Pourtant, je ne voulais pas rater la date anniversaire (le 20 avril), mais un post de Kaminos et la prochaine conférence de l'E3 de Sony m'ont rappelé cette péripétie malheureuse de Sony. Pour mémoire, voici donc un résumé qui avait déjà été fait un mois après le début de ce que j'ai appelé le PSNGate. On ferait bien de ne pas oublier trop vite ce genre de chose lorsqu'on veut continuer à nous vendre du vent (des services en ligne et du streaming / cloud gaming)

C'est le mercredi 20 avril que tout commence. Sans que personne ne le sache d'ailleurs. Sony se rends compte que des pirates ont réussi à s'introduire dans leur système. Le PSN est immédiatement arrêté et tout le monde croit à une maintenance. Généralement ces maintenances ne durent que quelques heures. Tout au plus 24 heures dans les cas les plus lourds. Mais cette fois, deux jours après, Sony est obligé de lâcher le morceau. L'information est rendue publique, les serveurs sont inaccessibles pour une durée indéterminée. C'est le début d'une longue descente aux enfers pour la firme Tokioïte.

Plus des trois quarts des joueurs PS3 sont très gênés par cette interruption (sondage blog). Ils jouaient soit en réseau, soit avec des jeux qui nécessitent une connexion valide pour fonctionner. La grogne monte, d'autant plus qu'on est pas encore certain que les données bancaires soient épargnées. D'autres font rapidement le lien avec l'attaque des Anonymous qui a eu lieu au début du mois d'avril. D'une toute autre nature, cette dernière visait à saturer le réseau de Sony pour gêner les connections des joueurs. Dans un premier temps les anonymous vont nier être à l'origine de cette intrusion. Au bout de presque une semaine Sony France reprend un communiqué anglais et informe que l'analyse sera longue et complexe. Des experts de cabinets extérieurs sont sur le coup. Il peut sembler étrange que des personnes externes à Sony soient mandatées pour résoudre ce type de problème, mais lorsqu'on connait le milieu de la sécurité réseau, c'est en fait parfaitement logique.

Dans un courrier du 26 avril, Sony confirme malheureusement que des données personnelles ainsi que des données bancaires ont pu être téléchargées par les pirates. Les joueurs sont consternés et le monde informatique ainsi que le grand public commencent à s'intéresser à l'affaire. Il s'agit tout de même des données d'environ 77 millions de comptes qui sont compromises. Cet événement pose de nombreuses questions sur la sécurité dans le domaine informatique. Comment faire confiance aux autres organismes alors qu'une firme comme Sony n'a pas su protéger ses données ? La faute technique du géant japonnais est avérée.  Hasard du calendrier, cette interruption du PSN profite à Microsoft qui est justement en train de proposer un week-end gratuit sur le Live. La firme de Redmond commente les déboires de son concurrent et s'attend d'autant plus à ce que les connections montent en flèche. Le même jour, (26 avril) on découvre que certains auraient eu les moyens d'ajouter de l'argent sur leur compte à l'aide d'un hack de la PS3. Le navire Sony semble s'enfoncer de plus en plus dans des profondeurs abyssales.

Le 27, Sony communique à nouveau officellement pour confirmer le piratage et exprime sa colère ainsi que sa détermination à poursuivre les auteurs de ce forfait. L'intrusion se serait produite entre le 17 et le 19 avril. Une déclaration contradictoire avec ce qui sera affirmé bien plus tard. En effet, après investigations et malgré un démenti, Sony déclare avoir trouvé des preuves que les Anonymous seraient à l'origine de cette attaque. Ils auraient profité de leur attaque de début avril (type DoS) pour s'introduire dans le système. Or cette attaque n'a jamais eu lieu entre le 17 et le 19... La preuve de Sony serait un fichier nommé Anonymous qui contenait simplement le texte "Nous sommes légion". On nage en pleines eaux troubles.

La grogne monte encore d'un cran. D'un côté Sony rassure en disant que les numéros de carte ne sont que partiellement disponibles, de l'autre il faut être très vigilant avec son compte. Et il n'y a pas que les joueurs qui sont mécontents. Tous les éditeurs qui vendent et qui proposent leurs services via le PSN sont impactés. Plus aucun revenu pour un service qui génère 500 millions de dollars de CA annuel ! L'action Sony bat de l'aile en bourse. De tous côtés on commence à poser la question du dédommagement.  La bête saigne de partout ! Comme si cela ne suffisait pas, Sony communique très mal. Les informations entre les blogs officiels diffèrent selon la langue. Problème de traduction ? Les informations sont-elles fiables ?
La panique gagne certains utilisateurs de cartes qui préfèrent contacter leur banque et en changer. Votre serviteur se fend d'un petit dossier sur la protection des utilisateurs de CB en France. Une conclusion plutôt rassurante : si vous êtes vigilants, vous ne risquez pas grand chose. La société VISA vient confirmer mes dires. Quoi qu'il en soit, les analystes sont d'accord pour dire qu'il s'agit d'une des intrusions les plus graves de l'histoire de l'informatique.

Le 28, les équipes de Sony travaillent toujours d'arrache pied pour traquer et combler les brèches du système. Un certain nombre de mesures sont annoncées. La réouverture du PSN sera accompagnée d'un nouveau firmware pour la PS3. Il faudra changer son mot de passer et les comptes seront liées à la machine qui les a créés. Les kits de développement envoyés aux éditeurs devront également être mis à jour. La construction et le transfert des serveurs vers une nouvelle infrastructure sera accéléré. La majeur partie des médias généralistes s'étant emparés de l'affaire, Sony essaie de calmer le jeu en déclarant que les données bancaires étaient bien cryptées et que le code de sécurité n'était pas en leur possession. Partiellement rassurant cependant dans la mesure ou des rumeurs font état d'environ 2 millions de comptes proposés au marché noir. Le code de sécurité n'est pas demandé par tous les sites de vente en ligne. D'ailleurs Sony eux mêmes ne l'utilisent pas...
Les pertes potentielles de Sony sont évaluées à 24 milliards de dollars. l'action en bourse continue de chuter et après le ramdam médiatique, les particuliers, ainsi que les états prennent le chemin des tribunaux. Chez nous, c'est la CNIL qui ouvre une enquête.

Le 29, on commence enfin à parler d'un retour à la normale dans la semaine du 02 mai. On commence également à parler d'un système de dédommagement. L'offre sera fonction des régions concernées, mais les joueurs sont déjà heureux d'apprendre que Sony fera un geste. Chaque gamer guette désormais à chaque allumage de console si le PSN est de retour. Pour autant, il ne sera pas 100% opérationnel. Seules les fonctions de jeu en ligne et d'identification de sécurité devraient être remises en service dans un premier temps. Les autres fonctions seront introduites au compte goutte.

Le premier mai, Kaz Hirai ainsi que son équipe dirigeante fêtent le travail en s'excusant platement pour ce fiasco sécuritaire. Il confirme ce qui avait déjà été annoncé les jours précédent et insiste sur le fait que la sécurité sera drastiquement renforcée au sein des réseaux Sony. Il insiste sur la nécessité de renouer un lien de confiance avec ses clients. Le programme "Welcome back" est fait pour cela. Il proposera des connexions gratuites aux services de Sony pendant un mois ainsi que d'autres compensations. Seuls 10 millons de comptes comportaient des données de CB valides (dont environ 4,7 millions en France (!)).  Mais la crise de confiance est bien là. La moitié des utilisateurs ne veulent déjà plus donner leur numéro de CB sur internet (sondage blog). L'usage de la CB sur la toile commençait à s'élargir, il se pourrait bien que cet événement ait un impact global sur le comportement des consommateurs. La faute technique avérée annoncée par Himred lors d'un podcast du 29 avril est confirmée. Sony était conscient que sont système comportait des failles mais par négligence, elles sont restées accessibles. Himred également raison en affirmant que la sécurité était malheureusement le parent pauvre de la plupart des sociétés. Ces dernières préfèrent prendre le risque de laisser leurs services accessibles (pour ne pas perdre d'argent) et procéder par patchs successifs, plutôt que de régler les problèmes de sécurité en urgence.

Le 2 mai, c'est au tour des serveurs de SOE d'être arrêtés. On n'ose imaginer que ce soit à cause d'un piratage. Sony a déclaré que ce réseau aurait aussi pu être impacté auparavant. Si cela avait été le cas, pourquoi ne pas l'avoir sécurisé en même temps que le PSN ? De plus, le communiqué est laconique : nous avons découvert un problème qui s'avère suffisamment préoccupant pour que nous dussions mettre le système hors-ligne immédiatement. Malgré des vœux de transparence, la communication semble toujours aussi obscure.

Le 3 mai, la nouvelle est confirmée. C'est un peu le coup de grâce à la bête déjà blessée à mort. SOE a été piraté en même temps que le PSN. Cela ajoute un peu moins de 25 millions de comptes au tableau de chasse des pirates. En plus des coordonnées bancaires, ce sont plus de 10 000 informations de virement automatiques qui sont repompées. C'est l'hallali.

Le 4, les infos tombent sur les plaintes collectives à l'encontre de Sony. Ce sont des millions qui sont réclamés et l'image de la marque est plus qu'écornée. Le PSN est toujours hors service et on ne parle plus de date arrêtée pour son retour. Les joueurs ont seulement le numéro du prochain firmware à se mettre sous la dent. Ce sera le 3.61. Contrairement à ce qu'avait annoncé Sony, la refonte sur système PS3 ne semble en tout cas pas profonde. Le passage d'une version 3.60 à 3.61 ne signifie qu'un changement mineur si on suit la logique de nomenclature des mises à jour. Cette mise à jour doit arriver courant mai... On se demande même si le retour du PSN ne pourrait pas faire l'objet d'une annonce à l'E3. Un tel retard serait désastreux non seulement pour Sony (qui a déjà bu le Calice jusqu'à la lie), mais aussi pour tous les partenaires primaires et secondaires. De très gros jeux ont besoin du PSN !

Le 5 on reparle des Anonymous en raison d'un fichier retrouvé sur les serveurs (voir plus haut dans ce texte). En fait, rien de permet de confirmer que c'est bien un membre de cette "organisation". Anonymous, c'est moi, c'est vous, c'est nous finalement. Il n'y a pas de chef, pas de structure. Un membre peut donc démentir alors qu'un autre irait revendiquer. Le troisième n'en fait pas partie mais a réalisé le piratage. Officiellement, Anonymous nie une fois encore. Finalement peu importe qui. La question du comment reste toujours en suspens et c'est ce qui parait le plus intéressant. On finit par l'oublier et noyer le poisson.

Le 6 mai, alors qu'on espère un retour du PSN pour le week-end, des rumeurs font état d'une préparation pour une nouvelle attaque du service. Est-ce pour cela que le réseau n'est toujours pas remis en service ? Il semble en tout cas logique que ceux qui ont perpétré l'attaque initiale cherchent une fois de plus à mettre Sony en difficulté. Ce serait un coup sans précédent dans l'histoire. C'est un week-end de plus sans PSN... Howard Stringer, président de Sony Corp affirme que les utilisateurs américains seront couverts à auteur du million de dollar en cas de fraude. Un système bien inutile chez nous. Nous sommes déjà couverts (cf plus haut). En revanche, plus intéressant, c'est le blog français de Sony qui annonce que dans le cadre du programme "Welcome back", les joueurs pourront choisir deux titres PS3 dans une liste de cinq proposés et deux titres PSP dans une autre liste de quatre.

Le 10 mai, nouvelle communication de Sony. Encore des excuses pour annoncer officiellement qu'il n'y a plus de date arrêtée pour le retour du PSN. C'est un laconique "quelques jours" qui doit contenter les joueurs. On commence à entendre de plus en plus parler de joueurs qui comptent déserter leur PS3 pour passer chez Microsoft et son XBL. 47% des joueurs envisagent en effet de passer sur X360 si les problèmes ne sont pas résolus d'ici la fin du mois. Le site français reprend la nouvelle traduite (avec fidélité cette fois). Edge annonce que de plus en plus de joueurs revendent leur PS3 pour passer sur 360. Dans les jours suivants, la côte des jeux PS3 qui baisse sensiblement confirme la tendance.

Le 13 mai, alors que certaines enseignes de jeux vidéo tentent de profiter de la situation en proposant des échanges de PS3 contre des 360, il semble que le réseau interne PSN fonctionne à nouveau. Ça et là il semble également que d'autres soient parvenus à se connecter de façon très épisodique dans certaines régions du monde. S'il est clair que le réseau est loin de fonctionner normalement, il bouge !

Le 14 mai, tout comme pour les utilisateurs du PSN, Sony promet des compensations pour les abonnés de Sony Online Entertainment (SOE). Ces serveurs, coupés depuis le 2 mai, sont utilisés pour donner l'accès à tous les MMO de l'éditeur. Un mois gratuit et autant de jours ajoutés en fonction de la durée de la coupure. En outre, un certain nombre d'événements ingame sont prévus pour profiter de stuff gratuit, de points d'XP doublés,  d'argent virtuel et autres joyeusetés de rôlistes.

Le 15 mai, la mise à jour 3.61 est disponible en France. Peu de temps après dans la soirée, le PSN est de retour au fur et à mesure en Europe. La France commence à se reconnecter en fin d'après midi et en soirée. Si le PSN reste extrêmement lent en raison de l'afflux massif des joueurs, on peut à nouveau profiter des serveurs multi. C'est la fin d'un calvaire pour beaucoup de possesseurs PS3 et le début de la reconstruction pour Sony. Le store doit encore être remis en route et tous les services démarrés les uns après les autres.

Aujourd'hui il reste encore beaucoup à dire sur le sujet et sur les impacts que cette crise aura engendré pour Sony, les joueurs et même le monde de la sécurité en général. En attendant d'en savoir plus, il est certain que le comportement des joueurs aura changé après ces 26 jours de coupure et que ce PSNgate aura alerté de nombreuses entreprises sur les problèmes de sécurité informatique. Ce dossier sera remis à jour en conséquences avec les prochaines infos sur le sujet. En attendant, un permier chapitre s'est cloturé.

 

Lundi 16 mai. Alors que la mise à jour du Firware est dispo depui la veille et que certains ont réussi à se reconnecter, il semble que le PSN soit encore très instable. La réinitialisation du mot de passe ne fonctionne pas toujours très bien et le réseau souffre de lenteurs énormes. Le blog officiel européen détaille l'offre de compensation pour le préjudice subi par les joueurs. Voici la liste des logiciels qui ont été proposés ainsi que leur valeur pécunière estimée. Les joueurs peuvent choisir deux titres PS3 et deux titres PSP dans cette liste.

PS3

  • LittleBigPlanet (20€)
  • Infamous (30€)
  • Wipeout HD/Fury (30€)
  • Ratchet and Clank: Quest for Booty (16€)
  • Dead Nation (13€)

PSP

  • LittleBigPlanet PSP (20€)
  • ModNation PSP (20€)
  • Pursuit Force (15€)
  • Killzone Liberation (15€)

En outre, tout le monde bénéficie de tous les avantages du Playstation Plus pendant 30 jours. Cette durée s'ajoute bien entendu à celle déjà souscrite par les abonnées. L'offre de téléchargement musicale est également accessible gratuitement pendant 30 jours. Reste à savoir si tout cela sera utilisable facilement. Si tous les téléchargements effectués pendant cette période resteront valides après la période gratuite, encore faudra-t-il que le réseau tienne le coup. Les sollicitaions seront nombreuses et le PSN n'a pas toujours brillé par sa célérité. En témoigne le système de changement de mot de passe via web qui reste en maintenance après avoir brièvement fonctionné. Un arrêt qui est du à la découverte d'une faille dans ce même système de réinitialisation de mot de passe... Décidément. Ceux qui ont donc oublié leur mot de passe doivent patienter, puisqu'il faut obligatoirement passer par la console et donc avoir son ancien password pour en changer.

Le 18 mai, Kaz Hirai, annonce que finalement très peu de gens ont résilié leur compte PSN. Ce qui est une donnée pour le moins biaisée sur un système gratuit. Il serait probablement plus intéressant de savoir qui renouvellera son abonnement aux services payants de Sony. Il serait en effet complètement idiot de foncer pour fermer son compte alors que des jeux et des accès aux services payants sont proposés gratuitement pendant un mois. Le sondage de Gameblog tombe en partie dans ce panneau. Il sera en revanche intéressant de refaire le point à l'issue de ces périodes de dédomagement.

Le 19, un document communiqué aux partenaires de Sony, fait état du rétablissement du playstation store pour le 24 mai. Un retour très attendu, puisqu'outre les joueurs, ce sont également les éditeurs qui ont été très touchés par cette crise. Ces derniers ne pouvant évidement plus vendre aucun contenu pendant la période d'exil du PSN. Les joueurs eux, attendent également de pouvoir télécharger les jeux offerts par Sony en dédomagement.

En fin de semaine, le 21 mai, Sony révèle qu'une de ses filiales ; So Net, fournisseur d'accès a été piraté. Son sytème de capitalisation de points de fidélité aurait fait l'objet d'un vol. Ces points convertibles en devises auraient étés dérobés pour une valeur avoisinant les 860€. Malheureusement, on ne connait toujours pas le mode opératoire. Il pourrait s'agir d'imprudences de la part des utililsateurs aussi bien que de véritables failles de sécurité. Si le montant du larcin ne semble pas énorme, et l'affaire seconaire, c'est une trace de plus dans un dossier déjà bien trop épais.

Le 23, à l'occasion du bilan financier de Sony, des pertes colossales sont annoncées. 121 millions d'euro de pertes pour l'entreprise. On ignore dans quelles proportions les incidents réseau ont impacté ces chiffres, mais il est claire que cela n'a pas fait du bien. Aucune estmation pour tous les éditeurs qui vendaient leurs titres via le Store et qui n'ont évidement bénéficié d'aucune entrée d'argent pendant la période de coupure. Le retour s store est annoncé le lendemain pour la fin du mois, sans plus de précisions. Dans le même temps, le PSN est à nouvea coupé pour quelques heure en raison d'une maintenance de routine. La routine, ce n'est pas vraiment un terme adapté pour le fonctionnement du PSN ces derniers temps...