Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Insider's Interview : SOPA et Anonymous, Sony se prépare à la guerre

Reflets a eu la chance de questionner un insider d'une filiale de Sony qui a vécu de près le hack du PlayStation Network. Après les attaques à répétition essuyées par la major, cette dernière prend très au sérieux les menaces d'Anonymous dans le cadre de son soutien au SOPA, l'HADOPI à la sauce américaine.

Reflets a eu la chance de questionner un insider d'une filiale de Sony qui a vécu de près le hack du PlayStation Network. Après les attaques à répétition essuyées par la major, cette dernière prend très au sérieux les menaces d'Anonymous dans le cadre de son soutien au SOPA, l'HADOPI à la sauce américaine. C'est le branle-bas de combat chez Sony World qui lance actuellement en interne de multiples audits de sécurité poussés pour éviter une fuite de données personnelles comme celles qu'il n'a cessé de subir durant l'année passée. Dans cette interview nous abordons le coût des attaques essuyées par Sony, les procédures renforcées et les audits de sécurité qui ont découlé de la multitude de hacks dont l'entreprise a été victime, ou encore du regard que Sony porte sur HADOPI.

R: Est ce que l'épisode Lulzsec a changé ton quotidien ?

SF : L’évènement Lulzsec a clairement changé mon quotidien et celui de toutes les entités Sony monde. Même si c'est Lulzsec qui a tapé le plus fort, ce n'est pas eux qui ont déclenché la nouvelle politique de sécurité de Sony mais tous les autres qui ont suivi (Sony Pictures, Sony Music Grèce etc...). Tout ces petits hacks ont fait péter un câble à nos amis japonais qui dirigent Sony depuis le Japon et c'est là que les choses ont commencé à évoluer sévère.

R: De nouvelles procédures ont elles été adoptées ?

SF : en effet, on nous a appris que chaque site contenant un copyright ou logo Sony ou Sony quelque chose devrait faire l'objet d'un scan de sécurité assez light dans un premier temps et beaucoup plus poussé par la suite. C'est ainsi que l'ordre nous a été donné de faire le listing de nos sites, de les envoyer dans une belle base qui est d'ailleurs maintenue par une boite qui s'appelle Archer Technologie (https://security.archer-tech.com le portail auquel nous accédons pour ce faire, je te laisse mener ton enquête sur leur beau site plaquette archer.com).

Là dessus, les petits scanners de Archer se sont mis à faire moult requêtes sur nos sites (sur le coup, si je n'avais pas été prévenu, je me serais dit qu'une attaque DDOS était en cours car les serveurs ont failli se vautrer grâce à leur super scan...). suite à ces scans, plusieurs failles critiques ont été trouvées et nous avons été obligés de purement et simplement fermer quelques sites.

Côté admin, nous avons du augmenter aussi la sécurité des serveurs (qui était déjà plutôt bonne grâce au firewall dont tous les ports sont fermés par défaut, uid et gid unique pour chaque site etc...) en mettant à jour systématiquement tout les paquets utilisés (je suis scotché aux update Debian pour le coup) et en peaufinant la configuration d'Apache (protection contre le clickjacking, restriction d'accès au Back Office par IP, épluchage de logs automatique pour faire ressortir les requêtes étranges) et aussi de mysql, proftpd, et NFS entre autre la dessus, il y a eu clairement un relâchement jusqu'en Décembre où on nous a enfin annoncé que les scans en profondeur allaient commencer! Super ! Sauf qu'à l'heure du chapon, SOPA nous voilà...

R: As tu une idée du budget approximatif de Sony relatif à la sécurité de ses applications web ?

SF : Alors là, quelques chiffres rapido:

In june 2011, for one basic security vulnerability resulted in the shutdown of 476 websites (testing costs of $650k) since then only 71 have been brought back online ($585 to test remediation)

En tout pour Sony Music world, il y a 4586 sites sur 36 plateformes d'hébergements distinctes. Entre Mai et Septembre pour Sony Music World, on parle d'environ $ 400k en procédures d'audits externes. L'estimation, rien que pour Sony Music à l'année est entre $ 8M et $ 8.5M Pour ce qui est de Sony maison mère, je n'ai pas l'info.

R: Comment SOPA est actuellement vécue par Sony, ils soutiennent ou pas ? Les positions internes sont elles les mêmes que celles affichées publiquement ?

SF : Chez Sony et ses filiales, tout le monde s'en cogne à priori, mais à l'inter, ça les fait clairement flipper. En interne, les gens avec qui je discute sont comme le français lambda qui regarde TF1. Ils n'ont aucune vision du pourquoi du comment et la majorité trouve que c'est plutôt bien de "protéger les créateurs". Pour ce qui est du PDG (tout frais de la cuvée 2011), sa position est qu'HADOPI est très politisée (bon là il a pas tort) et contrairement à son prédécesseur, il n'est pas à fond dans la riposte graduée HADOPI. Il trouve cependant très bien que les politiques via HADOPI fassent passer le message "nous n'abandonnerons pas l'industrie de la musique à son triste sort".

Là dessus, quand j'ai commencé à exposer mes idées, je me suis fait calmer et je n'ai pas poussé plus loin sinon j'aurais peut être fini comme Jérôme Bourreau Guggenheim de TF1 à l'époque. Bref, je ne me fais pas le porte parole de Sony mais je pense effectivement que la présidence soutient (que ça lui plaise ou non d'ailleurs) SOPA. Après la question, c'est est ce qu'ils le feront officiellement ou pas, ça c'est autre chose. Dans tous les cas, Sony préfèrera toujours envoyer la SCPP, le SNEP ou autres plutôt que de le faire directement (il n'y a que Pascal Nègre pour le faire). Et dans tous les cas, notre PDG est vraiment dans une optique salarié, pas de vague, pas de problème, je garde mon salaire.

R: Les menaces d'Anonymous sont elles prises au sérieux par Sony ?

SF : En France, je pense être l'un des rares conscients du risque. Les autres s'en foutent. A l'international, ça flippe beaucoup plus.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée