Sale temps pour l’industrie du jeu vidéo ! Après les affaires Sony et Nintendo (ainsi que Bethesda, Codemasters et Epic, moins connus du grand public), c’est au tour de Sega d’annoncer une lourde perte de données personnelles.

L’éditeur aurait annoncé à ses clients du service Sega Pass qu’une base de données contenant des informations personnelles sur 1,3 millions d’abonnés aurait été dérobées peu avant le 16 juin dernier. A l’heure actuelle le site précise être fermé pour « une mise à jour importante« .

Sega précise toutefois dans un email adressé aux membres Sega Pass que les mots de passe étaient stockés de manière chiffrée (sans toutefois préciser la nature du chiffrement, voire s’il ne s’agit pas tout simplement d’un hash). Toujours selon Sega aucune donnée de paiement ne seraient concernées (l’éditeur a eu la bonne idée d’externaliser les paiements à un prestataire). Depuis la découverte de l’attaque Sega aurait changé les mots de passe de tous ses abonnés, et conseille à ces dernier de faire de même s’ils utilisaient le même mot de passe pour d’autres services en ligne.

Quel enseignement tirer de cette nouvelle attaque ?

• Les opérations de ce type semblent désormais s’organiser par secteur d’activité (outre le jeu vidéo, l’industrie de l’énergie puis celle de la défense ont dernièrement été visées)
• Le recours à un prestataire de paiement permet de déléguer la responsabilité de la sécurisation des numéros de cartes bancaires
• Ces groupes ne faisaient donc pas de (vrais) tests d’intrusion réguliers ?

Par ailleurs si vous devez accepter des paiements et conserver des numéros de cartes bancaires, envisagez la tokenization, qui permet de réduire considérablement le périmètre à protéger.