Playstation: «Il était temps que le PSN soit remis en route», pour Guillaume Lovet

Sony compte rétablir cette semaine l'accès à certains services de son portail Playstation Network, mis en suspens pendant dix jours, est-ce le bon moment?

Il était temps! Dix jours d’arrêt de ces services, c’est long, trop long. Mais cela est dû au fait que la catastrophe était sans précédent, et que Sony a mis du temps à comprendre ce qui s’était passé. Ils ne pouvaient donc pas combler les failles facilement, et devaient avoir peur que ça recommence.

Sony a annoncé des mesures pour se prémunir contre de nouveaux piratages. Semblent-elles satisfaisantes?

Sony va changer l’emplacement de ses data centers [centres où sont stockés les serveurs] et ça, c’est de la poudre aux yeux. C’est comme dire «je me suis fait cambrioler, je change de ville», alors que rien ne laisse penser que San Diego soit un lieu particulièrement dangereux pour des data centers. En revanche, la mise en place d’un nouveau CSO (Chief Information Security Officer, chef de la sécurité), semble être indispensable, puisqu’il y a eu apparemment des négligences humaines. Mais on en sait toujours si peu sur ce qui s’est vraiment passé qu’il est difficile d’évaluer les mesures prises pour renforcer la sécurité.

Est-ce qu’il existe toujours des risques pour les utilisateurs?

A l’heure qu’il est, le Playstation Network n’est pas encore en ligne, donc non… Quand il reviendra, je pense que les risques seront minimes, l’intérêt de Sony pour la sécurité et sa crainte que cela recommence est la seule raison expliquant que la remise en ligne ait pris autant de temps.

Que peuvent faire les utilisateurs pour se prémunir contre les risques?

Pas grand-chose. Le mieux est d’utiliser des numéros de cartes de crédit à usage unique. Certaines banques proposent de générer des cartes de crédit dont on ne se sert que pour une seule chose, en l’occurrence sa Playstation par exemple. Aux Etats-Unis, Bank of America propose ce service, en France, au-delà des banques, il y a par exemple Visa qui le permet. C’est valable pour les consoles, mais aussi pour tout commerce en ligne.

Aucune autre possibilité?

Non, c’est le cœur du problème du cloud-computing: on délègue la sécurité de nos données à des data centers dont nous ignorons le niveau de sécurité. On pensait pouvoir faire confiance à Sony par exemple. Qu’est-ce qui va arriver si toute la base de données de Facebook est piratée? Je pense que des gens s’y essaient tous les jours, et ce ne sera pas comme une carte de crédit sur laquelle on fait opposition. Les photos sur lesquelles on sort de soirée bourré, on ne fait pas opposition…

Est-ce que toute cette histoire aura permis une prise de conscience de l’importance de sécuriser les données?

Absolument. Et cela servira tous les concurrents de Sony. On ignore si les bases de données d’iTunes ou Xbox étaient encryptées, mais si ce n’était pas le cas, ils sont en train de le faire en ce moment-même. Si les données sont bien encryptées, elles peuvent toujours être volées, mais pas lues. Il faudra en plus cracker l’encryption, ce qui peut prendre des années.