Pages

dimanche 1 mai 2011

Le PSN Gate, la vengeance de la communauté internationale des hackers ?



Le PSN Gate : C'est le dernier scandale en date mettant en scène l'entreprise Sony et un groupe ou une personne inconnue ayant réussi à pirater les 77 000 000 de comptes affiliés au magasin de jeux vidéos et de musique en ligne de la marque : Le Playstation Network et Qriocity. C'est certainement le plus gros piratage de données personnelles de l'histoire. Vous ne pouvez pas l'avoir raté, et vous n'avez pas fini d'en entendre parler.



Ce qui a été volé :

 "Sony divulgue alors la nature des données sur ses utilisateurs dont elle sait avec certitude qu'elles ont été volées : le nom, l'adresse (code postal, ville, état), le pays, l'adresse email, la date de naissance, l'identifiant et le mot de passe du compte PSN/Qriocity, et le pseudonyme PSN. Il faut souligner ici que ces données sont largement suffisantes pour usurper une identité aux États-Unis, qui sont rongés par ce problème (en 2003, les pertes causées par le vol d'identité ont été estimées à 52,6 milliards de dollars, et près de 10 millions d'Américains en ont été victimes cette même année).

 Elle ajoute qu'elle ne peut garantir que d'autres données n'ont pas été volées : le profil, l'historique des achats, l'adresse de facturation, et la réponse à la question de sécurité. Si les utilisateurs ont ajouté un sous-compte au leur (conjoint, enfants), ces données sont également susceptibles d'être compromises. Enfin, et surtout, Sony indique ne pas être en mesure de pouvoir garantir que les numéros de carte bancaire de ses utilisateurs ont été préservés, bien qu'elle ajoute n'avoir trouvé aucun élément permettant de penser qu'ils aient été compromis. « Par excès de prudence, nous devons vous indiquer que votre numéro de carte bancaire (hormis son code de sécurité) et sa date d'expiration ont pu être obtenus », précise-t-elle. L'intégralité des 77 millions de comptes PSN, répartis dans 59 pays, est susceptible d'avoir été touchée." (source : http://www.macgeneration.com/unes/voir/129492/psn-sony-fait-77-millions-de-victimes)

Historique des évènements concernant la guerre Sony / Hackers

Novembre 2006 : Sony sort sa PS3 pour la première fois au public au Japon. Saluée par la critique, attendue par les fans, la playstation est tout de suite confrontée à la Wii qui fait un énorme carton, et la Xbox 360 est déjà sur le marché depuis un an. 

A cette époque (pas si lointaine) une autre guerre fait rage entre Sony et Microsoft pour imposer le Blu-ray ou le HD-DVD, de son coté Apple milite pour le tout dématérialisé et ne supporte aucun des deux formats. 

Le service technique de Sony rassure tous les éditeurs de jeux vidéos en annonçant que sa console est extrêmement sécurisée, et que la pirater sera donc très difficile et le service marketing de chez Sony sait que la PS3 finira par marcher connaissant leurs catalogues et la communauté de fans de la console. Ils ont quand même la bonne idée de mettre en avant un argument de vente original : la fonction "OtherOS" qui donne la possibilité d'installer un système d'exploitation sur le disque dur. (en l'occurrence Linux). Cet argument n'a bien sûr pas touché la majorité des clients PS3, c'était plutôt adressé aux "geeks" prêts à mettre la main à la pâte pour concevoir et diffuser une version de Linux compatible. L'idée était d'avoir une console / lecteur bluray / ordinateur pour un prix raisonnable.

Aout 2007 : Geohot, un jeune adolescent surdoué du hacking réussi à "jailbreaker" l'iphone, c'est à dire qu'il débloque la limitation d'Apple pour que leur téléphone ne fonctionne qu'avec le réseau AT&T avec qui ils ont un contrat d'exclusivité. Premier hack grand public et appréciée par la communauté internationale. Il est invité sur les plateaux de TV, tout le monde est touché par ce petit génie de 18 ans. Apple ne sait pas comment réagir, cette situation n'est au départ pas idéale, mais ça lui fait finalement une jolie publicité et lui ouvre un marché sans avoir à briser le contrat avec AT&T. Le jailbreak n'est officiellement pas autorisé par la loi, cependant Apple n'a jamais lancé de procès. La marque se contente de le rendre difficile puisque qu'il faut tout recommencer à chaque mise a jour du logiciel du téléphone. Geohot ne demande pas d'argent pour son programme, un système de dons est mis en place pour le soutenir.

Novembre 2009 : La protection de la console de Sony n'a toujours pas craqué (en tout cas publiquement). Sony sort la playstation 3 slim, plus petite, moins chère, elle a pour but de relancer les ventes qui s'affaissent. Seulement la petite nouvelle de Sony a couté très cher et la marque ne gagne pas d'argent en la vendant 299€, ils sont cependant obligés de faire avec parce que la wii se vend toujours très bien, et elle ne coute que 150€... ils misent donc tout sur la vente de jeux, et suppriment la fonction "OtherOS" de cette nouvelle petite console, elle reste active sur le premier modèle de PS3.

Janvier 2010 : Geohot, le petit génie annonce qu'il a réussi à hacker la PS3, il réussi l'exploit en 5 semaines, ce que personne n'a encore réussi a faire, grâce à la fonction "OtherOS".

Avril 2010 : Sony sort une mise à jour du systeme d'exploitation de sa console qui supprime la fonction "OtherOS" qui permettait d'installer Linux sur la première PS3. La version de Sony est que cela pose des problèmes de sécurités sur la console. Une class Action (recours collectif) est lancée aux USA contre Sony pour publicité mensongère (c'était un argument de vente au départ). Une semaine après la mise à jour, Geohot encore annonce qu'il a réussi à programmer une version du logiciel officiel de Sony remettant la possibilité d'utiliser "OtherOS", mais il ne la sort finalement pas.

Juillet 2010 : L'EFF (Electronic Founder Foundation), fondation internationale de protection des libertés, gagne 3 exemptions à la loi sur le droit d'auteur du Digital Millenium Copyright Act, dont une concernant le jailbreak de l'iphone. Il est maintenant autorisé aux utilisateurs d'iphone aux USA de télécharger une application non validée par l'Apple store qui impose des conditions contraignantes et touchant même à la censure. Les logiciels visant à pirater ou obtenir des applications gratuitement restent cependant interdites. La tournure que prend les évènements ne fait plus vraiment plaisir à Apple qui n'a plus le monopole de vente de logiciel sur sa propre machine. Sony voit ça de loin, mais d'un mauvais oeil.

Aout 2010 : La société OzMod publie une vidéo montrant le premier hack publique de PS3, et ils vont commercialiser une clé à brancher sur la console permettant de faire une sauvegarde de ses jeux sur disque dur (dans le cas où le CD se raye) mais évidemment, les esprits malintentionnés peuvent aussi faire une copie des jeux de leurs amis... Sony réagi immédiatement en indiquant qu'ils seraient capables de détecter en ligne les consoles débloquées et qu'elles seraient bannies, obligeant leurs possesseurs à en racheter une pour pouvoir de nouveau jouer en réseau. Sony réussi a faire interdire la commercialisation de la clé.

Décembre 2010 : Un groupe de hacker annonce FailOverFlow, un hack définitif de la PS3 qui décrypte toutes les clés de protections de Sony, et surtout redonne la possibilité d'utiliser "OtherOS" donc d'installer un autre systeme d'exploitation.

Janvier 2011 : Après s'être retiré de la scène pour un (tres) court instant, Geohot annonce un nouvel exploit, il a réussi à obtenir la "root key" de la playstation grace au hack de FailOverFlow. Cela permet d'en modifier intégralement son contenu, il publie cette clé sur son site. Le lendemain il propose une version complètement modifiée de la playstation permettant d'afficher le simple message "Hello world" bien connu des programmateurs comme étant la preuve qu'il a pu modifier le code original de la console.
Il trouve enfin une semaine plus tard, La Master Key qu'il publie encore, cette clé permet de faire signer n'importe quelle application comme étant une officielle de Sony. Il annonce par la même occasion qu'il n'en fait aucun usage commercial (il ne l'a jamais fait d'ailleur avec aucun de ses hacks, de même pour FailOverFlow) et qu'il est prêt à venir travailler pour Sony.

Sony réagit immédiatement en lançant un procès à toute une liste de hacker, comprenant Geohot et FailOverflow.

Février 2011 : Sony demande à Google et Twitter de leurs fournir les adresses IP (donnant accès a l'adresse postale, et au nom) des personnes ayant commentées les vidéos concernant le hack de la PS3 sur youtube. Tollé général de la communauté des hackers du monde entier et impopularité évidente de la marque auprès du grand public. Ne pouvant plus rien faire pour empecher physiquement le hack, ils menacent ensuite tous leurs clients d'être bannis du réseau Playstation Network et Qriocity s'ils sont découverts. Réponse immédiate de la communauté de hacker par un nouveau programme qui permet de contourner cette interdiction.

Mars 2011 : Sony réussi à obtenir grace à l'injonction d'un juge toutes les adresses IP des personnes ayant visité le site de Geohot concernant la PS3, puis il obtient par le système de paiement en ligne paypal les adresses IP des personnes ayant fait un don à Geohot. Ce dernier est en Amérique du sud en vacances, Sony l'accuse de fuir le procès, il répond sur internet qu'il fini ses vacances prévus et payées bien avant l'histoire du jailbreak (en novembre 2010) et qu'il est en contact avec ses avocats tous les jours, ne se sentant pas du tout fugitif.

Avril 2011 : Sony sentant certainement que l'affaire tourne vraiment au vinaigre pour leur image, propose un accord à l'amiable avec Geohot, l'accord est resté secret, mais les poursuites sont annulées. 

Quelques semaines plus tard, le PSN Gate arrive, Sony est "victime" d'un hack. En fait il y a déjà un fait alarmant, c'est que Sony n'à pas respecté les consignes de sécurités internationales relatives à la protection des données privées. Il est bien connu de la part des administrateurs de réseaux d'entreprise (surtout les plus grosses) que le mot de passe d'un compte ne doit jamais se trouver au même endroit et de manière non cryptée que les autres informations. Or Sony annonce elle même que ce mot de passe à pu être obtenu. Une très grande majorité des internautes utilise le même mot de passe pour tous ses comptes. Combien parmi vous utilisent le même pour se connecter à sa boite mail, son compte facebook, son compte paypal, etc... ? Ce fait est extrêmement grave car il est possible que Sony elle-même ait eu accès à ce mot de passe. Et maintenant ces 77 000 000 de mots de passe sont disponibles à une personne ou une organisation inconnue.

Mon point de vue :

Il est bien trop tôt pour prendre une position et affirmer que c'est la communauté des hackers qui est coupable de ce fait. Cela dit, il reste des questions importantes à se poser qui me font penser que c'est bien eux, mais dans une intention pacifique et politique, pas commerciale comme le laisse suggérer la majorité des médias :

Un hack de cette envergure demande une connaissance parfaite du système de sécurité ou du moyen de le contourner, qui a pu le faire ? une personne seule ou une organisation ? si c'est une organisation, il est possible que ce hack soit financé, par qui ? par quel pays ? dans quel but ?

J'aurai tendance à penser que c'est l'oeuvre d'un ou de plusieurs hackeurs revanchards mais non dangereux, pour plusieurs raisons :

- Le hack est souvent un geste politique, il est très rare qu'un hack soit commercialisé, ceux qui ont essayé se sont vite confrontés à la loi, mais surtout à la concurrence de la gratuité. Ils fonctionnent en général sur le système de dons (comme Geohot, ou Failoverflow). Cela peut représenter des sommes énormes (aucun chiffre officiel) mais la majorité des gens ne payent pas.

- Sony à complètement dépassé les limites de la protection de la vie privée en demandant les adresses IP. La communauté internationale de hacker à mis plusieurs fois en garde la société contre sa politique de chasse aux sorcières. Je m'attendais à une réponse d'un jour à l'autre.

- Pour connaître quelques hackers, et en étant un moi-même (à un très faible niveau), lorsqu'un hack malfaisant se produit, il est fait par une ou des personnes très habiles qui connaissent tous les protocoles de sécurités et savent être invisibles lorsqu'ils font des actions de manière intentionnellement malveillante. Sinon, ils ne le font pas. 


Une véritable organisation aurait réussi à prendre ces informations sans se faire voir, et même si Sony l'avait vu, ils auraient pu étouffer l'affaire. Après tout il n'y a pas véritablement de risque de données bancaires volées, il manque le code de sécurité à 3 chiffre derrière la carte qui ne peut pas être conservé par Sony. Donc le fait que ce soit rendu public aussi rapidement de la part de Sony, montre que les responsables l'ont fait dans l'intention de se faire voir, sinon ils n'auraient même pas essayés. Sony sait que s'ils étouffent l'affaire, ces hackers vont rendre public leurs faits. C'est beaucoup plus lucratif pour un hacker de se concentrer sur les cartes de crédits que sur 77 000 000 de comptes playstation, sans avoir le code de sécurité. Cela ressemble donc plus à un défi ou à un acte politique comme l'ont toujours revendiqués la majorité des hackers "pacifistes'" et activistes.

- Si c'est un acte politique comme je le pense, alors ces données ont été détruites peu de temps après. Evidemment certains esprits malfaisants vont surfer sur le scandale et laisser des traces pouvant faire croire à un lien avec cette affaire, mais pour ma part, je n'y croirai pas. Ce serait beaucoup trop évident et tout le monde est à l'affut dans le monde de la sécurité banquaire.

Finalement, ce dont j'ai peur, si effectivement c'est bien un groupe de hacker, c'est que Sony en sorte gagnant dans cette bataille, parce qu'ils ont maintenant une certaine légitimité dans leur démarche ultra sécuritaire et contre la protection de la vie privée. Ils se font passer pour des victimes, même si les données n'étaient pas protégées correctement de leur côté. Pour la prochaine playstation, ils auront tout de même plus de raisons d'imposer un système encore plus contrôlé. J'espère qu'ils auront compris la leçon et qu'on ne se bat pas contre ses propres clients. Les programmateurs de Sony ont beaux être très bons, ils ne le seront jamais autant que des équipes de passionnés dont la motivation première est politique.
Sources :

Publié par à Aucun commentaire:

Facebook contre la guerre en Libye





Lorsque notre cher président a lancé cette guerre contre la Libye, j'ai été profondément choqué, et j'ai créé une page facebook, où je m'efforce de publier avec l'aide de Michel Collon et Badi Baltazar des liens originaux, et le moins possible d'articles de médias conventionnels (presse, tv, radio). Il y a donc des extraits de films, des chansons, des interventions, des livres à télécharger, etc... mais je vous invite tout de suite à découvrir les infos de la page en question (le texte de cet article) et ensuite à la découvrir par vous même !



SOYONS CREATIFS POUR QUE LE MESSAGE SOIT ENTENDU ! (voir la fin du message pour la proposition d'une flash mob.)


Suite a l'appel de Stéphane Hessel à nous indigner contre ce qui nous semble injuste, le plaçant en bonne voie pour obtenir le prix Nobel de la paix à 93 ans,


J'ai créé cette page, parce que nous savons tous que cette intervention en Libye n'est pas pour les beaux yeux des libyens, mais qu'il y a bien des buts cachés derrière cette guerre (Pétrole, Position stratégique, et casser le "printemps arabe", entre autres).


Je m'indigne donc contre cette guerre pour ces raisons :


- Nous avons évité un hypothétique massacre, alors que nous sommes en train d'en organiser un autre, celui des civils pro kadhafi (endoctrinés ou non) qui va avoir lieu une fois que nous aurons donné des armes aux insurgés. et ce seront nos bombes et nos armes qui en seront les responsables cette fois.


- Parce qu'être contre cette guerre, ce n'est pas être pour M. Kadhafi, il ne faut pas tout mélanger. Oui M. Kadhafi n'était pas un tendre avec ses opposants, et c'est un doux euphémisme. Oui M. Kadhafi a commandité des attentats, oui, M. Kadhafi a détourné énormément de fonds, oui M. Kadhafi était un dictateur qui doit s'en aller, et laisser place à une démocratie. Oui, M. Kadhafi doit être jugé pour ce qu'il a fait. Mais non, il ne devait pas s'en aller par la voie de la force armée, et encore moins avec l'aide de l'OTAN, la France, et les USA, qui vont maintenant piquer le pétrole à la Libye. Maintenant, donnons quelques chiffres en faveur de M. Kadhafi pour rétablir un peu l'équilibre : indice de développement humain le plus haut l'Afrique, devant l'Egypte et la Tunisie (sources wikipedia et divers organisations internationales), esperance de vie de 74 ans, analphabetisme inferieur à 5%, budget de l’éducation à 2,7% du PIB et celui de la Défense à 1,1%. Sans parler des projets pour le developpement de l'Afrique. Oui M. Kadhafi était un dictateur, mais non M. Kadhafi n'était pas le diable.


- On nous a vendu qu'en Libye des gens désarmés se faisaient tirer dessus par les soldats de Kadhafi, on nous a vendu le chiffre de 6000 morts, alors que nous n'avons aucune preuve, aucune image, aucun chiffre officiel. Tous ce que nous voyons depuis le début de ce conflit, c'est qu'a l'inverse de la Tunisie, et de l'Egypte, les insurgés libyens étaient armés dès le début, les images des reporters en sont la preuve (Qui leur a donné des armes ? Qui dans le monde en produit ?). c'était donc une guerre civile, un mouvement de protestation contre le pouvoir en place, avec de chaque cotés des gens qui se tirent dessus. C'est moche, c'est horrible, c'est la guerre, mais ce ne sont pas des civils qui se font massacrer. Ce mensonge sur le nombre de morts ressemble fortement aux armes de destructions massives en Irak, aux responsables du 11 septembre se trouvant en Afghanistan, aux massacres annoncé au kosovo qui ont étés démentis par la suite. A chaque fois on nous vend la guerre pour que la population la supporte. Quand allons nous avoir un chiffre officiel sur la situation avant notre intervention ?


- Dans le droit international, un pays a le droit d'intervenir dans un conflit, uniquement dans le cas où deux états se font la guerre, et en AUCUN cas, lors de soulevement d'un peuple contre le pouvoir en place. Imaginez que la chine intervienne en France pour soutenir une révolte contre Sarkozy... Lorsqu'un peuple veut renverser le pouvoir en place dans un pays, il en a le droit, et il y arrivera s'il le veut. L'histoire nous a montré que les pires régimes ont été renversés, même ceux qui parraissaient impossible.


- Parce qu'on a déjà dépassé le stade d'exclusion aérienne prévu au départ, et que nous sommes en train de débattre si nous devons intervenir maintenant au sol (officiellement, nous y sommes déjà), ou armer les libyens.


-Parce que tant qu'on a pas utilisé tous les moyens pacifiques en notre disposition, on a pas le droit de commencer une guerre. La ligue arabe, l'union africaine, Monsieur Chavez, Monsieur Lula ont proposés une médiation avant le conflit qui a été catégoriquement refusée par la France et les USA. On dira ce qu'on voudra de Monsieur Chavez, et je ne suis pas son plus grand supporter, mais il était plus proche de Kadhafi que nous, alors pourquoi lui a-t-on refusé cette médiation ?


-Parce que dans le contrat passé avec le futur gouvernement de transition (ou quelques opportunistes ex pro kadhafi ont réussis à se faire une petite place) la Libye devra rembourser tout ce qui a été avancé (armes, bombes, coûts de la guerre) et comment va-t-elle faire ? en lâchant son pétrole aux multinationales françaises et américaines. Pourtant tout cet argent du pétrole pourrait aussi servir à l'état et au peuple Libyen.


- Parce qu'au même moment, il y a de vrais révoltes pacifiques au Barhein, au Yemen, et des massacres en Palestine, mais que nous n'intervenons pas, nous n'en parlons pas, et au contraire, nous soutenons les pouvoirs en place dans leurs politiques.


Pour toutes ces raisons, je m'indigne contre cette guerre, et je souhaiterai qu'avec des moyens pacifiques, on fasse entendre raison à M. Sarkozy.


Nous pouvons organiser des flash mobs, des manifestations, des sittings, des concerts, la désobéissance civile, le boycott etc...


TOUT POURVU QUE JAMAIS PERSONNE NE SOIT VIOLENT, NI NE PORTE ATTEINTE A L'INTÉGRITÉ PHYSIQUE OU MORALE DE QUELQU'UN D'AUTRE.


SI AU COURS D'UNE MANIFESTATION DES POLICIERS ARRIVENT, SOYEZ AIMABLES AVEC EUX, ET PROPOSEZ LEURS DE VOUS AMENER AU POSTE. ILS N'AURONT PLUS DE PLACE ASSEZ RAPIDEMENT, ET NE POURRONT PAS VOUS GARDER BIEN LONGTEMPS SANS RAISON ! PAR CONTRE SI VOUS RÉSISTEZ, LES INSULTEZ, ET ALLUMEZ DES FUMIGÈNES, ALORS LA ILS SERONT DANS LEURS DROIT, ET LE MESSAGE N'AURA AUCUN SENS. 


SI DES OPPOSANTS A NOTRE MOUVEMENT ARRIVENT EN MASSE, NE VOUS BATTEZ PAS, ALLONGEZ VOUS PAR TERRE, ILS S'AMUSERONT A EN TAPER UN OU DEUX, MAIS SERONT CONFRONTE A VOTRE RÉSIGNATION CONTRE LA VIOLENCE.


SOUVENEZ VOUS DE GANDHI, MANDELA, ANG SANG SU KYI, LIU XIAOBO, LE PEUPLE TUNISIEN, ET ÉGYPTIEN, ILS NOUS ONT MONTRES BEAUCOUP DE MOYENS PACIFIQUES DE PROTESTER.


JE PROPOSE QUE NOUS ORGANISIONS DES MANIFESTATIONS CRÉATIVES, NOUS N'AVONS PAS BESOIN D'ÊTRE BEAUCOUP POUR FAIRE UN FLASH MOB QUI FAIT DU "BUZZ" ! (par exemple, nous pourrions nous habiller tous de blanc, aller sur une place célèbre, avec de la peinture et de l'encre rouge, envoyer des sons de bombardements, nous étaler la peinture et nous allonger par terre pendant quelques minutes. C'est un exemple parmi tant d'autres, mais imaginez le buzz si devant l'hôtel de ville ou sous la tour Eiffel, il y a une centaine de gens allongés par terre dans un faux bain de sang...)


JE VOUS INVITE DES MAINTENANT A NOUS REJOINDRE, AIMER CETTE PAGE ET LA FAIRE PARTAGER, AINSI QUE LES LIENS QUI LA COMPOSE. (vous pouvez aussi m'envoyer des liens intéressants que je publierai).

Pierre-Victor Bainier
Publié par à Aucun commentaire:
Inscription à : Articles (Atom)