Les conséquences du piratage du PSN

Nous l'abordions récemment, le PlayStation Network a fait l'objet d'une intrusion non autorisée et les données personnelles de quelque 77 millions d'utilisateurs du réseau de jeu en ligne de Sony (qui n'est plus accessible depuis plusieurs jours) ont potentiellement été collectées par des « personnes non autorisées ». Et ce piratage, qui entre dans les annales comme le « vol de données le plus importants de l'histoire Internet » n'est évidemment pas sans conséquence.

Outre les développeurs plongés dans l'expectative (leurs jeux distribués sur le PSN ne sont plus accessibles) et les railleries (George 'Geohot' Hotz, le joueur poursuivi par Sony pour avoir modifié sa PS3 ayant obtenu le soutien d'Anonymous invite par exemple le développeur à recruter des experts en sécurité plutôt que des avocats, alors que les réactions des joueurs ont poussé Sony à désactiver les commentaires de ses blogs officiels), dès hier, plusieurs hommes politiques affirmaient vouloir se saisir de l'affaire (notamment le sénateur américain Richard Blumenthal, se plaignant dans une lettre adressée au constructeur de la gestion du dossier et du manque d'informations communiquées aux joueurs). Dans la foulée, les autorités indépendantes en charge de la protection des données personnelles des internautes de plusieurs pays (comme l'Information Commissioner's Office britannique ou encore le Canada's Privacy Commissioner, les équivalents de la CNIL française) demandent déjà des comptes ou annoncent ouvrir des enquêtes.
Même mouvement chez les particuliers. Un premier joueur américain de l'Alabama vient de saisir les juridictions californiennes en vue d'engager des poursuites contre Sony. Kristopher Johns, c'est son nom, reproche d'abord au constructeur « de ne pas avoir prêté une attention raisonnable à la protection, l'encryptage et à la sécurisation des données personnelles et sensibles de ses utilisateurs », en plus d'avoir manqué à son obligation d'information de ses clients, tardant à signaler l'intrusion et empêchant ainsi les joueurs de modifier, voire de bloquer les comptes bancaires susceptibles d'être attaqués par les pirates du réseau de jeux. L'action de Kristopher Johns, qui vise à obtenir une compensation financière et la prise en charge d'éventuels frais bancaires, prend la forme d'une action collective (class action) et invite donc les 77 millions d'utilisateurs du PSN à le rejoindre.
Face à la fronde, les marchés financiers plutôt frileux ne tardent pas à réagir et ce matin, l'action de Sony avait plongé de plus de 4,8% (pour une baisse de 8% sur la semaine), alors que certains analystes comme Larry Ponemon relayé par Reuters estiment le coût de ce piratage à 1,5 milliards de dollars de Sony.

De son côté, Sony tente de juguler la déferlante et entend se montrer rassurant : selon le constructeur, les données bancaires étaient cryptées (mais quid des mots de passe et comptes mail ?) et rien ne montrent qu'elles aient été atteintes par les pirates, le PSN sera relancé dès la semaine prochaine et Sony promet déjà plusieurs nouvelles fonctionnalités pour son réseau.

On ignore si l'annonce suffira à calmer les craintes. En attendant, Sony Online Entertainment (la branche « online » du groupe, en charge notamment du développement des MMO estampillés Sony) précise que ses données de joueurs ne sont pas stockées avec celles des joueurs du PSN. Les joueurs de DC Universe Online et Free Realms notamment ne devraient donc pas être directement impactés par ce vol de données.
On rappellera néanmoins les élémentaires conseils de prudence visant à modifier l'ensemble des mots de passe et comptes mails utilisés à la fois dans le cadre du PSN (et potentiellement compromis) et dans le cadre d'autres applications accessibles en ligne (du compte de MMO aux accès à ses comptes bancaires en ligne).