Sony : 24,6 millions de comptes SOE compromis

[shenron666]

Citation:

Envoyé par Charvalos

je pense que cela va servir de leçon et que les autres entreprises (Microsoft, Nintendo, etc) vont sûrement revoir leur politique de sécurité.

alors ça, je n'y crois pas une seconde
"les autres" vont juste se moquer de Sony (ouvertement ou non) jusqu'à ce qu'ils se fassent hacker à leur tour

pour ma part, ça me fait rire et ça m'inquiète à la fois sans toutefois être étonné

• en informatique, rien n'est en sécurité nulle part, tout ce que l'homme fait peut être défait
• Sony recommande de changer son mot de passe sur son compte PSN, sauf que le PSN est indisponible
• SoE a aussi été compromis, une base de donnée périmée de 2007 ? pourquoi gardent t-ils des informations soi disant périmées mais potentiellement dangereuses pour leurs clients aussi longtemps ? est-ce conforme à la réglementation ? (cnil)

J'aimerai aussi savoir quelles sont les informations dérobées dans la base SoE afin de voir si Sony n'a pas conservé des informations qu'il n'aurait pas dû

Sony a énormément perdu en crédibilité, mais risque aussi de perdre beaucoup de clients et de clients potentiels

[Floréal]

Citation:

« nous avons été victime d'une attaque bien planifiée, très professionnelle et très sophistiquées»

En gros tout ce que n'est pas Anonymous.

[kolodz]

Citation:

Pensez-vous qu'Anonymous peut être derrière l'attaque malgré le démenti ?

Anonymous a toujours été un groupe sans véritable "tête". Tout le monde peut prendre la parole entant qu'un "Anonymous".
Donc, ce fichier n'est pas une preuve. Sauf si il contient l'adresse IP/MAC de la personne qui l'envoyer.

Citation:

Et si non, qui a laissé ce message avec la devise du groupement ?

L'un des pirates comme carte de visite.

Si la prochaine fois, il sort la devise des USA, on poursuit le gouvernement américain ? Un peu de sérieux...

Mais si pour eux ce fichier est une preuve, alors je comprend pourquoi l'attaque leur semble si professionnelle.

[Marco46]

Citation:

Envoyé par kolodz

Anonymous a toujours été un groupe sans véritable "tête". Tout le monde peut prendre la parole entant qu'un "Anonymous".
Donc, ce fichier n'est pas une preuve. Sauf si il contient l'adresse IP/MAC de la personne qui l'envoyer.

Une IP ou une adresse MAC n'identifient pas une personne mais une connexion dans un cas et une carte réseau dans l'autre, sachant que dans le 2ème cas c'est très facilement falsifiable. Donc ce n'est pas une preuve.

[Remizkn]

Je mise pour une fausse incrimination. Anonymous l'aurait revendiqué, c'est l'esprit 4chan, quand on fait un truc pareil, on le revendique. En l'occurrence, c'est soit un clin d'œil, soit une mauvaise blague cette idée de mettre un "We are Legions".

Citation:

Mais je suis toujours surpris du contre-pouvoir que peut représenter 4chan... ca fait réfléchir.

Un contre pouvoir certes, mais à la morale très vacillante et personnelle:
Faîtes du mal à un chat et vous subirez les pires représailles.
Postez du contenu pédophile, et vous subirez une attaque d'image de pizzas affublés de LULZ...

[Sunchaser]

Bon,
C'est bien beau tout ca, Sony est pleins de gens très bien et très compétents qui ont fait une petite erreur, la paient un peu cher, et vont tout réparer, Anonymous est un réseau de gens hyper doués capables de défier des super-puissances comme Sony, c'est très bien, c'est très admirable, tous mes respects, etc ....
Mais revenons a l'essentiel:
...

...

Quand est-ce que je joue MOI, hein ?
AAhh,mais, excusez moi d'être malpoli, mais ca commence vraiment a me faire chier, moi, ils peuvent pas se livrer leur guéguerres ailleurs ?
Merde alors !
... bon faut que je me calme, parce que soit je vais faire une crise cardiaque (je me fais vieux) soit je vais envoyer 10 pages de mots fleuris.
C'est bien simple, soit je retrouve un accès a mon petit jeu favoris rapidement, soit je vais finir par en acheter des vraies - des armes de guerre - et je vais tirer dans le tas.
Ou plutôt non, je vais rester soft, je vais acheter une autre console et passer a la concurrence, na !

Bon allez, j'avoue que finalement je ne suis pas si accro que ca, je vis bien sans, et je crois que le pire qui pourrait m'arriver serait de ne plus avoir accès a Developpez.com en réalité.

Sinon, chers Anonymous, si jamais vous passiez par la et lisiez ces lignes, contactez moi par MP afin que je vous donne des détails pour une mission simple:accéder a mon compte bancaire et décaler la virgule d'un ou deux crans vers la droite; çà suffira et c'est discret, personne ne s'en rendra compte... enfin, a faire tant que le solde est positif, déconnez pas

[granquet]

http://consumerist.com/2011/05/secur...sn-breach.html

je dis ca, je dis rien ...

[shenron666]

Citation:

Envoyé par Sunchaser

Mais revenons a l'essentiel:
...

...

Quand est-ce que je joue MOI, hein ?

tout ce qui t'intéresse, c'est de jouer ?

Citation:

Envoyé par granquet

http://consumerist.com/2011/05/secur...sn-breach.html

je dis ca, je dis rien ...

super, un expert sort d'on ne sait où une connerie et tout le monde doit y croire ?
vaudrait mieux pour lui qu'il ait des preuves pour lancer ce genre d'accusation

Attention, je défend pas Sony, juste que j'aime pas ce genre de $@#&! qui profitent de la situation pour se faire valoir

[granquet]

l'article est pas top, on est d'accord...
mais de la a dire que c'est un "pauvre type qui sors de nul part", j'irais pas jusque la; je le connais pas perso mais bon ... il a 2/3 references
http://en.wikipedia.org/wiki/Gene_Spafford

[Sunchaser]

Citation:

Envoyé par shenron666

tout ce qui t'intéresse, c'est de jouer ?

Oui, oui, et je n'ai pas honte de moi, ce n'est pas parce que je suis "vieux" que je n'ai plus le droit de jouer, na !
Bon, et puis, j'ai un peu exagéré tout de même, mais ça fait bizarre (j'imagine pas dans l'état que doivent être certains, encore que, des vrais accros doivent surement avoir plusieurs moyens de se défouler dans les mondes virtuels).

Le reste m'inquiète.

[Rayek]

Citation:

Envoyé par shenron666

Sony recommande de changer son mot de passe sur son compte PSN, sauf que le PSN est indisponible

Attentino tu as mal compris, il recommande certes, mais il indique que ça se fera automatiquement lorsqu'on se reconnectera sur le PSN et il faudra que cela la même adresse MAC de console pour l'id psn pour pouvoir le faire.
Pour ceux qui ont changé de console entre temps, il y aura la possibilité de le faire via un mail reçu par je ne sais plus quelle adresse sur le mail lié au compte psn (d'ailleurs tout le monde le recevra ce mail)

[minuipile]

Ca me rappelle lorsque Colin Powell montre sa petite bouteille d'arme bactériologique pour justifier le recours de la force en Irak. Sans parler des superbes powerpoint...

Enfin, trouver un dossier qui incrimine quelqu'un c'est un peu évident... Mais de là à incriminer Anonymous vu le nombre de Hacker sur la planète... Ils auraient pu tout aussi dire qu'il s'agit des martiens ou de Marilyn Monroe... Cela aurait été aussi crédible.

[Doksuri]

perso je trouve que c'est une bonne chose.

ce n'est pas parceque c'est une tres grosse multinationale qu'une entreprise doit negliger la securite...et se reposer sur ses lauriers n'est jamais une bonne chose...

un bon coup de fouet ne fait jamais de mal

[Gordon Fowler]

Affaire PlayStation Network : les attaques auraient utilisé le Cloud d’Amazon
Les services de Sony commencent juste à être réactivés

Mise à jour du 16/05/11


Le PlayStation Network commence juste à se remettre des attaques perpétrées contre Sony. Attaques dont on ne sait toujours que peu de choses, à part qu'elles ont abouti au vol d'informations personnelles sur les 77 millions de membres des réseaux de jeux de Sony (Playstation Gaming Network et Sony Online Entertainment division).

Sony avait dans un premier temps accusé le célèbre groupe Anonymous qui avait immédiatement démenti (lire ci-avant). Quelques heures plus tard, le Financial Time faisait pourtant savoir que deux anciens membres de l'organisation avaient contacté le FBI pour confirmer que Anonymous était bien impliqué.

Anonymous avait alors admis qu'il était possible que des personnes se revendiquant du groupe aient pu fomenté l'attaque mais qu'il s'agirait alors d'un abus de leur part, le groupe ne cautionnant jamais le vol de données comme les numéros de carte bleue. La structure non-hiérarchique et totalement décentralisée de l'organisation officieuse explique lesnombreuses confusions possibles.

Si on ne sait pas exactement qui a attaqué, on sait en revanche aujourd'hui d'où les attaques venaient.

D'après Bloomberg, les pirates auraient utilisé des instances Amazon EC2, la plate-forme de Cloud Computing de Amazon pour casser les défenses de Sony. Pour louer ce service, des données erronées auraient été fournies lors de l'inscription et de la mise en service. Le compte a depuis été repéré et fermé par Amazon.

L'utilisation de la puissance de calcul du Cloud (et de la bande passante temporaire supplémentaire qu'il permet) pour des exploits, des hacks ou des attaques criminelles n'est pas une première. A tel point que l'on peut se demander si les pirates n'ont pas compris avant les autres ses avantages.

Un hacker (pas un pirate) avait ainsi fait la démonstration qu'il était possible de casser rapidement l'algorithme SHA-1, sans aucun matériel puissant et – point le plus important - pour un prix dérisoire en utilisant, lui aussi, AmazonEC2.

Cette preuve de faisabilité faisait suite à une autre affaire. Zeus, le fameux Trojan avait réussi quelques semaines plus tôt à s'immiscer dans un site hébergé par Amazon et à se propager ainsi grâce au Cloud.

Quoiqu'il en soit, les services de Sony commencent à rouvrir doucement leurs portes, en commençant par les Etats-Unis. Pour y accéder, les utilisateurs devront impérativement mettre à jour le firmeware de leurs consoles et changer leurs mots de passe (qui devront par ailleurs être impérativement plus complexes que précédemment).

Reste à savoir si les joueurs seront effectivement au rendez-vous. Car comme dit le proverbe : « Chat échaudé, etc. ».

Sources :

Financial Time
Bloomberg
Sony

[berceker united]

Le service de jeux en ligne a été réactivé en France hier soir vers 20h. Il y avait tellement de monde que certain jeux étaient saturé comme Call of Duty. Tout les services n'était pas activés comme le service playstation network permettant de voir les dernières nouveauté des jeux et démo. Le service de musique en ligne Qriocity aussi n'était pas activé à ce moment là. Ce site était partiellement fermé. Il était possible d'écouter de la musique que 30 secondes par titre.

[Sunchaser]

RRooooo, pinaise ! Trop cool.
Trop bien, je vais prendre une journée off rien que pour pouvoir me défouler, c'est que j'ai pleins de gens a tuer, moi !
Allez hop, fusil a l'épaule, qui viens avec moi ?


Mince, on va vraiment finir par me prendre pour un barjot moi ... ah, mais, on me dit dans l'oreillette que c'est trop tard et que ca, ca fait longtemps que c'est fait.
Tant pis.

[Gordon Fowler]

Nouvelle vulnérabilité découverte dans les services de Sony
Après les attaques et les fuites de données confidentielles d'utilisateurs

Mise à jour du 19/05/11


Les ennuis se succèdent pour Sony. Après l'attaque de ses serveurs et la fuite de données personnelles de ses clients, la société japonaise avait renforcé sa sécurité et rouvert ses services en début de semaine (lire ci-avant).

Les utilisateurs du PlayStation Network, de Sony Online Entertainment et de Qriocity étaient alors invités à changer leurs mots de passe.

Problème, le processus de réinitialisation de ces mots de passe utilise des données volées lors de l'attaque. Il suffit en effet de connaître la date de naissance et l'e-mail d'un utilisateur pour le modifier.

La société relativise cependant la gravité de la faille potentielle : « contrairement à ce que disent certains rapports, il n'y avait pas de hack impliqué. Le processus de réinitialisation des mots de passe était vulnérable à un un exploit utilisant une URL, vulnérabilité que nous avons colmatée ».

Et de confirmer que « les utilisateurs qui n'ont pas réinitialisé leur mot de passe pour le PSN sont invités à le faire directement depuis leur PS3 » ou sur Playstation.com lorsque les pages concernées seront remises en ligne.

Le découvreur de la faille conseille lui aussi de créer un nouveau mot de passe mais en plus « de changer l’adresse mail utilisée par une nouvelle qui ne sera communiquée nulle part ailleurs […] pour plus de sécurité ».

Aucun piratage de compte n'aurait été relevé. Mais deux précautions valent mieux qu'une.

Source : Site du Hacker à l'origine de la découverte, Blog Playstation

[RomainVALERI]

Citation:

Envoyé par Charvalos

... je pense que cela va servir de leçon et que les autres entreprises (Microsoft, Nintendo, etc) vont sûrement revoir leur politique de sécurité.

Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...

[Lyche]

Citation:

Envoyé par RomainVALERI

Si on fait un petit parallèle avec Fukushima (affaire autrement plus importante que cette histoire de joujoux Sony), permets-moi d'en douter. ^^

L'industrie nucléaire ne tire aucune leçon des catastrophes successives qui la frappent, je vois mal pourquoi l'industrie du jeu numérique serait plus rigoureuse sur ce point...

Si si, des centrales au japon vont fermer et certains programmes de R&D sur le nucléaire seront stoppés. Ils ont bien tiré des leçons des catastrophes, juste pas les bonnes.
Mais à chaud, est-ce qu'on peux en vouloir à des gens qui pensent plus à leur fric qu'à un véritable projet sur le long terme? (valable pour les patrons de sony)

[tulipebleu]

Il me semble que s'il y a une leçon a tiré de cela c'est de ne jamais conserver les informations bancaires des clients (sauf bien sur si on est une banque).

C'est la seule façon d'être assez sécurisé.

Pratiquement aucune entreprise d'informatique n'a les moyens de payer jour et nuit des gardes pour éviter de se faire voler physiquement des disques dure, ni d'être toujours à jour au niveau sécurité (mise à jour logiciel, nouvelle méthode d'attaque, etc...)

Enfin, cela montre aussi qu'il faudra un jour ou l'autre définir de nouveau protocole web qui serons fiable. Ces nouveaux protocoles ne serons certainement pas compatibles, mais au moins ils seront sécurisés. Ce sera la fin du DNS Spoofing, du spaming, etc... Peut être qu'il faudra attendre 50 ans, ou de les grands acteurs (Microfost, IBM, etc...) se fasse hacker dans les grandes largeurs le même mois, mais cela arrivera tôt ou tard.