sur la fuite de données

 

Une vulnérabilité publique non-corrigée depuis plus de deux mois ?

Pire, la vulnérabilité aurait été découverte "il y a deux à trois mois avant l'incident". Un message d'alerte avait même été posté dans un forum public, mais aucun changement ou mise à jour n'avait été constaté ensuite. La faille aurait donc été exposée au grand jour, et Sony n'aurait donc rien fait, selon ce professeur et chercheur à l'Université Purdue et directeur de l'école Education and Research in Information Assurance and Security.

Cet expert a été convoqué à cette audience dédiée à faire la lumière sur l'incident, tout comme Sony, qui a refusé d'y envoyer un représentant. Le géant japonais a cependant envoyé 8 pages de réponses écrites aux questions du Congrès. Cette lettre est signée du responsable du département touché par l'incident, le Sony Computer Entertainment. Dans ce document, Kazuo Hirai accuse les Anonymous, rappelant que la fuite de donnée avait eu lieu très peu de temps après les attaques par déni de service subies par Sony et revendiquées par ce collectif.

 

Sony accuse les anonymes  

Sony a par ailleurs fait savoir qu'un fichier nommé Anonymous, et contenant l'un des slogans du collectif ("We Are Legion") avait été retrouvé dans l'un des systèmes piratés. Cette découverte a été faite lors des investigations légales actuellement menées de concert par les sociétés spécialisées Data Forte, Guidance Software et Protivit, venues épauler Sony.

Le piratage pourra coûter plusieurs milliards de dollars à Sony.

La lettre de réponse de Kazuo Hirai précise également que des informations bancaires vraisemblablement incomplètes, cryptées ou obsolètes, de 12,3 millions de clients ont été exposées. Cependant, si de nombreuses requêtes sur des bases de données contenant des informations personnelles (noms, prénoms, lieux, etc.) ont bien été repérées dans le cadre des investigations légales, aucune trace des requêtes ou des transferts de données concernant les informations sur les cartes de crédit n'était visible.

Par ailleurs, Kazuo Hirai indique qu'aucune transaction bancaire frauduleuse en rapport avec cette attaque n'a été rapportée par les sociétés de carte de crédit.

 

Reprise d'activité

Le P-DG de Sony, Howard Stringer, a également publié une lettre ouverte dans laquelle il s'excuse publiquement. Il indique également que Sony est en "phase finale de tests internes" avant de rétablir le service.

Howard Stringer a également annoncé le lancement, aux Etats-Unis dans un premier temps, d'une assurance contre le vol d'identité d'un montant de 1 million de dollar par utilisateur. Enfin, il annonce également avoir conclu un accord avec la société spécialisée dans la protection d'identité Debix afin d'offrir un service d'identification (appelé AllClear ID Plus) à ses clients. Sans compter de multiples autres services offerts.

En tout le montant total du piratage pourra coûter plusieurs milliards de dollars à Sony. Le sérieux Ponemon Institute, indique une somme de 24 milliards de dollars. C'est l'estimation la plus élevée.

Le montant pourrait cependant être plus important, en cas de nouvelle attaque. En effet, d'après le Cnet, une autre attaque majeure serait prévue pour ce week-end. Le motif invoqué ? La mauvaise gestion de la faille par Sony.