Justement pour se reconcentrer, vous parliez à l'instant de milliards, sur le PSN on a des sociétés qui évoquent... on parle d'un coût de 24 milliards de dollars que Sony pourrait subir pour ce préjudice. Ce sont des chiffres qui vous paraissent crédibles ?

Alors ça ces chiffres là, viennent d'un institut de veille de sécurité de bases de données qui estime qu'en 2010 le piratage de bases de données ça a coûté aux entreprises quelque chose comme 300 dollars par entrée piratée. Donc si on fait le simple calcul on mutiplie 300 dollars par les 77 millions d'entrées qui ont été piratées chez Sony ça nous donne 24 millards.

Mais ça veut dire quoi exactement, ça veut dire que Sony devrait s'acquitter de 24 milliards de dollars pour quoi ? Pour rembourser les gens qui auraient subi un préjudice ?

Non je pense que ça inclut les dommages en terme d'image, qui à mon avis vont être colossaux. J'avais lu une étude en 2005 là-dessus, cet institut qui s'appelle Aeon qui a sondé les 30 plus grandes entreprises en Grande-Bretagne et pour ces entreprises-là, le risque numéro un c'est des dommages au niveau de l'image : "Loss of reputation", perte d'image. Et en numéro deux seulement, arrêt de l'outil de production. C'est dire à quel point c'est important pour les sociétés. Et donc là, Sony entre le fait qu'ils se sont fait pirater, entre le fait que la base de données utilisateurs n'était pas cryptée, entre le fait que leur communication qui était quand même catastrophique...

Justement j'allais y venir, comment jugez-vous la réaction de Sony face à cette crise ? Est-ce que vous pensez qu'ils ont bien réagi, assez vite, judicieusement aujourd'hui ?

C'est très compliqué de répondre à cette question. Moi ce que je pense c'est qu'ils ont ont mis si longtemps a avertir leurs utilisateurs parce que eux-mêmes ne savaient pas exactement ce qui a été piraté. Il leur a fallu du temps pour comprendre, faire de l'analyse post-mortem sur leurs systèmes informatiques pour comprendre ce qui a été piraté et probablement comment. Peut-être qu'ils ne le savent pas tout à fait encore maintenant.

Et ça c'est crédible ? C'est-à-dire une semaine après les faits avérés, cette entrée comme ça des pirates dans le réseau, une société comme Sony qui a des centaines d'ingénieurs à travers le monde qui doivent actuellement oeuvrer pour le rétablissement de ce service, il est possible encore que dans ces conditions de ne pas savoir vraiment quelle est l'étendue totale du mal qui a été fait ?

Absolument, oui. L'analyse post-mortem d'un système informatique c'est un sujet très complexe. Ça dépend essentiellement à qui on a à faire comme pirate. Il y a des pirates plus ou moins doués pour effacer leurs traces. Et techniquement effacer toutes les traces ce n'est pas impossible.

Justement pour vous, avec vos connaissances par rapport aux réseaux et du PSN, c'est quel type de hackers auxquels on a à faire ici ? En gros, est-ce que Sony n'a pas été trop négligent, que c'était trop facile d'y accéder ou est-ce qu'on a là vraiment à faire à des cadors du code ?

Alors c'est un peu des deux. Visiblement c'est des pirates quand même très doués parce que sinon Sony n'aurait pas eu besoin des huit jours pour savoir ce qui avait été piraté, c'est une certitude.

Parce qu'on laisse des traces quand on pirate ?

Bien sûr, parce qu'il y a des système de log normalement qui sont mis en place. Donc effacer ses traces c'est tout un art quand on fait du piratage. Souvent la pénétration ce n'est pas le plus difficile, le plus difficile c'est la furtivité. Et d'autre part force est de constater que ne pas encrypter sa base de données d'utilisateurs c'est quand même surprenant.

Ça c'est une pratique qui n'est pas du tout répandue parmi les principaux réseaux qui ont ce genre de données personnelles ? C'est la base normalement ?

Même les petits shops en ligne le font.

Donc là ça veut dire qu'il y a une véritable négligence de la part de Sony ?

Oui, je le crois, et peut-être qu'ils se sont dit : "ce sont des données moins importantes que les cartes de crédit".

Est-ce que vous imaginez, à l'image de ce qui se passe aujourd'hui sur le PSN, on parlait tout à l'heure du Xbox Live qui est une structure dans l'absolue similaire où on peut acheter des jeux dématérialisés, des films de la musique... Ça pourrait arriver ? Microsoft est armé pour ce genre de menace ? Ou est-ce que finalement c'est impossible d'être sûr à 100% que son réseau soit inviolable ?

Oui vous l'avez dit le risque zéro n'existe pas. D'ailleurs c'est pour ça qu'une partie de la loi Hadopi a été tant décriée. La partie qui consiste à criminaliser les utilisateurs qui auraient mal sécurisé leur accès internet. Même les professionnels en sécurité n'y arrivent pas à 100%. Comment le demander à Madame Denis ?!

Donc ça veut dire quand même que ces réseaux dans lesquels, que ce soit iTunes, le Xbox Live, le PSN, Paypal ou quoi que ce soit, on renseigne des données personnelles, on donne ses coordonnées bancaires, on ne peut pas être sûr à 100% qu'un jour des gens ne puissent pas récupérer ces données ?

Absolument, c'est au coeur du problème du cloud computing. C'est-à-dire que toute la migration des données, qui étaient sur notre desktop avant, vers des serveurs distants, il faut bien savoir qu'on délègue la responsabilité de ces données-là à des sociétés extérieures.

Mais ça c'est quand même très grave, car dans la tête des gens justement quand on a à faire à des sociétés mondialement réputées comme Microsoft, Sony, Apple on se sent en sécurité. Est-ce que justement ce qui est en train d'arriver à Sony avec le PSN, qui est en train d'avoir un retentissement mondial en public, ne va pas sensibiliser les gens en règle générale avec le dématérialisé et ces données qui transitent comme ça et que d'autres attaques pourraient peut-être motiver d'autres hackers, des fans de Sony qui se diraient "Maintenant on veut attaquer Microsoft et on veut faire un effet Domino assez désastreux"...

C'est possible mais regardez Google, ils ont été piraté : L'opération Aurora. Est-ce que ça a changé le comportement des gens ? Est-ce qu'il y a eu moins de personnes qui ont utilisé gmail ? Non je ne crois pas. Finalement pour les utilisateurs il y a un dilemme permanent entre sécurité et facilité d'utilisation et l'utilisateur privilègiera toujours la facilité d'utilisation, c'est-à-dire que la sécurité c'est bien dans la mesure où ça ne vient pas se mettre au milieu de mon chemin quand je veux faire quelque chose de précis sur internet. Par exemple du moment que Facebook est pratique, même s'il y a un risque de sécurité, les gens vont continuer à l'utiliser je pense.

Mais dans ce cas-là, à la lumière de ce que vous dites, dans quelques jours, quelques semaines, lorsque ce soufflé sera retombé, car on imagine que Sony va changer son infrastructure, et ils sont d'ores et déjà en train de le faire, le service va être rétabli, on leur souhaite en tout cas... Finalement les gens vont se reconnecter au PSN et ça va repartir. Tout à l'heure vous parliez de vrais problèmes, d'un vraie catastrophe même pour Sony.

En terme d'image oui, ça se traduit par une baisse de l'action, par des procès mais après le nombre d'utilisateurs du PSN, je ne pense pas qu'il va se réduire significativement.

Il y a des développeurs qui parlent de 5% à 10% de personnes qui pourraient peut-être ne plus revenir. Vous pensez que ce sont des chiffres qui sont raisonnables ?

J'attends de voir. De toute façon sur le PSN on n'est pas obligé de mettre son numéro de carte de crédit. En terme de nombre d'utilisateurs du PSN j'ai l'intuition que ça ne va pas changer grand chose mais on verra bien la réaction des gens. Mais ne plus se connecter sur le PSN, ça veut dire on vend sa PS3 sur ebay et on rachète une Xbox 360 ? C'est quand même pas mal d'ennuis pour pas grand chose. Donc à voir...

Guillaume Lovet

Guillaume Lovet est responsable du Centre EMEA des Réponses aux Menaces pour la firme Fortinet depuis 2004, spécialiste de la sécurité des réseaux, côtée au NASDAQ. Ses travaux de recherche ont été présentés à de nombreuses conférences internationales comprenant les conférences AVAR 2005, EICAR 2006, VB 2006, VB2007, HackCon2008 et VB 2009.