Archives des Tag: Annonymous

Edito : Retour sur le SonyGate

Publié le par
Post Type Featured
Sony s'excuse

Retour sur ce qui est certainement l’une des plus grosses catastrophes qu’a subit Sony depuis sa création, je parle du SonyGate (ou PSNGate) qu’il y a toujours en ce moment. Mais de quoi je parle en faisant référence au SonyGate, je parle surtout de la crise de confiance entre Sony et ses clients.

Le commencement 

Comment tout cela a commencé ? Hackeur renommé dans l’écosystème Apple, George « GeoHot » Hotz se décide en début 2010 a hacké la Playstation 3 qui était inviolable depuis plus de 3 ans simplement comme défi. Chose qu’il réussira fin janvier menant au retrait de la fonction « OtherOS » de la part de Sony pour combler cette « faille » de sécurité. Il récidive alors un an après mais d’une manière beaucoup plus dommageable pour Sony, GeoHot arrive à casser sur la « Master Key«  du système ce qui signifie que n’importe quel code non signé pourrai être exécuté par la console sans que Sony y fasse quoique ce soit étant donné que pour la changer il faudrait remplacer toutes les consoles en circulation.

Suite à la publication de la Master Key, Sony décide de porter plainte contre GeoHot (et quelques autres hackers) pour violation de la DMCA et de la Computer Fraud and Abuse Act entre autre le lendemain de la publication de la Master Key. Ce sera cet évènement qui sera le déclencheur du SonyGate. C’est alors que le très célèbre groupe Annonymous commence à monter une opération pour montrer le désaccord qu’ils ont avec la politique de Sony concernant cette histoire. Car ces dits hackers n’ont fait que casser la protection de la console que dans un but de défi sans chercher à faire une utilisation illégale de leurs performance (dans le GeoHot, il n’a pas cherché à faire tourner des blurays de jeux piratés ou autre). Le but était de simplement permettre aux personnes de faire ce qu’ils souhaitaient de la console qu’ils ont achetés (comme par exemple remettre Linux dans la console).

Le piratage 

Ainsi, le 4 avril 2011, Annonymous lance un DDOS sur les serveurs du Playstation Network avant de se rétracter quelques jours plus tard en annonçant ne pas vouloir pénaliser les joueurs dans leurs actions. Néanmoins le 17 avril une nouvelle attaque est lancé d’après ce qui semble être des membres « extrémistes » d’Annonymous. Cependant il semblerai qu’une seconde attaque ai eu lieu pendant ou très peu de temps après cette attaque (soit le 18 ou le 19 avril) qui n’est pas du fait des Annons. C’est cette seconde attaque qui force Sony a couper mondialement les serveurs du Playstation Network et de Qriocity (un service de VOD de Sony) le 20 avril en annonçant qu’une maintenance d’urgence d’un jour ou deux est requis pour remettre le PSN en marche.

Le 23 avril Sony annonce que les données personnelles (ce qui comprends les informations bancaires) des comptes du PSN et de Qriocity ne sont pas menacé par ce piratage mais se rétractent finalement le 26 avril en avouant que les informations personnelles (Nom, prénom, adresse, mail, nom d’utilisateur, mot de passe et date de naissance entre autre) aurai été volé durant cette attaque, ce qui représente 77 millions de comptes, soit le plus gros piratage de l’histoire du monde moderne. Un peu plus tard, Sony confirme également que les coordonnées bancaires de 12 millions de cartes bancaire ai été volé (le numéro de la carte ainsi que la date de validité voir le code CVV (le cryptogramme inscrit sur le dos de la carte) en fonction des versions qu’on trouve sur le net).

De son côté Annonymous dément tout attaque ayant eu pour cible le vol des données, ce que l’opinion public pense également étant donné que ceci n’est pas dans la philosophie du groupe. Cependant cette histoire ne s’arrête pas là, après avoir donné des dates de remise en ligne de ses services, Sony décide finalement de stopper de telles annonces tant qu’ils ne seront pas certains d’avoir une date fixe.

Ensuite le 1er mai Sony décide enfin à donner une conférence de presse concernant le piratage. C’est ainsi que l’on apprends qu’en plus du PSN et de Qriocity, Sony Online Entertainment aurai également été victime du piratage, ce qui signifie que 28 millions de comptes sont à rajouter au 77 millions déjà compromis ce qui amène à un total de plus de 100 millions de comptes piratés. Les mêmes informations personnelles et bancaires auraient été dérobé. Du coup suite à cette révélation, les serveurs de tous les services et serveurs de MMOs relié à SOE sont coupés pour investiguer sur le problème. Néanmoins durant la conférence ils annoncent une reprise des services à partir de la semaine du 4 mai.

Ils annoncent également un programme de dédommagement nommé « Welcome Back », pour l’ensemble des joueurs ayant la forme suivante :

[custom_list type="dot"]

  • deux jeux PS3 gratuits dans une sélection de cinq jeux pour les joueurs PS3
  • deux jeux PSP gratuits dans une sélection de cinq jeux pour les joueurs PSP (donc au maximum vous pouvez avoir 4 jeux gratuits si vous avez une PS3 et une PSP)
  • 30 jours d’abonnement au PSN+ à tous les joueurs
  • 30 jours d’abonnement supplémentaire pour les joueurs déjà membres au PSN+
  • 30 jours d’abonnement supplémentaire pour les membres de Qriocity
  • 30 jours d’abonnement à chaque MMO Sony présents sur le compte plus un jour par jour d’indisponibilité
  • Une protection contre le vol d’identité pour une durée d’un an au frais de Sony (puis ensuite à votre charge si vous souhaitez étendre le contrat, à noter que ce dédommagement a été annoncé le 6 mai)
  • Éventuellement un remboursement des frais d’opposition des cartes visa et de leurs renouvellements

[/custom_list]

Je trouve personnellement que c’est assez maigre, si c’était seulement pour s’excuser d’un arrêt de service cela aurai suffisant mais on parle d’un vol de données personnelles pouvant déboucher sur un vol d’identité (ce qui est quand même très grave) et de vols de données bancaires (et les informations récupérées sont suffisantes pour faire des achats en ligne sur la plupart des sites). Déjà en plus de la protection contre le vol d’identité, Sony devrai proposer le remboursement des différents frais bancaire automatique sur simple demande, ce qui devrai être le minimum.

Peu après, le 4 mai, Sony sort un communiqué pour accuser des membres d’Annonymous pour le piratage parce qu’ils ont trouvés un fichier texte nommé « Annonymous » avec à l’intérieur la phrase « We are legion », le célèbre slogan du groupe. Cependant il existe quatre scénarios expliquant la présence du fichier :

[custom_list type="dot"]

  • Annonymous a laissé ce fichier suite au premier piratage (celui 4 avril) ou que les membres extrémistes l’ai laissé (pour le piratage du 17 avril)
  • Annonymous est bien responsable du hack et ont laissé une signature pour revendiquer l’action (ce qui serai assez idiot entre nous, surtout qu’Annonymous n’a pas cessé de démentir le vol de données)
  • Ce sont les hackeurs qui ont laissé le fichier pour détourner les soupçons (c’est la thèse que je privilégie personnellement)
  • Soit c’est Sony qui invente la présence du fichier pour trouver un bouc émissaire à l’affaire et il faut avouer qu’Annonymous est la cible idéale, ils ont déjà attaqués Sony une voir deux fois, mais en plus c’est un groupe décentralisé sans hiérarchie c’est comme accuser tout le monde et personne à la fois

[/custom_list]

Finalement presque après deux semaines de retard, le Playstation Network et les serveurs de SOE ont été remis en ligne à partir du 15 mai en fonction des régions après près d’un mois de coupure prouvant que Sony a certainement restructuré une bonne partie de sa plateforme serveur. Cependant de nombreux autres services sont toujours à l’arrêt tel que le Playstation Store (toujours au jour d’aujourd’hui) ainsi que Qriocity.

L’après piratage 

Mais l’histoire est loin d’être terminé encore, de nouveaux scandales entache la réputation de Sony et la plus violente de toute serai que les serveurs n’étaient pas suffisamment protégés à la base (serveur Apache non mis à jour malgré des vulnérabilités connus de Sony, données personnelles non cryptées en BDD voir également les informations bancaires) ce qui entraîne une vague de procès à l’encontre de Sony au Canada et aux Etats-Unis par exemple).

Mais les tuiles continuent de suivre Sony, très peu de temps après le retour en ligne de la plupart des sites de Sony, une nouvelle vulnérabilité est découverte dans le formulaire de changement de mot de passe. Sony demandait l’adresse email ainsi que la date de naissance chose que les hackers avaient déjà en leur possession. Sony a donc dû couper les sites le temps de modifier les formulaires.

Dernier problème en date, le nouveau firmware de la console, le 3.61, serai le responsable de la mort des PS3 (annoncé par un YLOD ou Yellow Light Of Death, l’équivalent des RROD, Red Ring of Death, des X360) « fat » (les premiers modèles soit les 40Go, 60Go, 80Go et 120Go) à croire que la guigne ne veut pas lâcher Sony.

Ces nombreux problèmes vont avoir des conséquences très fâcheuses pour Sony.

Les conséquences 

Et dans cette affaire nous avons le droit aux trois types de conséquences auxquelles une société peut être confronté : en terme d’image, en terme monétaire et de confiance.

Tout d’abord en terme d’image que ce piratage a été largement diffusé dans tout type de médias grand public (journaux télé, presse, radio, etc…) ce qui signifie que le grand public pourrai hésiter à l’avenir d’acheter des produits Sony par crainte de voir ses données s’envoler sur le Net.

Les conséquences monétaires risquent d’être très élevé également. Il y a eu plusieurs estimation montant le préjudice à un chiffre de deux milliards d’euros, alors que de son côté Sony annonce uniquement 122 millions de d’euros ce que je trouve très sous-estimé étant donné que cela ne doit certainement compter qu’une partie des dédommagements fait aux joueurs ainsi que le changement d’infrastructure pour les serveurs. Ce à quoi il faut rajouter à mon avis :

[custom_list type="dot"]

  • Le coût de la protection contre le vol d’identité qui est financé jusqu’à un million de dollar par cas
  • Certainement le ralentissement des ventes sur le Playstation Store une fois qu’il sera remis en ligne
  • La baisse des abonnements au Playstation Plus (car Sony annonce voir aucune baisse mais il faut attendre la fin des abonnements en cours avant d’avoir les chiffres surtout qu’on a pu lire sur plusieurs forums durant l’indisponibilité que des joueurs ont préférés échanger leur PS3 pour des Xbox 360, même les magasins comme Game ou Micromania (en France mais des magasins ont fait pareils en Allemagne et aux Etats-Unis par exemple)) ont fait des offres de reprise durant cette période)
  • Les dédommagements envers les développements pour les pertes qu’ils ont subis durant l’arrêt du PS Store, surtout du côté des développeurs indépendants

[/custom_list]

Sans compter le tremblement de terre qu’il y a eu au Japon au mois de Mars et aussi la chute vertigineuse du prix de l’action de Sony suite au SonyGate (perte de 10 points depuis début Mars). D’ailleurs lors de leur dernier exercice fiscal (qui s’est clôturé le 31 mars 2011, donc avant le SonyGate), ils avaient de très lourdes pertes (des pertes chiffrées à 2,23 milliards de dollars contre 245 millions d’euros l’année précédente) à cause du changement de fiscalité au Japon et d’une partie des conséquences du tremblement de terre qui s’est abattue sur les côtes nippones. Bref cela risque d’être une année noire pour Sony, peut-être que le lancement de la NGP améliorera les choses, mais cela va encore augmenter les pertes de Sony pour cette année.

Et puis il y a la perte de confiance des joueurs mais surtout des développeurs (gros et petits studios), car même si il est possible que les joueurs oublient dans trois mois ce qui s’est passé durant avril/mai, ce ne sera pas les cas des développeurs.

Imaginez ce qui s’est passé de leur côté, les studios ont été privées de revenus sur les ventes digitales pendant pratiquement un mois, dans certains cas le manque à gagner peut se monter à des millions de dollars (comme par exemple l’a souligné Capcom, quoique je ne vais pas pleurer pour eux vu leur politique de DLC mais le fait est là). Mais est la situation est d’autant plus grave pour les studios indépendants qui n’ont eu aucun revenus pendant ce mois (surtout pour ceux qui distribuaient en exclusivité leur titre sur le PSN) qui ont demandé à Sony d’allégé la part de royalties demandé pour le développement et la distribution des jeux le temps qu’ils retombent sur leurs pieds (voir même de les exonérer un mois ou deux, du moins c’est ce que devrai faire Sony à mon sens, car même si c’est un manque à gagner sur le court terme, c’est mieux que des studios fermer alors qu’ils rajoute de la valeur ajoutée à la plateforme voir pire (pour Sony), passe chez Microsoft (et donc le Xbox Live)).

Il faut aussi prendre en compte que les ventes sur le PSN vont être moindre (après reste à savoir en quelle proportion) suite au piratage car la plupart des joueurs vont être réticent à mettre une nouvelle le numéro de leur carte visa sur la plateforme de Sony (ou alors iront acheter des cartes prépayées en ligne ou en magasin).

De plus il est possible de prévoir que la négociation de titres exclus risquent d’être plus difficile à avoir pour les mois à venir à Sony (qui devra peut-être faire des concessions, prouver par A+B que la plateforme est maintenant aussi sûr qu’elle peut l’être, etc…).

L’une des autres conséquences est la prochaine démission (on parle de 2013) de Howard Stringer, le CEO (Chief Executer Officer, soit le Directeur Général) de Sony et de Kazuo Hirai, le président de SCE (Sony Computer Entertainment) pour la façon dont ils ont gérés la crise du PSN.

Bref, il va falloir beaucoup de temps à Sony pour récupérer la confiance des joueurs et des développeurs/éditeurs.