Guillaume Lovet: «Il ne faut pas céder à la paranoïa mais Sony a des explications à donner»

INTERVIEW Cet expert en sécurité informatique revient sur la polémique...

Propos recueillis par Philippe Berry

— 

La Playstation 3 de Sony.
La Playstation 3 de Sony. — DR

77 millions de comptes PSN piratés, six jours pour s'exprimer, un Playstation network toujours en rade... Sony est en crise. Que risquent les utilisateurs? Qui se trouve derrière l'attaque? Pour 20minutes.fr, Guillaume Lovet, expert en sécurité chez Fortinet, tente de décrypter la situation.

Sony a finalement indiqué que les informations bancaires étaient bien cryptées et qu'aucun code CVC (ce numéro de trois chiffres situé au dos des cartes bleues, souvent nécessaire pour passer des achats en ligne) n'était stocké. La situation est-elle moins pire que prévue?

C'est un peu moins grave. Les utilisateurs doivent quand même surveiller leurs relevés bancaires pour identifier toute transaction suspecte. Il ne faut pas céder à la paranoïa ni paniquer: en cas de fraude, la plupart des banques couvrent les coûts.

Faire opposition et bloquer sa carte, par mesure de sécurité, comme le recommandait un expert de Sophos mardi, n'est donc pas nécessaire?

C'est un peu extrême, à la lumière des nouvelles informations. Mais il faut rester vigilant.

Quelle sécurité offre le cryptage des données bancaires stockées par Sony?

C'est difficile à dire, car Sony n'a donné aucune précision sur le type d'encryption utilisée. Il y a des standards internationaux, on ne sait pas si Sony les respectait. L'entreprise a des explications à donner. Avoir attendu si longtemps et donner si peu de détails est catastrophique pour son image. Que Sony ait laissé les autres données sans encryption est une faute grave. Nom, adresse mot de passe... Même des petits sites amateurs ou des forums les protègent en général.

Sait-on si c'est le cas de Microsoft, avec le XBOX Live ou d'Amazon et d'Apple?

Dur à dire. La seule certitude, c'est que si ce n'était pas le cas, des équipes sont à coup sûr en train de travailler en ce moment pour renforcer la sécurité et encrypter les données personnelles des utilisateurs.

En sait-on plus sur l'attaque?

Pas vraiment, car Sony ne donne aucune info. Seule une connaissance du modus operandi pourrait permettre d'en savoir plus sur les auteurs. Le groupe de hacker Anonymous (qui avaient annoncé des attaques contre Sony, ndr) a démenti, mais il est possible que des membres isolés aient agi de leur propre initiative. Si l'attaque a été menée, par exemple, par un PDF infecté, cela serait plus conforme à l'action habituelle de cybercriminels, de Russie ou d'Ukraine. Il n'y a pas vraiment besoin de connaissances avancées: un fichier infecté peut s’acheter entre 700 et 2.000 dollars en ligne, sur des forums de hackers. Si en revanche, il était question d'une attaque frontale, contre la base de données, par la porte d'entrée, alors des compétences bien plus avancées seraient nécessaires.