Après le PlayStation Network, c’est au tour de la filiale Sony Online Entertainment d’annoncer un vol de données majeur. D’après l’email reçu aujourd’hui pas les joueurs (dont fait partie votre serviteur), « des informations personnelles […] ont pu être volées au cours d’une cyber-attaque« . Vingt-cinq millions d’abonnés seraient concernés par cette nouvelle attaque. SOE est notamment responsable du portail Station.com et des jeux massivement multi-joueurs tel Everquest. La plate-forme a été mise hors-ligne elle aussi dès le piratage constaté.

L’éditeur estime qu’ont pu être dérobés les noms, adresses (ville, département, code postal, pays), adresses email des joueurs, ainsi que des informations concernant leur sexe, date de naissance, numéro de téléphone, nom d’utilisateur et mot de passe. Ce dernier était cependant stocké sous forme de hash. Si un hash n’est certainement pas du chiffrement, cela signifie tout de même que seuls les mots de passes relativement faibles pourront être cassés par les pirates en un temps raisonnable, probablement à l’aide de tables arc-en-ciel. Entre temps, les joueurs seraient bien avisés de changer leur mot de passe une fois le service à nouveau accessible.

Il semble qu’aucun numéros de cartes bancaires n’ait été dérobé dans le cadre de ce vol, ceux-ci étant conservés selon l’éditeur « dans un environnement totalement sécurisé et indépendant » (bien que désormais le terme « totalement sécurisé » de la part de Sony puisse laisser perplexe).

Par ailleurs une seconde base de données, datée de 2007 celle-ci, aurait également été compromise par les pirates au cours de la même opération. Elle contiendrait les informations paiement de 12 700 joueurs européens (numéros de carte bancaire et date d’expiration). Sony précise toutefois que les codes de validation n’étaient pas stockés dans la base (et c’est encore heureux, car les commerçants ne doivent justement pas conserver ce code !). Sans le code de validation il est difficile d’utiliser la carte dans le cadre de paiement en ligne, mais d’autres escroqueries, dans le monde physique notamment, sont possibles.

Le piratage aurait eu lieu entre le 16 et le 17 avril, soit peu avant celui du PlayStation Network. Il s’agit très probablement de la même équipe (qui, à cette période, menait simultanément une attaque par déni de service afin de monopoliser l’attention des équipes de l’éditeur).

La question que se pose aujourd’hui la communauté sécurité est de savoir comment une multinationale tel Sony a pu se faire ainsi avoir. Un début de réponse peut venir de l’organisation même de l’éditeur : Sony est organisé en « business units » très indépendantes, chacune dotée d’un responsable de la sécurité. Mais il semble qu’il n’y avait jusqu’à présent aucun responsable de la sécurité (RSSI ou DSSI) au niveau groupe. Les dirigeants de Sony ont cependant indiqué vouloir maintenant recruter un CISO, qui rapportera directement au DSI groupe (Sony Corporation).

Pour autant, même sans CISO, le groupe fournissait à ses filiales un framwork sécurité interne baptisé Global Information Security Policy et basé sur ISO 27001. Mieux : un autre cadre (Global Information Security Standard) définissait par ailleurs 14 contrôles à appliquer selon le type d’information concerné (en passant par la classification des données, notamment). Nous ne savons cependant pas si ces procédures étaient appliquées à la lettre par les filiales en charge du PSN ou par SOE.