Les pirates s'amusent des failles de sécurité de Sony

Les pirates s'amusent des failles de sécurité de Sony

Suite à ce nouveau piratage, 52.000 données d'utilisateurs sont disponibles sur la toile. Crédits photo : KIM KYUNG-HOON/REUTERS
Après avoir connu une dizaine de piratages de ses sites en mai, Sony se retrouve de nouveau confronté au vol des données de 52.000 utilisateurs.

Une dizaine de sites piratés en un mois, des données personnelles et bancaires volées, des services en ligne indisponibles… En relançant jeudi le PlayStation Store, le magasin en ligne de sa console, Sony espérait sans doute pouvoir clore la pénible parenthèse débutée mi-avril suite augrave piratage des services en ligne de la PlayStation. Mais c'était sans compter sur un groupe de hackers qui avait précisément choisi le jour de ce lancement pour faire sa propre annonce sur Twitter : un vol de données personnelles sur le site SonyPictures.com, et sur ses équivalents belges et néerlandais.
Répondant au nom de Lulz Security - une variante de l'expression LOL qui désigne une plaisanterie volontairement méchante envers une victime bien précise le groupe de pirates affirme avoir eu accès aux données de plus d'un million de clients. Et a décidé d'en fournir la preuve, en publiant un échantillon de ces données sur le site internet The Pirate Bay. Depuis jeudi soir, 52.000 noms sont donc disponibles sur la toile, couplés à des numéros de téléphone, des adresses email (y compris gouvernementales), des dates de naissance et, plus problématique, des mots de passe qui n'étaient pas cryptés. Le groupe explique avoir aussi obtenu très facilement 75.000 codes musique et 3,5 millions de bons musique, ainsi que les bases de données du personnel de Sony BMG en Belgique et au Pays-Bas.
Interrogé par le New York Times sur cette nouvelle attaque, Jim Kennedy, vice-président exécutif des communications mondiales pour Sony Pictures Entertainment a affirmé «rechercher des preuves de ces revendications». Mais pour de nombreux experts en sécurité questionnés par les médias américains, l'attaque semble très crédible. L'agence AP a même contacté certaines personnes présentes sur ces listes, et a eu confirmation que les mots de passe cités étaient les bons.
«C'est comme si Sony nous l'avait demandé»
Après avoir subi des reproches sur Twitter pour la publication de ces mots de passe, Lulz Security s'est fendu d'une réponse : «J'entends qu'il ya eu de drôles d'arnaques avec les comptes Sony pillés. C'est ce que l'on obtient à utiliser le même mot de passe partout». Un ton qui se veut mi-moralisateur, mi-humoristique et qui semble être leur marque. Dans un autre tweet, ils se définissent comme «une équipe d'experts du divertissement et de la sécurité qui se spécialise dans la production de logiciels malveillants au potentiel comique».
«Notre but ici n'est pas d'apparaître comme des maîtres du hack, surtout que SonyPictures.com est tombé à l'aide d'une injection SQL simplissime, l'une des vulnérabilités les plus primitives et communes, à la portée de tout le monde aujourd'hui», relativisent-ils dans leur communiqué, en invitant tous les internautes à se servir de la faille. «Chaque bit de données que nous avons pris n'était pas chiffré. Sony a stocké plus d'un million de mots de passe de ses clients en clair, nous n'avions qu'à nous en emparer. C'est comme si Sony nous l'avait demandé», justifient-ils.

Lulz Security revendique un curriculum vitae vieux d'à peine 23 jours, débuté avec le piratage du site de la Fox, et comprenant surtout celui du site de la chaîne australienne PBS le 29 mai. Dans la nuit, les hackers avaient publié un article indiquant que le rappeur Tupac n'était pas mort en 1996 et qu'il vivait désormais en Australie. Une opération menée en représailles de la diffusion d'un documentaire sur WikiLeaks par la chaîne. Depuis, Lulz Security a créé un site web qui semble dater de trois jours et appelle aux dons. Le manque de ressources les aurait empêché de récupérer la totalité des données du site de Sony. Selon leur compte Twitter, ils auraient déjà recueilli quelques centaines de dollars et acheté un nouveau serveur. De quoi faire redouter à Sony de nouvelles sueurs froides.