L’attaque qui a visé fin avril le PlayStation Network de Sony -service de jeux en ligne pour consoles Playstation- est sans précédent dans les annales de la cybercriminalité. Plusieurs dizaines de millions d’utilisateurs touchés, des millions de données sensibles compromises -incluant mots de passes et des milliers de coordonnées bancaires– : cet acte de piratage à grande échelle lance un avertissement clair aux entreprises qui hébergent et gèrent les données sensibles de leurs clients. L’éclairage de Luis Delabarre, directeur technique France de Trend Micro sur les leçons à tirer de ce « casse » numérique historique.
CCM – Que signifie l’attaque qui a ciblé le Playstation Network de Sony du point de vue de l’évolution des techniques cybercriminelles?
Luis Delabarre – Nous n’avons pas, à ce jour, suffisamment d’éléments techniques pour qualifier cette attaque.
De manière générale, cette attaque confirme que des données confidentielles -incluant des données liées à un moyen de paiement, ou pas- représentent dorénavant une cible privilégiée puisque les motivations sont essentiellement financières. Je préfère plutôt parler de Cybercriminels que de Hackers -autrefois motivés par l’exploit technique ou la curiosité.
En conséquence, les techniques évoluent très vite pour devenir plus complexes : plusieurs vecteurs peuvent être combinés afin de rendre la détection des attaques plus difficile. Tout en augmentant leur efficacité. Par exemple, les réseaux sociaux, qui rendent la tâche de collecte d’informations sur la ou les cibles beaucoup plus facile. C’est pourquoi, les nouvelles solutions de protection doivent également combiner les techniques et être extrêmement agiles.
CCM – Y avait-il un moyen d’éviter cette attaque ?
LD – Comme nous n’avons pas beaucoup d’informations techniques sur le mode opératoire de cette attaque, il est assez difficile de répondre à cette question.
Au-delà de la nécessité d’éviter les attaques, il est également important d’en diminuer -pour ne pas dire supprimer- l’impact. Aujourd’hui, nous n’avons pas de preuve que les données liées au paiement aient été volées et exploitables. Sony continue à affirmer que les numéros de cartes bleus étaient chiffrés (Sony a admis depuis que des milliers d’utilisateurs de son système de jeux en ligne Sony Online Entertainment (SOE) ont été victime du vol de leurs coordonnées bancaires)
Au niveau des entreprises, cette réduction de l’impact d’une attaque passe par l’utilisation de techniques telles que le chiffrement des données. Pour les particuliers utilisateurs du réseau PSN, par exemple- elle passe par l’utilisation de mots de passe complexes et surtout uniques : il existe plusieurs moyens d’atteindre cet objectif comme l’utilisation de préfixe ou suffixe proche de l’identifiant du service utilisé -par exemple Yah pour Yahoo, Gog pour Gmail- combiné avec un mot complexe.
CCM – Quels types d’entreprises et de réseaux sont tout particulièrement concernés par ce type d’attaque ?
LD – Toutes les entreprises conservant ou stockant des données confidentielles, et en particulier des données liées à tous les types de paiement, sont susceptibles d’être la cible de ce type d’attaques.
C’est d’ailleurs la raison principale de la démarche de certification PCI-DSS¹ (voir plus bas) qui a été créée par le consortium PCI . En résumé, c’est un ensemble de « meilleures pratiques » requis par ce consortium dès lors que l’on manipule, stocke ou traite un moyen de paiement électronique.
En effet, d’autres attaques visant les mêmes types de données ont déjà été répertoriées aux Etats-Unis et en Europe.
Comment les entreprises peuvent se prémunir contre ce type d’attaques ?
LD – Les entreprises doivent travailler à l’amélioration des moyens de défense existants, pour se prémunir contre ces attaques ou pour en diminuer l’impact.
Plus précisément, il est nécessaire d’implémenter des solutions de protection, mais aussi de surveillance en temps réels dans la mesure où il est aussi important de détecter le plus rapidement possible les attaques. La norme PCI-DSS citée plus haut, met également l’accent sur la gestion des logs et la traçabilité.
Néanmoins, beaucoup d’entreprises ont massivement investi dans ce type d’outils et désire ajouter à ces derniers des solutions qui rendront ces attaques inutiles, telles que le chiffrement. Il est à noter que l’émergence des modèles économiques qualifiés de Cloud, accélèreront l’adoption de ces techniques de chiffrement car les données transitent sur des architectures virtualisées et dynamique.
¹PCI-DSS : Payment Card Industry Data Security Standard. Cette norme définit un certain nombre d’exigences en matière de sécurité des données des cartes bancaires pour les e-commerçants. Elle est notamment promue par Visa et Mastercard pour la gestion des transactions.
En un clin d’oeil
Playstation Network de Sony
- Lancement : 2006
- Service de jeux multijoueurs en ligne créé par Sony, pour consoles PlayStation 3 et PlayStation Portable
- 42 millions de membres enregistrés sur le réseau
- Plus de 1,4 milliards de téléchargement depuis sa création
- Site web
Trend Micro
- Création : 1988 (Californie), basé à Tokyo (Japon)
- Spécialisé dans les solutions de sécurité informatique pour les environnements physiques et virtuels (particuliers et entreprises)
- Site web
Source : Comment Ça Marche