Sony : Fail Again ?

Tout commence avec l’histoire de la console qui a résisté le plus longtemps aux hackers. Il a fallu attendre 4 ans avant de voir apparaître des solutions confortables pour faire fonctionner des homebrews ou lancer des sauvegardes de jeu depuis le disque dur. Cette console est la PS3…

Geohot, rendu célèbre par le premier jailbreak de l’iPhone fut un des premiers à dumper l’intégralité de l’hyperviseur sensé être le garde fou de la console en utilisant une « glitch attack ». Cette vulnérabilité a permis à un moment donné de rétablir la fonctionnalité « OtherOS » sur la console FAT. Ensuite sont venus les dongles « Jailbreak » (qui ont apparemment été copiées à partir de clés USB de support) permettant de faire fonctionner du code directement depuis le gameOS, et donc d’outrepasser les vérifications de l’hyperviseur. Et enfin est arrivé le hack final grâce à la team fail0verflow permettant d’extraire la clé privée de la PS3 et de fabriquer le CFW de Geohot…

Tout ceci est plutôt flatteur pour Sony qui a su concevoir une console qui n’était pas si facile que ça à pirater, le retour sur investissement a très certainement été bénéfique. De plus les mises à jours successives de la console permet d’enrayer une partie du piratage : les versions de firmware les plus récentes résistent toujours aux hackers, et il est impossible d’exécuter un jeu ayant été compilé avec un SDK ayant une version plus récente que la console.

Cela aurait pu se finir correctement si Sony avait sécurisé autant la PS3 que son environnement d’exécution… Des pirates se sont fait plaisir en attaquant le PlayStaion Network et en lâchant dans la nature des données confidentielles sur des personnes s’étant connectées au PSN.

Malheureusement les grandes entreprises ne sont pas visiblement encore assez conscientes que les données de l’utilisateur sont certainement en tête de liste en matière de protection (sans parler de l’image de marque lorsque tout se retrouve « in the wild »). Peut être que des têtes sont tombées surtout lorsque l’on entend ce genre d’informations après coup.

Et ce n’est pas fini, le PSN a failli ré-ouvrir une fois alors qu’une vulnérabilité était encore présente. N’ont-ils pas de consultants sécurité chez Sony ? Préfère-t-ils poursuivre les hackers en justice plutôt que de tirer vers le haut les compétences sécurité au sein de leur boite ?

Et on continue, ces premières histoires ont provoqué la soif des pirates et Sony a été encore victime d’un vol de données. Cette fois c’est Sony Pictures qui termine cette épopée avec le vol de tous les comptes clients…

Que dire de tout ça ? La sécurité est très certainement un bel échec. Nous avons encore beaucoup de chemin à parcourir… Peut-être que le simple fait de montrer ces échecs nous permet d’avancer……… très peu…