# Le club des professionnels en informatique > La taverne du Club : Humour et divers > Jeux >  Sony : 24,6 millions de comptes SOE compromis

## Idelways

*Nouvelle vulnrabilit dcouverte dans les services de Sony*
*Aprs les attaques et les fuites de donnes confidentielles d'utilisateurs*

*Mise  jour du 19/05/11*


Les ennuis se succdent pour Sony. Aprs l'attaque de ses serveurs et la fuite de donnes personnelles de ses clients, la socit japonaise avait renforc sa scurit et rouvert ses services en dbut de semaine (lire ci-avant).

Les utilisateurs du PlayStation Network, de Sony Online Entertainment et de Qriocity taient alors invits  changer leurs mots de passe.

Problme, le processus de rinitialisation de ces mots de passe utilise des donnes voles lors de l'attaque. Il suffit en effet de connatre la date de naissance et l'e-mail d'un utilisateur pour le modifier.

La socit relativise cependant la gravit de la faille potentielle : _ contrairement  ce que disent certains rapports, il n'y avait pas de hack impliqu. Le processus de rinitialisation des mots de passe tait vulnrable  un un exploit utilisant une URL, vulnrabilit que nous avons colmate_ .

Et de confirmer que _ les utilisateurs qui n'ont pas rinitialis leur mot de passe pour le PSN sont invits  le faire directement depuis leur PS3_  ou sur Playstation.com lorsque les pages concernes seront remises en ligne.

Le dcouvreur de la faille conseille lui aussi de crer un nouveau mot de passe mais en plus _ de changer ladresse mail utilise par une nouvelle qui ne sera communique nulle part ailleurs [] pour plus de scurit_ .

Aucun piratage de compte n'aurait t relev. Mais deux prcautions valent mieux qu'une.

*Source* : Site du Hacker  l'origine de la dcouverte, Blog Playstation

*MAJ de Gordon Fowler*


*Affaire PlayStation Network : les attaques auraient utilis le Cloud dAmazon*
*Les services de Sony commencent juste  tre ractivs*

*Mise  jour du 16/05/11*


Le PlayStation Network commence juste  se remettre des attaques perptres contre Sony. Attaques dont on ne sait toujours que peu de choses,  part qu'elles ont abouti au vol  d'informations personnelles sur les 77 millions de membres des rseaux de jeux de Sony (Playstation Gaming Network et Sony Online Entertainment division).

Sony avait dans un premier temps accus le clbre groupe Anonymous qui avait immdiatement dmenti (lire ci-avant). Quelques heures plus tard, le Financial Time faisait pourtant savoir que deux anciens membres de l'organisation avaient contact le FBI pour confirmer que Anonymous tait bien impliqu.

Anonymous avait alors admis qu'il tait possible que des personnes se revendiquant du groupe aient pu foment l'attaque mais qu'il s'agirait alors d'un abus de leur part, le groupe ne cautionnant jamais le vol de donnes comme les numros de carte bleue. La structure non-hirarchique et totalement dcentralise de l'organisation officieuse explique lesnombreuses confusions possibles.

Si on ne sait pas exactement qui a attaqu, on sait en revanche aujourd'hui d'o les attaques venaient.

D'aprs Bloomberg, les pirates auraient utilis des instances Amazon EC2, la plate-forme de Cloud Computing de Amazon pour casser les dfenses de Sony. Pour louer ce service, des donnes errones auraient t fournies lors de l'inscription et de la mise en service. Le compte a depuis t repr et ferm par Amazon.

L'utilisation de la puissance de calcul du Cloud (et de la bande passante temporaire supplmentaire qu'il permet) pour des exploits, des hacks ou des attaques criminelles n'est pas une premire. A tel point que l'on peut se demander si les pirates n'ont pas compris avant les autres ses avantages.

Un hacker (pas un pirate) avait ainsi fait la dmonstration qu'il tait possible de casser rapidement l'algorithme SHA-1, sans aucun matriel puissant et  point le plus important - pour un prix drisoire en utilisant, lui aussi,  AmazonEC2.

Cette preuve de faisabilit faisait suite  une autre affaire. Zeus, le fameux Trojan avait russi quelques semaines plus tt  s'immiscer dans un site hberg par Amazon et  se propager ainsi grce au Cloud.

Quoiqu'il en soit, les services de Sony commencent  rouvrir doucement leurs portes, en commenant par les Etats-Unis. Pour y accder, les utilisateurs devront imprativement mettre  jour le firmeware de leurs consoles et changer leurs mots de passe (qui devront par ailleurs tre imprativement plus complexes que prcdemment).

Reste  savoir si les joueurs seront effectivement au rendez-vous. Car comme dit le proverbe :  Chat chaud, etc. .

*Sources* :

Financial Time
Bloomberg
Sony

*MAJ de Gordon Fowler*



*Sony affirme avoir trouv un fichier incriminant Anonymous*
*Dans l'attaque de sa plate-forme et refuse de tmoigner devant le congrs*

*Mise  jour du 05/05/11*

Sony souponne Anonymous, le groupe de hackers (ou de pirates, selon les avis) d'tre  l'origine de l'attaque ayant compromis 24,6 millions de comptes de joueurs et entran une fermeture temporaire de sa plate-forme Online Sony Online Entertainment (SOE).

Hier, le constructeur Japonais tait convoqu  une audience avec un sous-comit de parlementaires amricains pour s'expliquer sur cet exploit et la fuite de millions de rfrences bancaires qui s'en est suivi.

Mais Sony n'a pas daign rpondre  cet appel et a eu recours  un autre moyen pour fournir des explications au sous-comit.

Dans une lettre adress aux parlementaires, Sony a ainsi fourni des informations et son analyse de l'attaque. Une attaque que la marque qualifie de particulirement bien prpare :  _nous avons t victime d'une attaque bien planifie, trs professionnelle et trs sophistiques_ crit Kazuo Hirai, responsable de la filiale amricaine de Sony.

On apprend galement par ce texte que des preuves auraient t trouves lors de l'enqute interne, notamment un fichier qui incriminerait des  hacktivistes  qui se revendiquent -  tort ou  raison - de Anonymous.

_Lorsque Sony Online Entertainment a dcouvert dimanche dernier que des donnes sur ses serveurs avaient t compromises, il a aussi constat que les intrus avaient copi un fichier ''Anonymous'' avec les mots ''Nous sommes lgion''_  prcise Kazuo Hirai.

Le collectif Anonymous avait dj cibl les serveurs de Sony avec plusieurs attaques par Deni de Service pour protester contre la poursuite en justice par le constructeur Japonais du hacker Geohot, qui avait dvelopp un outil permettant de dverrouiller la PlayStation 3.

De son cot, le groupe Anonymous n'a fait aucune revendication, et dment catgoriquement avoir t l'auteur du vol des donnes des clients de Sony.  

Sony, qui prend la situation trs au srieux, a dj ajout  sa plate-forme de jeux en ligne un logiciel de surveillance automatise, de gestion de configuration et de chiffrement pour augmenter le niveau de scurit.

Reste que la communication de Sony et sa gestion de l'affaire sont vertement critiqus. Pas sr que ces critiques n'gratignent pas de manire durable l'image de marque de la division jeu de Sony.

*Source* : Lettre de Sony au Congrs et dmenti de Anonymous

*Et vous ?*

 ::fleche::  Que pensez-vous de la gestion de Sony de cette affaire ?
 ::fleche::  Pensez-vous qu'Anonymous peut tre derrire l'attaque malgr le dmenti ? Et si non, qui a laiss ce message avec la devise du groupement ?

*Mise  jour de Hinault Romaric*


*Sony : 24,6 millions de comptes SOE compromis*
*L'entreprise arrte temporairement toute activit de sa division de jeux en ligne*



Le cauchemar continue pour Sony qui vient d'annoncer la fermeture temporaire de toute activit de sa division de jeux de rle on-line (Sony Online Entertainment)  la suite d'une brche de scurit ayant permis le vol d'informations personnelles de 24.6 millions de comptes.

La semaine passe, un rapport avait avanc le chiffre de 77 millions de comptes, mais Sony vient de reconnaitre aujourd'hui, au terme de lenqute prliminaire, le tiers de ce chiffre.

Sony reconnait aussi dans sa dclaration le vol d'une ancienne base de donnes datant de 2007, compromettant les informations confidentielles de 12 000 utilisateurs durant cette attaque subie dans la nuit du 16 au 17 avril.

Cette base de donnes contient les numros de 12 700 cartes de crdit ou de dbit (ainsi que leurs dates d'expiration, mais sans le code de scurit) et environ 10 700 dossiers de domiciliation bancaire d'utilisateurs australiens, allemands, nerlandais et espagnols.

Sur la base compromise, les donnes taient seulement haches sans tre chiffres (mots de passe compris), Sony recommande donc  ses anciens utilisateurs de changer leurs informations d'identification et tre vigilants face aux ventuelles tentatives dhameonnage.

Sony affirme toutefois n'avoir trouv aucun indice, que sa base de donnes principale a t compromise et assure que cette dernire est dans un environnement spar et  _compltement scuris_ .

Le patron de Sony et d'autres hauts responsables du constructeur japonais ont prsent leurs excuses publiques aux millions d'utilisateurs dont les informations ont t compromises lors d'une confrence de presse organise  Tokyo.

[ame="http://www.youtube.com/watch?v=l0d6u7pEDgw"]Confrence de presse[/ame]

Sony assure prendre trs au srieux la scurit de sa plateforme et engage une firme de scurit reconnue pour mener une enqute dtaille. Sony promet aussi de renforcer la scurit de ses infrastructures rseau pour offrir une meilleure protection  ses utilisateurs.


*Source* : site officiel de SOE, Bloomberg, BBC

*Et vous ?*

 ::fleche::  Que pensez-vous de cette attaque ? Quelles seraient ses rpercussions sur la division de divertissement de Sony ?

----------


## fregolo52

> *Et vous ?*
> 
>  Que pensez-vous de cette attaque ? Quelles seraient ses rpercussions sur la division de divertissement de Sony ?


Vu que c'est un (le ?) gant du jeu vido qui c'est fait attaquer, reste  esprer que les autres fassent plus attention  la scurit (j'ai une WII, mais je ne sais pas si Nintendo a le mme genre de service  ::oops:: ).
Je pense que les MMORPG o les utilisateurs peuvent laisser leur numro de carte pour un rabonnement automatique sont une vraie cible. Ca fait peur !! J'ai mon numro de carte sur Battle.Net.

Donc, ne pas se focaliser sur le cas Sony !! Ca peut arriver  d'autre.

----------


## Charvalos

> Que pensez-vous de cette attaque ?


Le problme, c'est que notre avis peut changer si on savait QUI tait derrire ces attaques.

Or, on ne sais toujours pas qui s'est "amus"  attaquer les serveurs de chez Sony.

Un groupe dsireux de se venger du hacker GeoHot ?
Une personne en manque de reconnaissance ?
Autres ?

Aprs, c'est sr que la cte de Sony va en ptir mais je pense que cela va servir de leon et que les autres entreprises (Microsoft, Nintendo, etc) vont srement revoir leur politique de scurit.

----------


## Remizkn

Personnellement, je ne suis pas paniqu. Je trouve a mme plutt sain. Cela montre la fragilit de ces structures et de ces firmes auxquelles tant de personnes sont "soumises" (on pourrait adopter la mme vision pour Facebook et autres rseaux sociaux).
 Je ne pense pas que ces hacks partaient d'une intention de voler des numros de cartes bleues ou autre. Je pense que l'intention avait un ct plus "chevaleresque" que a. Sony essaye juste de diaboliser ses ennemies.

----------


## shkyo

> ...
>  Je ne pense pas que ces hacks partaient d'une intention de voler des numros de cartes bleues ou autre. Je pense que l'intention avait un ct plus "chevaleresque" que a. Sony essaye juste de diaboliser ses ennemies.


Mouais... Sauf depuis quelques annes maintenant, le but numro 1 de la plupart des salets qui tranent sur le net, c'est justement le vol d'informations (identit ou/et bancaires) de toutes les manires possible!!!

Pour ma part, je ne pense pas qu'on s'attaque  Sony (ou tout autre socit de la mme taille) juste pour l'esprit "chevaleresque", les gains financiers potentiels sont suffisamment normes pour attirer plus que des hackers  "chapeau blanc"...  ::aie:: 
D'autres personnes (ou organisations de toutes sortes) beaucoup moins bien intentionns sont (malheureusement!) forcment intress par ce genre "d'exploit"....

A ce sujet je ne saurais que vous conseiller la lecture de l'excellent magazine sur la scurit informatique: MISC

NB : Non, je ne travaille pas chez eux, je suis juste un lecteur trs satisfait!!  :;):

----------


## Ju1.0

> Le problme, c'est que notre avis peut changer si on savait QUI tait derrire ces attaques.
> 
> Or, on ne sais toujours pas qui s'est "amus"  attaquer les serveurs de chez Sony.
> 
> Un groupe dsireux de se venger du hacker GeoHot ?
> Une personne en manque de reconnaissance ?
> Autres ?


Des gens du rseau Anonymous ont revendiqu l'attaque.
Pas vraiment pour venger GeoHot (il a t un peu naif en annoncant bien haut qu'il avait russi  rentrer dans la console), mais pour dire  Sony ce qu'ils aiment bien dire habituellement aux gens qu'ils attaquent ... Libert, gratuit ... ...
On trouve un peu plus de dtails ici, dans la rubrique "Opration Sony". Wikipedia vaut ce qu'il vaut, mais j'avais entendu dire le lendemain de l'attaque par un de mes ami connu chez les gamers, et bien inform dans me milieu, que c'tait ce rseau qui avait men l'attaque.

----------


## Charvalos

Mais on le sais pas officiellement.

En tout cas, je n'ai rien vu du genre....

----------


## jayfaze

> A ce sujet je ne saurais que vous conseiller la lecture de l'excellent magazine sur la scurit informatique: MISC
> 
> NB : Non, je ne travaille pas chez eux, je suis juste un lecteur trs satisfait!!


T'es abonne en ligne ou bien tu achete en kiosque ? un ami a moi a ecrit un article la dedans, ca m'a l'air bien. J'essairais de voir si je le trouver en kiosque.

----------


## shkyo

> T'es abonne en ligne ou bien tu achete en kiosque ? un ami a moi a ecrit un article la dedans, ca m'a l'air bien. J'essairais de voir si je le trouver en kiosque.


J'avais de plus de plus de mal  le trouver en kiosque, du coup je me suis abonn en ligne, ya des offres entre -20 et -30% suivant la formule que tu choisis...  ::ccool:: 
C'est trs technique, parfois dur  suivre quand ce n'est pas ton domaine, mais je l'ai toujours trouv vraiment trs intressant! (Je le lis depuis le n1...  :;):  )

----------


## jayfaze

ok merci. Je vais voir ca  ::):

----------


## Remizkn

> Des gens du rseau Anonymous ont revendiqu l'attaque.
> Pas vraiment pour venger GeoHot (il a t un peu naif en annoncant bien haut qu'il avait russi  rentrer dans la console), mais pour dire  Sony ce qu'ils aiment bien dire habituellement aux gens qu'ils attaquent ... Libert, gratuit ... ...
> On trouve un peu plus de dtails ici, dans la rubrique "Opration Sony". Wikipedia vaut ce qu'il vaut, mais j'avais entendu dire le lendemain de l'attaque par un de mes ami connu chez les gamers, et bien inform dans me milieu, que c'tait ce rseau qui avait men l'attaque.


Au contraire, _Anonymous_ avait hack quelques semaines auparavant le PSN le rendant hors-service. Et puis, finalement, se rendant compte que cela handicapait plus les utilisateurs que Sonny, ils l'ont remis en place. (qui a dit chevaleresque?)
Anonymous a annonc n'tre responsable en rien de ce hack-ci.

----------


## Marco46

> Sony assure prendre trs au srieux la scurit de sa plateforme et engage une firme de scurit reconnue pour mener une enqute dtaille. Sony promet aussi de renforcer la scurit de ses infrastructures rseau pour offrir une meilleure protection  ses utilisateurs.
> 
> [...]
> 
> *Et vous ?*
> 
>  Que pensez-vous de cette attaque ? Quelles seraient ses rpercussions sur la division de divertissement de Sony ?


Ben quand on lit cette dclaration de Sony ...

On y apprend entre autre que les nouvelles mesures de scurit sont les suivantes (je cite) :

    * Ajout d'un logiciel de surveillance automatis et de gestion de configuration pour aider  dfendre contre de nouvelles attaques.
    * Amliorer le niveau de protection des donnes et le cryptage.
    * Renforcement de la capacit de dtecter les intrusions de logiciels au sein du rseau, l'accs non autoris et les activits inhabituelles.
    * Mise en place de pare-feu supplmentaires.

Ce qui signifie qu'avant de se faire dfoncer ils n'avaient pas :

- un IDS, ce qui est dj en soit hallucinant.
- une protection des donnes et de chiffrement  jour.
- un IDS, mais ils l'ont dj dit.
- bloqu tous les accs nvralgiques ...

Et la cerise sur le gteau m'sieurs dames :




> La socit a galement *cr le poste de Chef de la scurit des informations*, directement rattach au Shinji Hasejima, le Chef de la scurit des informations, de Sony Corporation, est *un nouveau poste* d'expertise et de responsabilit dans la protection des donnes des clients mais aussi de protger la scurit des informations de son  personnel.


Donc ils n'avaient aucune personne responsable de la scurit informatique depuis qu'ils se sont mis  vendre des trucs sur internet c'est  dire depuis plus de 10 ans !  ::mrgreen:: 

Champions du monde les mecs  ::king:: 

Et ils osent crire qu'ils prennent "trs au srieux la scurit de [leur] plateforme". Mais ouai on vous croit tiens ...

Au final j'en pense quoi ? Ben que les dirigeants de cette socit sont des irresponsables notoires (qui mettent des rootkits dans les CD  ::aie::  pour a ils ont de la thune pour embaucher des experts en scurit), et que c'est vraiment bien fait pour leur gueule. L'ont pas vol celle-l.

Et sinon qu'une petite class action aux USA serait tout a fait approprie.

----------


## Ju1.0

@Remizkn : Il ne s'agit pas de la mme attaque ?
Parce que le psn n'a toujours pas t r-ouvert depuis, donc, je me disait que ce qu'ils annonaient, c'tait la suite du mme "problme", surtout en lisant "le cauchemars continu" en dbut de chronique.

----------


## psychadelic

Je ne peux pas m'empcher de penser que cette histoire  sans toute un lien avec l'affaire geohot de mars dernier.
Et que si SONY avait t un peu plus fair play et accept que le JailBreaking de sa station tait un "mal" dont l'illgalit reste encore  prouver.

Et malgr le fait que le jailbreak soit reconnu comme lgal aux USA depuis  janvier 2009, et que 2 ans plus tard un juge Amricain puisse  la fois ordonner la liste de toutes les IP ayant visit le site de Hotz, et de toutes les informations PayPal de ces clients; pour un Hacker, c'est ce que l'on appeler une vraie provocation, non ?  ::roll:: 

http://www.wired.com/threatlevel/201...ite-unmasking/

vous en cauchemardez, SONY le fait  ::mouarf::

----------


## Remizkn

> @Remizkn : Il ne s'agit pas de la mme attaque ?
> Parce que le psn n'a toujours pas t r-ouvert depuis, donc, je me disait que ce qu'ils annonaient, c'tait la suite du mme "problme", surtout en lisant "le cauchemars continu" en dbut de chronique.


Non, ils ont eu deux attaques dans un court laps de temps en fait. Mais apparemment, d'aprs Sony, ils auraient retrouvs sur leur serveur un fichier arborant le nom de "_We are Legion_". Pour les incultes (et les non-fils de 4chan), c'est la devise des _Anonymous_. Donc le coup viendrait peut-tre des Anonymous... si Sony ne ment pas.

----------


## granquet

> On y apprend entre autre que les nouvelles mesures de scurit sont les suivantes (je cite) :
> [...]
> Et sinon qu'une petite class action aux USA serait tout a fait approprie.


c'est bien la premiere fois que j'utilise la fonction "+1" sur le forum.

j'avais un mentor qui disais: "on a jamais de temps ni d'argent pour faire de la secu ... jusqu'au jour ou on se fait enfoncer"  ::aie:: 

malheureusement j'ai pu le verifier (dans 3 boites differentes et qui n'ont strictement rien a voir), "par le feu", dans le monde du travail.  ::cry::

----------


## Hinault Romaric

*Sony affirme avoir trouv un fichier incriminant Anonymous*
*Dans l'attaque de sa plate-forme et refuse de tmoigner devant le congrs*


Sony souponne Anonymous, le groupe de hackers (ou de pirates, selon les avis) d'tre  l'origine de l'attaque ayant compromis 24,6 millions de comptes de joueurs et entran une fermeture temporaire de sa plate-forme Online Sony Online Entertainment (SOE).

Hier, le constructeur Japonais tait convoqu  une audience avec un sous-comit de parlementaires amricains pour s'expliquer sur cet exploit et la fuite de millions de rfrences bancaires qui s'en est suivi.

Mais Sony n'a pas daign rpondre  cet appel et a eu recours  un autre moyen pour fournir des explications au sous-comit.

Dans une lettre adress aux parlementaires, Sony a ainsi fourni des informations et son analyse de l'attaque. Une attaque que la marque qualifie de particulirement bien prpare :  _nous avons t victime d'une attaque bien planifie, trs professionnelle et trs sophistiques_ crit Kazuo Hirai, responsable de la filiale amricaine de Sony.

On apprend galement par ce texte que des preuves auraient t trouves lors de l'enqute interne, notamment un fichier qui incriminerait des  hacktivistes  qui se revendiquent -  tort ou  raison - de Anonymous.

_Lorsque Sony Online Entertainment a dcouvert dimanche dernier que des donnes sur ses serveurs avaient t compromises, il a aussi constat que les intrus avaient copi un fichier ''Anonymous'' avec les mots ''Nous sommes lgion''_  prcise Kazuo Hirai.

Le collectif Anonymous avait dj cibl les serveurs de Sony avec plusieurs attaques par Deni de Service pour protester contre la poursuite en justice par le constructeur Japonais du hacker Geohot, qui avait dvelopp un outil permettant de dverrouiller la PlayStation 3.

De son cot, le groupe Anonymous n'a fait aucune revendication, et dment catgoriquement avoir t l'auteur du vol des donnes des clients de Sony.  

Sony, qui prend la situation trs au srieux, a dj ajout  sa plate-forme de jeux en ligne un logiciel de surveillance automatise, de gestion de configuration et de chiffrement pour augmenter le niveau de scurit.

Reste que la communication de Sony et sa gestion de l'affaire sont vertement critiqus. Pas sr que ces critiques n'gratignent pas de manire durable l'image de marque de la division jeu de Sony.


*Source* : Lettre de Sony au Congrs et dmenti de Anonymous


*Et vous ?*

 ::fleche::  Que pensez-vous de la gestion de Sony de cette affaire ?
 ::fleche::  Pensez-vous qu'Anonymous peut tre derrire l'attaque malgr le dmenti ? Et si non, qui a laiss ce message avec la devise du groupement ?

----------


## ManusDei

> Le collectif Anonymous avait dj cibl les serveurs de Sony avec plusieurs attaques par Deni de Service pour protester contre la poursuite en justice par le constructeur Japonais du hacker Geohot, qui avait dvelopp un outil permettant de dverrouiller la PlayStation 3.
> 
> De son cot, le groupe Anonymous n'a fait aucune revendication, et dment catgoriquement avoir t l'auteur du vol des donnes des clients de Sony.


Si ce qu'ils appelent le "collectif" Anonymous c'est la mme chose que le "groupe" Anonymous, c'est  dire les gens qui passent sur 4chan (bref n'importe qui), h b a va tre drle.

----------


## kain_tn

Ouais enfin si leur seule preuve c'est un fichier sign 'anonymous' c'est bidon. N'importe qui peut crire ce qu'il veut et a ne prouve rien de plus...

----------


## cs_ntd

4chan... qu'une bande d'allums dessus  ::mouarf:: 

On ne saura probablement jamais qui a revendiquer l'attaque, mais on peut difficilement parler de "collectif" ou de "groupe" Anonymous, vu qu'il n'y a aucune structure, aucun chef, aucune organisation...

Mais je suis toujours surpris du contre-pouvoir que peut reprsenter 4chan... ca fait rflchir.

"We are Legion"... c'est exactement ca...

----------


## shenron666

> je pense que cela va servir de leon et que les autres entreprises (Microsoft, Nintendo, etc) vont srement revoir leur politique de scurit.


alors a, je n'y crois pas une seconde  ::aie:: 
"les autres" vont juste se moquer de Sony (ouvertement ou non) jusqu' ce qu'ils se fassent hacker  leur tour

pour ma part, a me fait rire et a m'inquite  la fois sans toutefois tre tonn
en informatique, rien n'est en scurit nulle part, tout ce que l'homme fait peut tre dfaitSony recommande de changer son mot de passe sur son compte PSN, sauf que le PSN est indisponibleSoE a aussi t compromis, une base de donne prime de 2007 ? pourquoi gardent t-ils des informations soi disant primes mais potentiellement dangereuses pour leurs clients aussi longtemps ? est-ce conforme  la rglementation ? (cnil)

J'aimerai aussi savoir quelles sont les informations drobes dans la base SoE afin de voir si Sony n'a pas conserv des informations qu'il n'aurait pas d

Sony a normment perdu en crdibilit, mais risque aussi de perdre beaucoup de clients et de clients potentiels

----------


## Floral

> nous avons t victime d'une attaque bien planifie, trs professionnelle et trs sophistiques


En gros tout ce que n'est pas Anonymous.

----------


## kolodz

> Pensez-vous qu'Anonymous peut tre derrire l'attaque malgr le dmenti ?


Anonymous a toujours t un groupe sans vritable "tte". Tout le monde peut prendre la parole entant qu'un "Anonymous".
Donc, ce fichier n'est pas une preuve. Sauf si il contient l'adresse IP/MAC de la personne qui l'envoyer.




> Et si non, qui a laiss ce message avec la devise du groupement ?


L'un des pirates comme carte de visite. 

Si la prochaine fois, il sort la devise des USA, on poursuit le gouvernement amricain ? Un peu de srieux...

Mais si pour eux ce fichier est une preuve, alors je comprend pourquoi l'attaque leur semble si professionnelle.

----------


## Marco46

> Anonymous a toujours t un groupe sans vritable "tte". Tout le monde peut prendre la parole entant qu'un "Anonymous".
> Donc, ce fichier n'est pas une preuve. Sauf si il contient l'adresse IP/MAC de la personne qui l'envoyer.


Une IP ou une adresse MAC n'identifient pas une personne mais une connexion dans un cas et une carte rseau dans l'autre, sachant que dans le 2me cas c'est trs facilement falsifiable. Donc ce n'est pas une preuve.

----------


## Remizkn

Je mise pour une fausse incrimination. Anonymous l'aurait revendiqu, c'est l'esprit _4chan_, quand on fait un truc pareil, on le revendique. En l'occurrence, c'est soit un clin d'il, soit une mauvaise blague cette ide de mettre un "We are Legions".




> Mais je suis toujours surpris du contre-pouvoir que peut reprsenter 4chan... ca fait rflchir.


Un contre pouvoir certes, mais  la morale trs vacillante et personnelle:
Fates du mal  un chat et vous subirez les pires reprsailles.
Postez du contenu pdophile, et vous subirez une attaque d'image de pizzas affubls de LULZ...

----------


## Sunchaser

Bon,
C'est bien beau tout ca, Sony est pleins de gens trs bien et trs comptents qui ont fait une petite erreur, la paient un peu cher, et vont tout rparer, Anonymous est un rseau de gens hyper dous capables de dfier des super-puissances comme Sony, c'est trs bien, c'est trs admirable, tous mes respects, etc ....
Mais revenons a l'essentiel:
...

...

Quand est-ce que je joue MOI, hein ?  ::furax:: 
AAhh,mais, excusez moi d'tre malpoli, mais ca commence vraiment a me faire chier, moi, ils peuvent pas se livrer leur guguerres ailleurs ?
Merde alors !
... bon faut que je me calme, parce que soit je vais faire une crise cardiaque (je me fais vieux) soit je vais envoyer 10 pages de mots fleuris.
C'est bien simple, soit je retrouve un accs a mon petit jeu favoris rapidement, soit je vais finir par en acheter des vraies - des armes de guerre - et je vais tirer dans le tas.
Ou plutt non, je vais rester soft, je vais acheter une autre console et passer a la concurrence, na !

Bon allez, j'avoue que finalement je ne suis pas si accro que ca, je vis bien sans, et je crois que le pire qui pourrait m'arriver serait de ne plus avoir accs a Developpez.com en ralit.

Sinon, chers Anonymous, si jamais vous passiez par la et lisiez ces lignes, contactez moi par MP afin que je vous donne des dtails pour une mission simple:accder a mon compte bancaire et dcaler la virgule d'un ou deux crans vers la droite;  suffira et c'est discret, personne ne s'en rendra compte... enfin, a faire tant que le solde est positif, dconnez pas  ::mrgreen::

----------


## granquet

http://consumerist.com/2011/05/secur...sn-breach.html

je dis ca, je dis rien ...  ::aie::

----------


## shenron666

> Mais revenons a l'essentiel:
> ...
> 
> ...
> 
> Quand est-ce que je joue MOI, hein ?


tout ce qui t'intresse, c'est de jouer ?  ::lol:: 




> http://consumerist.com/2011/05/secur...sn-breach.html
> 
> je dis ca, je dis rien ...


super, un expert sort d'on ne sait o une connerie et tout le monde doit y croire ?
vaudrait mieux pour lui qu'il ait des preuves pour lancer ce genre d'accusation

Attention, je dfend pas Sony, juste que j'aime pas ce genre de $@#&! qui profitent de la situation pour se faire valoir

----------


## granquet

l'article est pas top, on est d'accord...
mais de la a dire que c'est un "pauvre type qui sors de nul part", j'irais pas jusque la; je le connais pas perso mais bon ... il a 2/3 references  ::aie:: 
http://en.wikipedia.org/wiki/Gene_Spafford

----------


## Sunchaser

> tout ce qui t'intresse, c'est de jouer ?


Oui, oui, et je n'ai pas honte de moi, ce n'est pas parce que je suis "vieux" que je n'ai plus le droit de jouer, na !
Bon, et puis, j'ai un peu exagr tout de mme, mais a fait bizarre (j'imagine pas dans l'tat que doivent tre certains, encore que, des vrais accros doivent surement avoir plusieurs moyens de se dfouler dans les mondes virtuels).

Le reste m'inquite.

----------


## Rayek

> Sony recommande de changer son mot de passe sur son compte PSN, sauf que le PSN est indisponible


Attentino tu as mal compris, il recommande certes, mais il indique que a se fera automatiquement lorsqu'on se reconnectera sur le PSN et il faudra que cela la mme adresse MAC de console pour l'id psn pour pouvoir le faire.
Pour ceux qui ont chang de console entre temps, il y aura la possibilit de le faire via un mail reu par je ne sais plus quelle adresse sur le mail li au compte psn (d'ailleurs tout le monde le recevra ce mail)

----------


## minuipile

Ca me rappelle lorsque Colin Powell montre sa petite bouteille d'arme bactriologique pour justifier le recours de la force en Irak. Sans parler des superbes powerpoint...

Enfin, trouver un dossier qui incrimine quelqu'un c'est un peu vident... Mais de l  incriminer Anonymous vu le nombre de Hacker sur la plante... Ils auraient pu tout aussi dire qu'il s'agit des martiens ou de Marilyn Monroe... Cela aurait t aussi crdible.

----------


## Doksuri

perso je trouve que c'est une bonne chose.

ce n'est pas parceque c'est une tres grosse multinationale qu'une entreprise doit negliger la securite...et se reposer sur ses lauriers n'est jamais une bonne chose...

un bon coup de fouet ne fait jamais de mal

----------


## Gordon Fowler

*Affaire PlayStation Network : les attaques auraient utilis le Cloud dAmazon*
*Les services de Sony commencent juste  tre ractivs*

*Mise  jour du 16/05/11*


Le PlayStation Network commence juste  se remettre des attaques perptres contre Sony. Attaques dont on ne sait toujours que peu de choses,  part qu'elles ont abouti au vol  d'informations personnelles sur les 77 millions de membres des rseaux de jeux de Sony (Playstation Gaming Network et Sony Online Entertainment division).

Sony avait dans un premier temps accus le clbre groupe Anonymous qui avait immdiatement dmenti (lire ci-avant). Quelques heures plus tard, le Financial Time faisait pourtant savoir que deux anciens membres de l'organisation avaient contact le FBI pour confirmer que Anonymous tait bien impliqu.

Anonymous avait alors admis qu'il tait possible que des personnes se revendiquant du groupe aient pu foment l'attaque mais qu'il s'agirait alors d'un abus de leur part, le groupe ne cautionnant jamais le vol de donnes comme les numros de carte bleue. La structure non-hirarchique et totalement dcentralise de l'organisation officieuse explique lesnombreuses confusions possibles.

Si on ne sait pas exactement qui a attaqu, on sait en revanche aujourd'hui d'o les attaques venaient.

D'aprs Bloomberg, les pirates auraient utilis des instances Amazon EC2, la plate-forme de Cloud Computing de Amazon pour casser les dfenses de Sony. Pour louer ce service, des donnes errones auraient t fournies lors de l'inscription et de la mise en service. Le compte a depuis t repr et ferm par Amazon.

L'utilisation de la puissance de calcul du Cloud (et de la bande passante temporaire supplmentaire qu'il permet) pour des exploits, des hacks ou des attaques criminelles n'est pas une premire. A tel point que l'on peut se demander si les pirates n'ont pas compris avant les autres ses avantages.

Un hacker (pas un pirate) avait ainsi fait la dmonstration qu'il tait possible de casser rapidement l'algorithme SHA-1, sans aucun matriel puissant et  point le plus important - pour un prix drisoire en utilisant, lui aussi,  AmazonEC2.

Cette preuve de faisabilit faisait suite  une autre affaire. Zeus, le fameux Trojan avait russi quelques semaines plus tt  s'immiscer dans un site hberg par Amazon et  se propager ainsi grce au Cloud.

Quoiqu'il en soit, les services de Sony commencent  rouvrir doucement leurs portes, en commenant par les Etats-Unis. Pour y accder, les utilisateurs devront imprativement mettre  jour le firmeware de leurs consoles et changer leurs mots de passe (qui devront par ailleurs tre imprativement plus complexes que prcdemment).

Reste  savoir si les joueurs seront effectivement au rendez-vous. Car comme dit le proverbe :  Chat chaud, etc. .

*Sources* :

Financial Time
Bloomberg
Sony

----------


## berceker united

Le service de jeux en ligne a t ractiv en France hier soir vers 20h. Il y avait tellement de monde que certain jeux taient satur comme Call of Duty. Tout les services n'tait pas activs comme le service playstation network permettant de voir les dernires nouveaut des jeux et dmo. Le service de musique en ligne Qriocity aussi n'tait pas activ  ce moment l. Ce site tait partiellement ferm. Il tait possible d'couter de la musique que 30 secondes par titre.

----------


## Sunchaser

RRooooo, pinaise !  ::yaisse2::   Trop cool.
Trop bien, je vais prendre une journe off rien que pour pouvoir me dfouler, c'est que j'ai pleins de gens a tuer, moi ! 
Allez hop, fusil a l'paule, qui viens avec moi ?
 ::mouarf:: 

Mince, on va vraiment finir par me prendre pour un barjot moi ... ah, mais, on me dit dans l'oreillette que c'est trop tard et que ca, ca fait longtemps que c'est fait.
Tant pis.  ::mrgreen::

----------


## Gordon Fowler

*Nouvelle vulnrabilit dcouverte dans les services de Sony*
*Aprs les attaques et les fuites de donnes confidentielles d'utilisateurs*

*Mise  jour du 19/05/11*


Les ennuis se succdent pour Sony. Aprs l'attaque de ses serveurs et la fuite de donnes personnelles de ses clients, la socit japonaise avait renforc sa scurit et rouvert ses services en dbut de semaine (lire ci-avant).

Les utilisateurs du PlayStation Network, de Sony Online Entertainment et de Qriocity taient alors invits  changer leurs mots de passe.

Problme, le processus de rinitialisation de ces mots de passe utilise des donnes voles lors de l'attaque. Il suffit en effet de connatre la date de naissance et l'e-mail d'un utilisateur pour le modifier.

La socit relativise cependant la gravit de la faille potentielle : _ contrairement  ce que disent certains rapports, il n'y avait pas de hack impliqu. Le processus de rinitialisation des mots de passe tait vulnrable  un un exploit utilisant une URL, vulnrabilit que nous avons colmate_ .

Et de confirmer que _ les utilisateurs qui n'ont pas rinitialis leur mot de passe pour le PSN sont invits  le faire directement depuis leur PS3_  ou sur Playstation.com lorsque les pages concernes seront remises en ligne.

Le dcouvreur de la faille conseille lui aussi de crer un nouveau mot de passe mais en plus _ de changer ladresse mail utilise par une nouvelle qui ne sera communique nulle part ailleurs [] pour plus de scurit_ .

Aucun piratage de compte n'aurait t relev. Mais deux prcautions valent mieux qu'une.

*Source* : Site du Hacker  l'origine de la dcouverte, Blog Playstation

----------


## RomainVALERI

> ... je pense que cela va servir de leon et que les autres entreprises (Microsoft, Nintendo, etc) vont srement revoir leur politique de scurit.


Si on fait un petit parallle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nuclaire ne tire aucune leon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numrique serait plus rigoureuse sur ce point...

----------


## Lyche

> Si on fait un petit parallle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^
> 
> L'industrie nuclaire ne tire aucune leon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numrique serait plus rigoureuse sur ce point...


Si si, des centrales au japon vont fermer et certains programmes de R&D sur le nuclaire seront stopps. Ils ont bien tir des leons des catastrophes, juste pas les bonnes.
Mais  chaud, est-ce qu'on peux en vouloir  des gens qui pensent plus  leur fric qu' un vritable projet sur le long terme? (valable pour les patrons de sony)

----------


## tulipebleu

Il me semble que s'il y a une leon a tir de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule faon d'tre assez scuris.

Pratiquement aucune entreprise d'informatique n'a les moyens de payer jour et nuit des gardes pour viter de se faire voler physiquement des disques dure, ni d'tre toujours  jour au niveau scurit (mise  jour logiciel, nouvelle mthode d'attaque, etc...)

Enfin, cela montre aussi qu'il faudra un jour ou l'autre dfinir de nouveau protocole web qui serons fiable. Ces nouveaux protocoles ne serons certainement pas compatibles, mais au moins ils seront scuriss. Ce sera la fin du DNS Spoofing, du spaming, etc... Peut tre qu'il faudra attendre 50 ans, ou de les grands acteurs (Microfost, IBM, etc...) se fasse hacker dans les grandes largeurs le mme mois, mais cela arrivera tt ou tard.

----------


## thelvin

> Il me semble que s'il y a une leon a tir de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).
> 
> C'est la seule faon d'tre assez scuris.


Probablement, mais c'est toujours la mme chose : quilibrer scurit et ct pratique.
Personnellement je connais pas mon numro par cur : j'ai 3 CB et a veut juste pas rentrer. Je peux comprendre qu'il y en ait qui apprcient de pas aller chercher leur CB  chaque fois.
D'ailleurs, si tout le monde prend l'habitude de taper ses coordonnes  chaque fois au lieu de les garder retenues sur des serveurs "de confiance," ils vont trouver normal de faire a partout, au cybercaf, devant tout le monde, et d'ailleurs il peut trs bien y avoir un spyware sur leurs PCs habituels. C'est la mme chose que le mot de passe trop chiant qui se retrouve sur un post-it.

Note : est-ce que a veut dire que j'enregistre mes coordonnes partout ? Non. Moi je suis un sale geek qui code au lieu d'aller me baigner quand il fait soleil le week-end. J'ai des scripts qui remplissent les coordonnes  ma place, sous le nez de la plupart des spywares. L'ide pourrait se gnraliser avec le stockage hors-ligne ou d'autres protocoles comme le MS Wallet de l'poque, sauf que a les spywares peuvent l'espionner quand mme.
Ide de la mort : un protocole pour dire d'aller chercher les coordonnes bancaires sur l'ADSL box, qui n'accepte de les donner que si on lui en donne l'ordre par un moyen indpendant comme un bouton de la box ou le tlphone portable, dans les 5 minutes. Ces coordonnes sont effaces lors qu'on dbranche le cble d'alim. Ou si on ne lui donne pas rgulirement un code genre blizzard authenticator. Quel est le lien entre tout a ? Moi, mon intgrit physique. Craquez-moi a*.

* Simple : aller chercher les coordonnes chez un prestataire qui casse tout ce beau schma en enregistrant mes coordonnes. Ou bien qui n'implmente pas ce protocole. Foutue chane aussi faible que son maillon le plus faible.

----------


## ManusDei

Le gouvernement parlait  une poque d'une clef USB, sur laquelle on aurait tous nos codes, qui permettrait de s'authentifier.

Il y avait eu une annonce sur le sujet sur le forum  un moment.

----------


## Sunchaser

Bonjour,

J'ai entendu ce matin que c'tait reparti pour un tour. Un "groupe de vilains garnements" dclare avoir vol a nouveau 1 million de donnes confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?  :;):

----------


## Rayek

> Bonjour,
> 
> J'ai entendu ce matin que c'tait reparti pour un tour. Un "groupe de vilains garnements" dclare avoir vol a nouveau 1 million de donnes confidentielles, etc, etc ... j'ai la berlue ou bien c'est une nouvelle affaire et on remets ca pour quelques semaines ?


Tu as les sources ?
Car le PSN est bien reparti depuis hier

----------


## Sunchaser

> Tu as les sources ?
> Car le PSN est bien reparti depuis hier


Heu, non, dsol par directement.
J'ai vu  du coin de lil ce matin sur des chaines d'infos (du style BFM tv ou autres la). Mais bon, moi le matin,  va pas fort et c'est peut tre eux qui sont "bugg" pour le coup (avec une mauvaise info); mais ils n'ont pas dit que pour le moment les serveurs taient encore "off", juste l'info qu'il y aurait eu encore piratage.

----------


## FaridM

Des infos ici : lemonde.fr

----------


## Rayek

> Des infos ici : lemonde.fr


Ok, mais ce n'est pas le PSN, mais un autre site qui a t "hack".

----------


## RomainVALERI

> ... sur des chaines d'infos (du style BFM tv ou autres


Hum  ::aie::  mets quand mme des guillemets autour du mot "infos" quand il s'agit de ce genre de media poubelle ...  ::roll::

----------


## Sunchaser

> Hum  mets quand mme des guillemets autour du mot "infos" quand il s'agit de ce genre de media poubelle ...


Roooo, mdia poubelle, je ne sais pas.
Mais c'est hyper efficace pour le lavage de cerveau, avec ces flashs infos qui tournent en boucles toutes la journe, non-stop-repeat-de-la-mort.
Ca, ca doit pouvoir faire un dfi de folie: au lieu de faire des missions ou les gens vont se perdre sur une ile sans rien bouffer a part des vers et araignes, et rien a faire a part sengueuler niaisement, on pourrait faire le concours de celui qui tiens le plus longtemps sur un canap en regardant ces chanes non-stop... le premier qui tourne de l'oeil et bave a perdu.

----------


## thelvin

> Le gouvernement parlait  une poque d'une clef USB, sur laquelle on aurait tous nos codes, qui permettrait de s'authentifier.
> 
> Il y avait eu une annonce sur le sujet sur le forum  un moment.


Trop facile  voler. Comme une carte bleue d'ailleurs, mais c'est encore pire.

----------


## ManusDei

> Hum  mets quand mme des guillemets autour du mot "infos" quand il s'agit de ce genre de media poubelle ...


Comme tous les mdias, celui qui donne l'info (ou son patron) est aussi important que l'info qu'il donne...

----------


## Sunchaser

> Ok, mais ce n'est pas le PSN, mais un autre site qui a t "hack".


C'est vrai que j'ai fait un amalgame rapide moi aussi (je dis moi aussi parce que je suis sur que je ne suis pas le seul), mais on reste chez Sony, qui viens tout juste de sortir d'une "crise" et pour lequel on annonce a nouveau une petite faillounnette, etc ... Encore un petit effort et on va finir par penser qu'ils le font exprs (aprs tout, on parle de Sony souvent comme a ... j'exagre un peu peut tre la).
Nanmoins, Sony, c'est pas le charcutier du coin, je m'attendais a ce qu'ils soient "imprenables" tant donn qu'ils ont surement les moyens de se payer des gens qui savent ce qu'ils font, etc ...M'enfin, perso tant que je peut jouer en ligne de temps en temps (afin de satisfaire qq hormones dranges), ca m'en touche une sans faire bouger l'autre (comme disait notre vieux Chirac), je n'ai pas d'info sensible chez eux.
(ya peut tre un concours secret entre les boites ou les SI des boites, le concours de la plus grosse faille de scurit de l'anne, avec remise de trophe et tout et tout)

----------

