Playstation Network : Autopsie d'un désastre

Cet article est tiré du blog Parallaxe

Généralement ces maintenances ne durent que quelques heures. Tout
au plus 24 heures dans les cas les plus lourds. Mais cette fois, deux
jours après, Sony est obligé de lâcher le morceau. L'information
est rendue publique, les serveurs sont inaccessibles pour une durée
indéterminée. C'est le début d'une longue descente aux enfers pour la firme Tokioïte.

Plus des trois quarts des joueurs PS3 sont très
gênés par cette interruption (sondage blog). Ils jouaient soit en
réseau, soit avec des jeux qui nécessitent une connexion valide
pour fonctionner. La grogne monte, d'autant plus qu'on est pas encore
certain que les données bancaires soient épargnées. D'autres font rapidement le lien avec l'attaque des
Anonymous qui a eu lieu au début du mois d'avril. D'une toute autre
nature, cette dernière visait à saturer le réseau de Sony pour
gêner les connections des joueurs. Dans un premier temps les anonymous vont nier être à l'origine de cette intrusion. Au bout de presque une semaine
Sony France reprend un communiqué anglais et informe que l'analyse sera
longue et complexe. Des experts de cabinets extérieurs sont sur le coup. Il peut sembler étrange que des personnes externes à Sony soient mandatées pour résoudre ce type de problème, mais lorsqu'on connait le milieu de la sécurité réseau, c'est en fait parfaitement logique.

Dans un courrier du 26 avril, Sony confirmemalheureusement que des données personnelles ainsi que des données
bancaires ont pu être téléchargées par les pirates. Les joueurs sont consternés et le monde informatique ainsi que le grand public commencent à
s'intéresser à l'affaire. Il s'agit tout de même des données d'environ 77 millions de comptes qui sont compromises. Cet événement pose de nombreuses questions sur la sécurité dans le domaine informatique. Comment faire confiance aux
autres organismes alors qu'une firme comme Sony n'a pas su protéger ses
données ? La faute technique du géant japonnais est avérée.  Hasard du calendrier, cette interruption du PSN
profite à Microsoft qui est justement en train de proposer un
week-end gratuit sur le Live. La firme de Redmond commente les déboires de son concurrent et s'attend d'autant
plus à ce que les connections montent en flèche. Le même jour, (26 avril) on découvre que certains auraient eu les moyens d'ajouter de l'argent sur leur compte à l'aide d'un hack de la PS3. Le navire Sony semble s'enfoncer de plus en plus dans des profondeurs abyssales.

Le 27, Sony communique à nouveau officellement pour confirmer le piratage et exprime sa colère ainsi que sa
détermination à poursuivre les auteurs de ce forfait. L'intrusion se
serait produite entre le 17 et le 19 avril. Une déclaration
contradictoire avec ce qui sera affirmé bien plus tard. En effet, après
investigations et malgré un démenti, Sony déclare avoir trouvé des
preuves que les Anonymous seraient à l'origine de cette attaque. Ils
auraient profité de leur attaque de début avril (type DoS) pour
s'introduire dans le système. Or cette attaque n'a jamais eu lieu entre
le 17 et le 19... La preuve de Sony serait un fichier nommé Anonymous
qui contenait simplement le texte "Nous sommes légion". On nage en
pleines eaux troubles.

La
grogne monte encore d'un cran. D'un côté Sony rassure en disant que les
numéros de carte ne sont que partiellement disponibles, de l'autre il
faut être très vigilant avec son compte. Et il n'y a pas que les joueurs qui sont mécontents. Tous les éditeurs qui vendent et qui proposent
leurs services via le PSN sont impactés. Plus aucun revenu pour un
service qui génère 500 millions de dollars de CA annuel ! L'action Sony
bat de l'aile en bourse. De tous côtés on commence à poser la question
du dédommagement.  La bête saigne de partout ! Comme si cela ne
suffisait pas, Sony communique très mal. Les informations entre les
blogs officiels diffèrent selon la langue. Problème de traduction ? Les
informations sont-elles fiables ?
La panique gagne certains utilisateurs de cartes qui préfèrent contacter leur banque et en
changer. Votre serviteur se fend d'un petit dossier sur la protection
des utilisateurs de CB en France. Une conclusion plutôt rassurante : si
vous êtes vigilants, vous ne risquez pas grand chose. La société VISA vient confirmer mes dires. Quoi qu'il en soit, les analystes sont d'accord pour dire qu'il s'agit
d'une des intrusions les plus graves de l'histoire de l'informatique.

Le 28, les équipes de Sony travaillent toujours d'arrache pied pour traquer et combler les brèches du système. Un certain nombre de mesures sont
annoncées. La réouverture du PSN sera accompagnée d'un nouveau firmware
pour la PS3. Il faudra changer son mot de passer et les comptes seront
liées à la machine qui les a créés. Les kits de développement envoyés
aux éditeurs devront également être mis à jour. La construction et le
transfert des serveurs vers une nouvelle infrastructure sera accéléré.
La majeur partie des médias généralistes s'étant emparés de l'affaire,
Sony essaie de calmer le jeu en déclarant que les données bancaires
étaient bien cryptées et que le code de sécurité n'était pas en leur
possession. Partiellement rassurant cependant dans la mesure ou des
rumeurs font état d'environ 2 millions de comptes proposés au marché
noir. Le code de sécurité n'est pas demandé par tous les sites de vente
en ligne. D'ailleurs Sony eux mêmes ne l'utilisent pas...
Les pertes
potentielles de Sony sont évaluées à 24 milliards de dollars. l'action
en bourse continue de chuter et après le ramdam médiatique, les
particuliers, ainsi que les états prennent le chemin des tribunaux. Chez nous, c'est la CNIL qui ouvre une enquête.

Le 29, on commence enfin à parler d'un retour à la normale dans la semaine du 02 mai. On commence également à parler d'un système
de dédommagement. L'offre sera fonction des régions concernées, mais les joueurs sont déjà heureux d'apprendre que Sony fera un geste. Chaque
gamer guette désormais à chaque allumage de console si le PSN est de
retour. Pour autant, il ne sera pas 100% opérationnel. Seules les
fonctions de jeu en ligne et d'identification de sécurité devraient être remises en service dans un premier temps. Les autres fonctions seront
introduites au compte goutte.

Le premier mai, Kaz Hirai ainsi que son équipe dirigeante fêtent le travail en s'excusant platement pour ce fiasco sécuritaire. Il confirme ce qui avait déjà été annoncé
les jours précédent et insiste sur le fait que la sécurité sera
drastiquement renforcée au sein des réseaux Sony. Il insiste sur la
nécessité de renouer un lien de confiance avec ses clients. Le programme "Welcome back" est fait pour cela. Il proposera des connexions
gratuites aux services de Sony pendant un mois ainsi que d'autres
compensations. Seuls 10 millons de comptes comportaient des données de
CB valides (dont environ 4,7 millions en France (!)).  Mais la crise de confiance est bien là. La moitié des
utilisateurs ne veulent déjà plus donner leur numéro de CB sur internet (sondage blog). L'usage de la CB sur la toile commençait à s'élargir, il se pourrait
bien que cet événement ait un impact global sur le comportement des
consommateurs. La faute technique avérée annoncée par Himred lors d'un podcast du 29 avril est confirmée. Sony était conscient que sont système comportait des
failles mais par négligence, elles sont restées accessibles. Himred
également raison en affirmant que la sécurité était malheureusement le
parent pauvre de la plupart des sociétés. Ces dernières préfèrent prendre le risque de laisser leurs services accessibles (pour ne pas perdre d'argent) et procéder par patchs successifs, plutôt que de régler les problèmes de sécurité en urgence.

Le 2 mai, c'est au tour des serveurs de SOE d'être arrêtés. On n'ose imaginer que ce soit à cause d'un piratage. Sony a déclaré que ce réseau aurait
aussi pu être impacté auparavant. Si cela avait été le cas, pourquoi ne
pas l'avoir sécurisé en même temps que le PSN ? De plus, le communiqué
est laconique : nous avons découvert un problème qui s'avère
suffisamment préoccupant pour que nous dussions mettre le système
hors-ligne immédiatement. Malgré des vœux de transparence, la communication semble toujours aussi obscure.

Le 3 mai, la nouvelle est confirmée. C'est un peu le coup de grâce à la bête déjà blessée à mort. SOE a été piraté en même temps que le PSN. Cela ajoute
un peu moins de 25 millions de comptes au tableau de chasse des pirates. En plus des coordonnées bancaires, ce sont plus de 10 000 informations
de virement automatiques qui sont repompées. C'est l'hallali.

Le 4, les infos tombent sur les plaintes collectives à l'encontre de Sony. Ce sont des millions qui sont réclamés et l'image de la marque est plus
qu'écornée. Le PSN est toujours hors service et on ne parle plus de date arrêtée pour son retour. Les joueurs ont seulement le numéro du prochain firmware à se mettre sous la dent. Ce sera le 3.61. Contrairement à ce qu'avait
annoncé Sony, la refonte sur système PS3 ne semble en tout cas pas
profonde. Le passage d'une version 3.60 à 3.61 ne signifie qu'un
changement mineur si on suit la logique de nomenclature des mises à
jour. Cette mise à jour doit arriver courant mai... On se demande même
si le retour du PSN ne pourrait pas faire l'objet d'une annonce à l'E3.
Un tel retard serait désastreux non seulement pour Sony (qui a déjà bu
le Calice jusqu'à la lie), mais aussi pour tous les partenaires
primaires et secondaires. De très gros jeux ont besoin du PSN !

Le 5 on reparle des Anonymous en raison d'un fichier retrouvé sur les serveurs (voir plus haut dans
ce texte). En fait, rien de permet de confirmer que c'est bien un membre de cette "organisation". Anonymous, c'est moi, c'est vous, c'est nous
finalement. Il n'y a pas de chef, pas de structure. Un membre peut donc
démentir alors qu'un autre irait revendiquer. Le troisième n'en fait pas partie mais a réalisé le piratage. Officiellement, Anonymous nie une fois encore. Finalement peu importe qui. La question du comment reste toujours en
suspens et c'est ce qui parait le plus intéressant. On finit par
l'oublier et noyer le poisson.

Le 6 mai, alors qu'on espère un retour du PSN pour le week-end, des rumeurs font
état d'une préparation pour une nouvelle attaque du service. Est-ce pour cela que le réseau n'est toujours pas remis en service ? Il semble en
tout cas logique que ceux qui ont perpétré l'attaque initiale cherchent
une fois de plus à mettre Sony en difficulté. Ce serait un coup sans
précédent dans l'histoire. C'est un week-end de plus sans PSN... Howard
Stringer, président de Sony Corp affirme que les utilisateurs américains seront couverts à auteur du million de dollar en cas de fraude. Un
système bien inutile chez nous. Nous sommes déjà couverts (cf plus
haut). En revanche, plus intéressant, c'est le blog français de Sony qui annonce que dans le cadre du programme "Welcome back", les joueurs pourront
choisir deux titres PS3 dans une liste de cinq proposés et deux titres
PSP dans une autre liste de quatre.

Le 10 mai, nouvelle communication de Sony. Encore des excuses pour annoncer officiellement qu'il n'y a plus de
date arrêtée pour le retour du PSN. C'est un laconique "quelques jours"
qui doit contenter les joueurs. On commence à entendre de plus en plus
parler de joueurs qui comptent déserter leur PS3 pour passer chez
Microsoft et son XBL. 47% des joueurs envisagent en effet de passer sur X360 si les problèmes ne sont pas résolus d'ici la fin du mois. Le site français reprend la nouvelle traduite (avec fidélité cette fois). Edge annonce
que de plus en plus de joueurs revendent leur PS3 pour passer sur 360.
Dans les jours suivants, la côte des jeux PS3 qui baisse sensiblement
confirme la tendance.

Le 13 mai, alors que certaines enseignes de jeux vidéo tentent de profiter de la situation en proposant des échanges de PS3 contre des 360, il semble que le réseau interne PSN fonctionne à nouveau. Ça et là il semble également que d'autres soient parvenus à se connecter de façon très épisodique dans certaines régions du monde.
S'il est clair que le réseau est loin de fonctionner normalement, il
bouge !

Le 14 mai, tout comme pour les utilisateurs du PSN, Sony promet des compensations
pour les abonnés de Sony Online Entertainment (SOE). Ces serveurs,
coupés depuis le 2 mai, sont utilisés pour donner l'accès à tous les MMO de l'éditeur. Un mois gratuit et autant de jours ajoutés en fonction de la durée de la coupure. En outre, un certain nombre d'événements ingame sont prévus pour profiter de stuff gratuit, de points d'XP doublés, 
d'argent virtuel et autres joyeusetés de rôlistes.

Le 15 mai, la mise à jour 3.61 est disponible en France. Peu de temps après dans
la soirée, le PSN est de retour au fur et à mesure en Europe. La France
commence à se reconnecter en fin d'après midi et en soirée. Si le PSN
reste extrêmement lent en raison de l'afflux massif des joueurs, on peut à nouveau profiter des serveurs multi. C'est la fin d'un calvaire pour beaucoup de possesseurs PS3 et le début de la reconstruction pour Sony. Le store doit encore être remis en route et tous les services démarrés les uns après les autres.

Aujourd'hui il reste encore beaucoup à dire sur le sujet et sur les impacts que cette crise aura engendré pour
Sony, les joueurs et même le monde de la sécurité en général. En
attendant d'en savoir plus, il est certain que le comportement des
joueurs aura changé après ces 26 jours de coupure et que ce
PSNgate aura alerté de nombreuses entreprises sur les problèmes de
sécurité informatique. Ce dossier sera remis à jour en conséquences avec les prochaines infos sur le sujet. En attendant, un permier chapitre s'est cloturé.

Lundi 16 mai. Alors que la mise à jour du Firware est dispo depui la
veille et que certains ont réussi à se reconnecter, il semble que le PSN soit encore très instable. La réinitialisation du mot de passe ne fonctionne pas toujours très bien et le réseau souffre de lenteurs énormes. Le blog officiel européen détaille l'offre de compensation pour le préjudice subi par les joueurs. Voici la liste
des logiciels qui ont été proposés ainsi que leur valeur pécunière
estimée. Les joueurs peuvent choisir deux titres PS3 et deux titres PSP
dans cette liste.

PS3

LittleBigPlanet (20€)
Infamous (30€)
Wipeout HD/Fury (30€)
Ratchet and Clank: Quest for Booty (16€)
Dead Nation (13€)

PSP

LittleBigPlanet PSP (20€)
ModNation PSP (20€)
Pursuit Force (15€)
Killzone Liberation (15€)

En outre, tout le monde bénéficie de tous les avantages du
Playstation Plus pendant 30 jours. Cette durée s'ajoute bien entendu à
celle déjà souscrite par les abonnées. L'offre de téléchargement
musicale est également accessible gratuitement pendant 30 jours. Reste à savoir si tout cela sera utilisable facilement. Si tous les
téléchargements effectués pendant cette période resteront valides après
la période gratuite, encore faudra-t-il que le réseau tienne le coup.
Les sollicitaions seront nombreuses et le PSN n'a pas toujours brillé
par sa célérité. En témoigne le système de changement de mot de passe
via web qui reste en maintenance après avoir brièvement fonctionné. Un arrêt qui est du à la découverte
d'une faille dans ce même système de réinitialisation de mot de passe... Décidément. Ceux qui ont donc oublié leur mot de passe doivent
patienter, puisqu'il faut obligatoirement passer par la console et donc
avoir son ancien password pour en changer.

Le 18 mai, Kaz Hirai, annonce que finalement très peu de gens
ont résilié leur compte PSN. Ce qui est une donnée pour le moins biaisée sur un système gratuit. Il serait probablement plus intéressant de
savoir qui renouvellera son abonnement aux services payants de Sony. Il
serait en effet complètement idiot de foncer pour fermer son compte alors que des jeux et des accès aux services payants sont proposés gratuitement pendant un mois. Le sondage de Gameblog tombe en partie dans ce panneau. Il sera en revanche intéressant de refaire le point à l'issue de ces périodes de dédomagement.

Le 19, un document communiqué aux partenaires de Sony, fait
état du rétablissement du playstation store pour le 24 mai. Un retour
très attendu, puisqu'outre les joueurs, ce sont également les éditeurs
qui ont été très touchés par cette crise. Ces derniers ne pouvant
évidement plus vendre aucun contenu pendant la période d'exil du PSN.
Les joueurs eux, attendent également de pouvoir télécharger les jeux
offerts par Sony en dédomagement.

En fin de semaine, le 21 mai, Sony révèle qu'une de ses
filiales ; So Net, fournisseur d'accès a été piraté. Son sytème de
capitalisation de points de fidélité aurait fait l'objet d'un vol. Ces
points convertibles en devises auraient étés dérobés pour une valeur
avoisinant les 860€. Malheureusement, on ne connait toujours pas le mode opératoire. Il pourrait s'agir d'imprudences de la part des
utililsateurs aussi bien que de véritables failles de sécurité. Si le
montant du larcin ne semble pas énorme, et l'affaire seconaire, c'est
une trace de plus dans un dossier déjà bien trop épais.

Le 23, à l'occasion du bilan financier de Sony, des pertes
colossales sont annoncées. 121 millions d'euro de pertes pour
l'entreprise. On ignore dans quelles proportions les incidents réseau
ont impacté ces chiffres, mais il est claire que cela n'a pas fait du
bien. Aucune estmation pour tous les éditeurs qui vendaient leurs titres via le Store et qui n'ont évidement bénéficié d'aucune entrée d'argent
pendant la période de coupure. Le retour s store est annoncé le
lendemain pour la fin du mois, sans plus de précisions. Dans le même
temps, le PSN est à nouvea coupé pour quelques heure en raison d'une maintenance de routine. La routine, ce n'est pas vraiment un terme adapté pour le fonctionnement du PSN ces derniers temps...

Le 31 mai, Sony annonce que l'ensemble des fonctions du PSN seront restorées avant la fin de la semaine en cours. Nous en sommes à attendre pour savoir si la promesse sera tenue. Normalement, avant vendredi prochain tout sera rentré dans l'ordre.