Journal d'investigation en ligne et d'information‑hacking
par bluetouff

La CNIL s'intéresse au hack du Playstation Network

Vous avez peut être noté, si vous êtes un gamer invétéré, que Sony s'est un peu fait p0wn3d son espace où les joueurs s'affrontent en ligne, le Playstation Network (PSN). La plateforme est restée indisponible de longues heures. Sony a semble t-il fait le choix de tout débrancher pour enrayer l'attaque... C'est un choix, ce n'était pas la seule solution et nous allons y revenir un peu plus loin.

Vous avez peut être noté, si vous êtes un gamer invétéré, que Sony s'est un peu fait p0wn3d son espace où les joueurs s'affrontent en ligne, le Playstation Network (PSN). La plateforme est restée indisponible de longues heures. Sony a semble t-il fait le choix de tout débrancher pour enrayer l'attaque... C'est un choix, ce n'était pas la seule solution et nous allons y revenir un peu plus loin.

Suite à cette intrusion, des milliers de comptes, incluant emails et passwords des abonnés ont fait leur apparition sur Pastebin. Pire, des quantités astronomiques d'informations bancaires se sont également retrouvées sur le même site. Nous avions déjà vu que Pastebin est un espace collaboratif principalement destiné aux développeurs, mais que ce dernier a largement été détourné pour devenir une véritable place de marché pour certaines activités pas toujours très nettes. Le site ne doit pas être pour autant incriminé, il est particulièrement compliqué de surveiller ce genre d'espaces publics.

Ce qui peut en revanche laisser un peu plus perplexe, ce sont 2 points très précis :

  1. Le temps que Sony a mis à prévenir ses clients : en Suède, les clients dont les comptes et les informations personnelles ont été compromis n'en ont été avertis que samedi dernier.
  2. Le fait que Sony ait coupé ses serveurs en pleine attaque.

Le second point est un peu plus compliqué à aborder sans rentrer dans le détail technique de l'attaque qui n'est pas encore public (on ne sait pas trop s'il le sera vu l'attitude de Sony). Il y a deux manières de faire :

  • couper toutes les machines pour espérer enrayer au plus vite la fuite de données ;
  • laisser l'attaque se produire et la monitorer en live en observant les moindres faits et gestes de l'attaquant pour comprendre son attaque et prendre toute la mesure de la compromission.

La deuxième méthode est assez adaptée à des attaques modernes qui ne laissent pas de traces exploitables pour une analyse forensic. Elle nécessite cependant une puissance de réponse et d'analyse particulièrement vive. Sony a fait le choix de la première méthode, non seulement pour la compromission du PSN et de Qriocity, mais également pour celui de Sony Online Enternainment.

Il y a surtout une différence de réponse suite à ces deux attitudes :

  • La première permet la sécurité par l'obscurantisme avec une phrase bien débile du type "ne vous inquiétez pas vos données n'ont pas fuité, nous avons coupé les serveurs".
  • La seconde méthode, en revanche, on part du principe que si le réseau ou l'application est compromis, il convient d'en avertir très vite les utilisateurs afin que ces derniers puissent prendre les mesures adaptées pour ne pas subir, après coup, les conséquences d'une fuite de leurs données.

Dernière interrogation, la CNIL qui semble également s'intéresser à l'affaire vu la fuite massive de données personnelles pourrait par exemple forcer un peu le pas du Parlement pour, comme aux USA, obliger les entreprises dont des données personnelles de clients ont fuité, à communiquer au plus vite sur l'incident. Nous savons que c'est bien dans les bacs en France, mais peut-on espérer qu'Alex Türk, à la tête de la CNIL, arrive à convaincre ses collègues sénateurs de l'urgence de se doter d'une telle loi ? Car pour l'instant, en dehors de ses quelques effets d'annonces sur HADOPI (qu'il a voté avec sa casquette de sénateur alors qu'il l'a sérieusement critiqué avec sa casquette de président de la CNIL) ou sur Google (mais là pour le coup, c'est très en phase avec la volonté présidentielle de taxer les revenus publicitaires du géant américain), on ne voit rien de concret venir. Et pourtant il y  a vraiment urgence. Si la CNIL se borne à faire du forensic là où on aurait peut-être un jour besoin de sécurité pro-active, c'est qu'au final, la CNIL ne sert pas à grand chose. On peut aussi naturellement s'interroger sur le bien fondé d'avoir un sénateur s'inscrivant dans une logique naturellement partisane (c'est une convention politique), à la tête de ce qui nous est présenté comme une autorité indépendante... ça ne favorise jamais l'action.

Pour en revenir au sujet initial après cette digression, les personnes qui s'intéressent un peu à la sécurité des applications web savent à quel point il peut être compliqué de communiquer une faille importante à une entreprise. Nous pourrions en revenir à cet éternel débat full disclosure vs responsible disclosure mais là n'est pas le propos. Interrogeons nous plutôt sur les conséquences de la légèreté de certaines entreprises quand il s'agit d'informer les clients compromis sur l'exposition de leurs données personnelles... avant que toute leur vie ne se retrouve sur Pastebin ou ailleurs.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée