Insider’s Interview : SOPA et Anonymous, Sony se prépare à la guerre

Anonymous et SONY une histoire d'amour

Reflets a eu la chance de questionner un insider d’une filiale de Sony qui a vécu de près le hack du PlayStation Network. Après les attaques à répétition essuyées par la major, cette dernière prend très au sérieux les menaces d’Anonymous dans le cadre de son soutien au SOPA, l’HADOPI à la sauce américaine. C’est le branle-bas de combat chez Sony World qui lance actuellement en interne de multiples audits de sécurité poussés pour éviter une fuite de données personnelles comme celles qu’il n’a cessé de subir durant l’année passée. Dans cette interview nous abordons le coût des attaques essuyées par Sony, les procédures renforcées et les audits de sécurité qui ont découlé de la multitude de hacks dont l’entreprise a été victime, ou encore du regard que Sony porte sur HADOPI.

R: Est ce que l’épisode Lulzsec a changé ton quotidien ?

SF : L’évènement Lulzsec a clairement changé mon quotidien et celui de toutes les entités Sony monde. Même si c’est Lulzsec qui a tapé le plus fort, ce n’est pas eux qui ont déclenché la nouvelle politique de sécurité de Sony mais tous les autres qui ont suivi (Sony Pictures, Sony Music Grèce etc…). Tout ces petits hacks ont fait péter un câble à nos amis japonais qui dirigent Sony depuis le Japon et c’est là que les choses ont commencé à évoluer sévère.

R: De nouvelles procédures ont elles été adoptées ?

SF : en effet, on nous a appris que chaque site contenant un copyright ou logo Sony ou Sony quelque chose devrait faire l’objet d’un scan de sécurité assez light dans un premier temps et beaucoup plus poussé par la suite. C’est ainsi que l’ordre nous a été donné de faire le listing de nos sites, de les envoyer dans une belle base qui est d’ailleurs maintenue par une boite qui s’appelle Archer Technologie (https://security.archer-tech.com le portail auquel nous accédons pour ce faire, je te laisse mener ton enquête sur leur beau site plaquette archer.com).

Là dessus, les petits scanners de Archer se sont mis à faire moult requêtes sur nos sites (sur le coup, si je n’avais pas été prévenu, je me serais dit qu’une attaque DDOS était en cours car les serveurs ont failli se vautrer grâce à leur super scan…). suite à ces scans, plusieurs failles critiques ont été trouvées et nous avons été obligés de purement et simplement fermer quelques sites.

Côté admin, nous avons du augmenter aussi la sécurité des serveurs (qui était déjà plutôt bonne grâce au firewall dont tous les ports sont fermés par défaut, uid et gid unique pour chaque site etc…) en mettant à jour systématiquement tout les paquets utilisés (je suis scotché aux update Debian pour le coup) et en peaufinant la configuration d’Apache (protection contre le clickjacking, restriction d’accès au Back Office par IP, épluchage de logs automatique pour faire ressortir les requêtes étranges) et aussi de mysql, proftpd, et NFS entre autre la dessus, il y a eu clairement un relâchement jusqu’en Décembre où on nous a enfin annoncé que les scans en profondeur allaient commencer! Super ! Sauf qu’à l’heure du chapon, SOPA nous voilà…

R: As tu une idée du budget approximatif de Sony relatif à la sécurité de ses applications web ?

SF : Alors là, quelques chiffres rapido:

In june 2011, for one basic security vulnerability resulted in the shutdown of 476 websites (testing costs of $650k) since then only 71 have been brought back online ($585 to test remediation)

En tout pour Sony Music world, il y a 4586 sites sur 36 plateformes d’hébergements distinctes. Entre Mai et Septembre pour Sony Music World, on parle d’environ $ 400k en procédures d’audits externes. L’estimation, rien que pour Sony Music à l’année est entre $ 8M et $ 8.5M Pour ce qui est de Sony maison mère, je n’ai pas l’info.

R: Comment SOPA est actuellement vécue par Sony, ils soutiennent ou pas ? Les positions internes sont elles les mêmes que celles affichées publiquement ?

SF : Chez Sony et ses filiales, tout le monde s’en cogne à priori, mais à l’inter, ça les fait clairement flipper. En interne, les gens avec qui je discute sont comme le français lambda qui regarde TF1. Ils n’ont aucune vision du pourquoi du comment et la majorité trouve que c’est plutôt bien de « protéger les créateurs« . Pour ce qui est du PDG (tout frais de la cuvée 2011), sa position est qu’HADOPI est très politisée (bon là il a pas tort) et contrairement à son prédécesseur, il n’est pas à fond dans la riposte graduée HADOPI. Il trouve cependant très bien que les politiques via HADOPI fassent passer le message « nous n’abandonnerons pas l’industrie de la musique à son triste sort« .

Là dessus, quand j’ai commencé à exposer mes idées, je me suis fait calmer et je n’ai pas poussé plus loin sinon j’aurais peut être fini comme Jérôme Bourreau Guggenheim de TF1 à l’époque. Bref, je ne me fais pas le porte parole de Sony mais je pense effectivement que la présidence soutient (que ça lui plaise ou non d’ailleurs) SOPA. Après la question, c’est est ce qu’ils le feront officiellement ou pas, ça c’est autre chose. Dans tous les cas, Sony préfèrera toujours envoyer la SCPP, le SNEP ou autres plutôt que de le faire directement (il n’y a que Pascal Nègre pour le faire). Et dans tous les cas, notre PDG est vraiment dans une optique salarié, pas de vague, pas de problème, je garde mon salaire.

R: Les menaces d’Anonymous sont elles prises au sérieux par Sony ?

SF : En France, je pense être l’un des rares conscients du risque. Les autres s’en foutent. A l’international, ça flippe beaucoup plus.

Twitter Facebook Google Plus email


11 thoughts on “Insider’s Interview : SOPA et Anonymous, Sony se prépare à la guerre”

    1. Oui, c’est bien dommage. Le fond des articles est toujours super intéressant et original mais les fautes gâchent le plaisir et la crédibilité du propos.
      J’avais commencé à relever les coquilles de quelques articles mais depuis j’ai abandonné ;)
      Bien amicalement :)

      1. Allons, allons, ça gâche effectivement (un peu) le plaisir, c’est vrai. Mais la crédibilité, sûrement pas.
        J’avais d’ailleurs transmis un lien à Fabrice Epelboin, sur un système de correction par les lecteurs, avec approbation d’un « modérateur », pour wordpress. Je ne sais pas s’il a eu le temps d’y jeter un oeil et de le tester.
        Mais bon, entre temps, il y a eu les fêtes.. et l’actualité est aussi assez chargée, soyons patients.

  1. Faut quand même bien se douter que même si Sony a eu des sur-coûts suite à des accrochages zinternets, ils ne vont pas changer leur business case et devenir les gentils amis du réseau. Bien sûr que SOPA, HADOPI and co défend leur business, et chat échaudé se protège au mieux pour éviter les vagues. Le fondement économique de Sony est sa part de marché à faire grossir, pas les pertes financières liées
    à des accidents.
    Il est intéressant tout de même de voir qu’ils prennent au sérieux certaines menaces, mais à mon humble avis ni plus ni moins que si le yakuza du coin menace la fille du patron (warning, je ne compare pas Anon et Yakuza autrement qu’au titre de la comparaison exagérée de l’image de la menace).
    Chapeau bas en tout cas au courageux insider.

  2. Merci à toi Bluetouff pour ce reportage très instructif.
    Moi qui m’imaginais que les gars chez Sony France était un minimum au courant de ce qui se trame en ce moment au niveau du net, quelle désillusion.
    Et bravo à ce courageux insider.

  3. Toujours intéressant un point de vue « Insider », même si je pense que certains vont vite chercher à savoir qui parle :(

    Au moins Sony aura prix conscience de ces lacunes, même si je pense que ce n’est pas dans l’optique « mieux servir nos clients » mais plus « mieux protéger nos fesses ». Il serait d’ailleurs intéressant de savoir si d’autres compagnies internationales se sont lancées dans les mêmes manœuvres dernièrement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *