INFO ou INTOX - Le PSN piraté, les coordonnées bancaires en danger ?
par Caroline ToshDes révélations alarmantes sur la confidentialité et la sécurité bancaire sur le PSN circulent sur la toile.
Geohot au tribunal, bannissement définitif du PSN. Fini la rigolade, Sony a décidé de sévir et de reprendre les choses en main, enfin presque.
Une équipe de hackeurs, The Anonymous Data Protection Officers, affirme avoir piraté et espionné le PSN.
À l'image du hackeur qui traque les failles et agit pour le bien des internautes, la team (dont le nom résonne avec celui du groupe "anonymous" qui promeut la liberté sur le web et qui a activement contribué à la révolution tunisienne) explique qu'elle souhaite, par son action, mettre en lumière les informations relatives à la vie privée des joueurs collectées par Sony, et les failles (aberrantes si véridique) au niveau de la sécurité de ces données. Les dires des hackeurs n'ayant pas été confirmés, ces informations sont à prendre au conditionnel, elles sont toutefois cohérentes avec ce qui était déjà su à propos du PSN et de nos connexions.
Ce que Sony sait sur nous :
Avez-vous déjà lu les "Conditions d'utilisation et l'accord utilisateur", celles que vous validez lors de chaque mise à jour du système ? Probablement que non, si vous faites partie du commun des mortels. Ces conditions stipulent que Sony, lors de chacune de vos connexions, recueille et sauvegarde des informations diverses et variées sur nos pauvres personnes :
- Le matériel utilisé : le modèle de votre télévision, celui de votre manette, etc.
- Les périphériques USB connectés
- Votre comportement de gamer : durée et fréquence des connexions, et autres statistiques
- Les jeux et applications téléchargés (homebrews inclus)
- Les détails de notre réseau internet
Autant dire que Big Brother est parmi nous. Une lecture rigoureuse de la charte de confidentialité de Sony vous aurait appris partiellement la même chose. Les révélations qui suivent sont encore plus inquiétantes.
La gestion inquiétante des données sensibles, et le risque entraîné par l'arrivée des Customs Firmware
Vous n'êtes pas sans savoir que, de la même façon que sur internet, à chaque paiement réalisé sur le PSN vos données bancaires sont transmises aux serveurs Sony via une connexion SSL sécurisée. Le principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d'authentification, celle du certificat, qui garantit l'authenticité du marchand, Sony en l'occurrence. À première vue, vos coordonnées bancaires sont protégées. Sauf que comme tout système, il peut être corrompu, notamment par l'intégration à la liste des certificats autorisés d'un faux certificat. Or, la team de hackeurs met en garde sur le fait que les Custom Firmwares, entièrement personnalisables, facilitent la falsification de certificats. Une fois la certification établie, il serait un jeu d'enfant d'aspirer ces données bancaires.
Le risque est d'autant plus réel dans la mesure où les hackeurs affirment que les coordonnées bancaires ne seraient pas cryptées par Sony (en plus de la connexion SSL) et transmises dans un simple fichier texte ! Soit une sécurité très light pour le géant nippon, qui enregistre des milliers de paiements par jour et surtout qui garde, de force, en mémoire les coordonnées bancaires après un achat.
L'essor du hack et des Customs Firmware constituerait donc un danger considérable pour la sécurité bancaire sur le PSN selon The Anonymous Data Protection Officers, mais il n'y a pas de quoi s'inquiéter n'est-ce pas ? Car les possesseurs de Customs Firmware vont tous être bannis !
Un exemple d'un log avec des coordonnées bancaires