Les 77 millions d'utilisateurs du réseau en ligne PlayStation de Sony devraient changer leurs mots de passe et garder un oeil sur leur compte en banque. Le conseil ne provient pas d'un expert en sécurité informatique particulièrement zélé... mais de Sony lui-même.
L'entreprise nippone a fini par avouer, mardi, avoir été victime de ce qui risque de devenir le plus gros acte de piratage de l'histoire du web.
Le service en ligne PlayStation Network (PSN) connecte des joueurs partout sur la planète. Sony l'a interrompu le 19 avril, sans offrir d'explication. L'entreprise a attendu une longue semaine avant de prévenir ses clients qu'une brèche majeure avait été percée dans son réseau.
«Nous pensons qu'une personne non autorisée a eu accès aux informations que vous nous avez transmises: nom, adresse, pays, courriel, date de naissance, nom d'usager et mot de passe, explique Sony sur le blogue de PSN. Il n'y a pas de preuve d'obtention des données de carte de crédit, mais nous ne pouvons pas écarter cette possibilité.»
Denis Talbot n'a pas voulu courir de risque. L'animateur de Monsieur Net, une émission consacrée aux jeux vidéo à MusiquePlus, a annulé sa carte de crédit. Il craint un vol d'identité. «Toute notre vie personnelle risque d'être chamboulée parce qu'on a donné notre nom, numéro de téléphone et code postal à un service supposément sécurisé», fulmine-t-il.
Sony doit maintenant faire face à la colère de millions d'utilisateurs, qui s'interrogeaient depuis des jours sur la fermeture inexpliquée du réseau. L'aveu tardif de l'entreprise confirme les craintes de plusieurs clients. «Le fait que vous ayez attendu aussi longtemps pour dévoiler cette information est déplorable. Honte à vous», écrit l'un d'eux sur le blogue de PSN.
«C'est une insulte aux consommateurs, qui risquent d'avoir des problèmes incroyables à cause de ce manque de clarté, dit M. Talbot. On aurait dû dire dès le départ que les données étaient potentiellement à risque. C'est vraiment grave, ce qui se passe; il fallait réagir rapidement.»
Jeu de l'autruche
L'animateur compare le «jeu de l'autruche» de Sony à celui d'une autre entreprise japonaise, Tokyo Electric Power, fortement critiquée pour sa gestion de la crise nucléaire. Quelques mois plus tôt, le géant nippon Toyota avait aussi été accusé de manquer de franchise lors du rappel de centaines de milliers de véhicules.
Cette fois, l'affaire soulève tant d'inquiétude qu'un sénateur américain, Richard Blumenthal, a cru bon d'exiger publiquement des explications de Sony. Sur son blogue, l'entreprise affirme qu'il a fallu «plusieurs jours d'analyse» avant que ses experts ne saisissent l'ampleur de la brèche informatique. On ignore pour le moment combien d'utilisateurs ont été touchés.
Pour Alain Scherrer, président de la firme SecurEcom, l'affaire est désolante, mais pas inhabituelle. «La réalité, ce n'est pas qu'un vol de données de grande ampleur ne soit jamais arrivé, dit-il. La réalité, c'est que lorsque cela arrive, ce n'est pas rendu public, ou que les entreprises n'en sont pas conscientes.»
Denis Talbot pense aussi que les actes de piratage surviennent régulièrement à l'insu des consommateurs - même contre des serveurs censés être très sûrs. «Tout ce qui est fait par l'homme peut être défait par l'homme.»
Sony, qui tire environ 500 millions de revenus annuels du PSN, aura en tout cas beaucoup à faire pour regagner la confiance de ses clients.
«Ils vont sans doute tenter de les amadouer en leur offrant de petits jeux gratuits, dit M. Talbot. Mais ils ont tellement usé de la langue de bois que, s'ils essaient maintenant de lécher les consommateurs, j'ai l'impression qu'il va rester des échardes...»