Les piratages induits continueront pendant des années. Ils sont invisibles, car étant donné le nombre de cartes en jeu, “il suffit aux pirates de tirer un euros par mois sur dix mille cartes différentes pour amasser une fortune considérable sans prendre de risque” commente un expert qui a préféré resté anonyme. Pour l’utilisateur, la seule parade serait alors de changer de carte-bleue...

Une attaque informatique facile Qui est responsable ? Anonymous est un coupable tout désigné : le fameux collectif de hackers avait déjà menacé et frappé Sony début avril, et de plus leur signature “Anonymous, we are legion” a été retrouvée dans les serveurs piratés de Sony... Sauf que cet acte de piraterie ne ressemble pas du tout à Anonymous.D’un point de vue technique, pas besoin d’un très haut niveau de compétences pour cambrioler Sony. Des failles “0-day” (littéralement zéro jour) sont en vente dans les communautés de hackers : il s’agit de faiblesses dans la sécurité d’un système qui sont imparables car encore jamais révélées (la dangerosité d’une faille décroît avec le nombre de jours passés depuis qu’elle a été rendue publique).

Il y aussi la possibilité de la trahison d’employés de chez Sony, qui connaissent le système. L’entreprise vient justement d’en licencier une poignée...

De plus, Sony n’avait pas bien protégé les données puisqu’elles n’étaient pas cryptées (dans ce cas il faut une clef numérique pour les lire), mais seulement rangées derrière un Hash (ou chaque donnée est désignée par un raccourci), une protection facilement démontée par la compréhension de l'algorithme... C’est le genre de sécurité franchissable en quelques heures... avec la puissance de calcul d’une PS3 !

Le 18 mai Sony  a donné un autre signe de l’insuffisance de sa sécurité. La firme a de nouveau suspendu son réseau quelques heures, réalisant qu’il suffisait de connaître le nom et la date de naissance d’un utilisateur pour utiliser le formulaire de perte de mot de passe, et s’approprier le compte d’un autre… Une histoire qui remonte loin Car toute l’histoire ne tombe pas comme un cheveu sur la soupe. C’est le dernier épisode d’un long bras de fer entre Sony et les clients.

Résumé des épisodes précédents : lors de sa sortie, la PS3, monstre de puissance, a l’argument fort de pouvoir faire tourner Linux. Ceci ouvre d’immenses possibilités : l’armée américaine en achète deux milliers pour faire des fermes de calcul, les projets scientifiques en font de même et les aficionados d’informatique ne sont pas en reste.

Cet argument de vente, qui se répercute dans le prix de la machine, a sa part dans le succès de la console. Mais tout bascule lorsqu’un hacker, Geohot, annonce qu’il a franchi les sécurités de la PS3. Il peut jouer à des jeux copiés en passant par Linux. Non seulement Sony l’attaque en justice, mais le constructeur met également à jour toutes les PS3 (via leurs connections internet) pour enlever la possibilité d’utiliser Linux.

L’indignation de la communauté des gamers est alors compréhensible : Sony vient de leur enlever une possibilité qu’ils ont payée et qui était contractuelle. L’armée et les autres industriels sont obligés quand à eux de ne plus mettre leurs consoles à jour : ils n’auront plus les correctifs de bugs et autres améliorations du système...

Le mécontentement contre Sony s’accentue encore à cause des méthodes qu’ils utilisent contre GeoHot, comme la fouille de son compte Paypal et d’autres infractions à la vie privée. La firme nippone avait une image proche des gamers : elle bascule dans le rôle de la multinationale avide et sans scrupules. Anonymous, Robins des bois du troisième millénaire? C’est dans ce cadre qu’Anonymous l’attaque.

Début avril ils montent rapidement, à leur habitude, des ddos (déni de service distribué) contre les sites de Sony. Ces attaques collectives sont l’équivalent informatique d’un sit-in, ou des milliers de requêtes sont envoyées simultanément à un site pour que personne ne puisse plus s’y connecter. C’est la méthode habituelle d’Anonymous, contre laquelle ni Sony ni personne ne peut rien faire, mais qui n’engage pas de poursuites légales.

Quelques jours après, les clients se plaignent de ne plus avoir accès à leurs services de jeux. Anonymous se voulant du coté des gamers, l’opération est arrêtée : “Nous allons réfléchir à d’autres modes d’actions” annonce leur communiqué. Deux semaines plus tard, c’est le piratage du PSN: le lien est évident.

Manifestation de militants d'Anonymous en Allemagne (AFP).Mais pourtant cela ne cadre pas : Anonymous ne cherche pas le profit, il ne vole pas d’argent. De plus on ne peut pas l’accuser en tant qu’organisation, car il s’agit d’une structure horizontale, sans chef. N’importe qui peut émettre des messages en tant qu’Anonymous. C’est d’ailleurs le problème du communiqué qu’ils vont alors faire : ils nient toute implication dans le piratage de Sony, mais personne ne peut vraiment parler au nom d’Anonymous...

Ce que l’on peut dire, c’est que ça ne correspond pas à l’esprit affiché par ces hackers, esprit qui est fondamental pour cette communauté sans hiérarchie. Sony ne les accuse d’ailleurs pas, alors même qu’ils rapportent devant le Congrès américain avoir trouvé leur signature dans ses serveurs. Sans que ce soit un coup monté, il peut s’agir de n’importe qui se revendiquant d’Anonymous...

L’attaque a été lancée depuis le cloud d’Amazon (un ensemble d’ordinateurs qui permet d’offrir des services de stockage à distance), ce qui efface encore plus les traces. Sony ne saura probablement jamais qui l’a frappé. Mais entre les dégâts sur son image de marque, les procès d’utilisateurs mécontents, les pertes dues à la fermeture de son commerce en ligne et les reventes de Playstation 3 qui ont augmenté de 200%, ceux qui ont fait ça ont porté un coup historique à la multinationale.

Fabien Nicolas Sciences et Avenir.fr19/05/11 Authors:

pour en savoir plus...