Des pirates assurent détenir 2,2 millions de numéros de cartes de crédits d’utilisateurs du réseau de la Playstation. Ils seraient prêts à vendre le tout pour 100 000 dollars. Sony, de son côté, dément avoir perdu des données non cryptées.
Les données bancaires de 2,2 millions d’utilisateurs des services en ligne de Sony seraient actuellement en vente sur la Toile. Des messages sur plusieurs forums spécialisés proposent les codes, cryptogrammes de sécurités et noms des propriétaires des cartes de crédit à des tarifs allant jusqu’à 100 000 dollars, ont pu constater jeudi des experts en sécurité cités par le New York Times. Impossible, ensuite, de savoir si les personnes à l'origine de ces offres détiennent réellment ces informations.
Ces mises en vente arrivent deux jours après que Sony a reconnu avoir été victime d’une gigantesque attaque informatique. Un ou plusieurs pirates ont pu infiltrer entre le 17 et le 19 avril le réseau de la Playstation ("Playstation Network ou PSN") et voler les données personnelles (noms, identifiants, adresses) de 77 millions de joueurs.
Sony se défend néanmoins en expliquant que ses équipes n'avaient à l’époque pas mis les données bancaires dans le même sac que le reste des informations personnelles. Le groupe continue d'ailleurs à émettre des doutes sur la véracité de ce vol susceptible de rapporter gros aux pirates. Il précise que les données bancaires étaient toutes "cryptées" et donc inutilisables. Il ajoute également que les cryptogrammes de sécurité, généralement nécessaires pour les transactions en ligne, ne sont pas stockés sur le réseau.
Les pirates aussi doivent soigner leur crédibilité
Une thèse mise à mal par certains spécialistes informatiques. Les pirates auraient, en fait, pu accéder à la base de données générales du groupe Sony et pas seulement à celle du réseau de la Playstation. "Ainsi, ils ont pu récupérer les données bancaires non cryptées", raconte au New York Times Mathew Solnick, un consultant en sécurité américain. "Si Sony a en plus menti en disant que les cryptogrammes ne sont stockés nulle part, ce serait une catastrophe en terme d’image", assure à FRANCE 24 Guillaume Lovet, expert en cybercriminalité pour la société de sécurité informatique Fortinet.
"Les offres ont été postées sur de forums connus pour ce genre de transactions", remarque Guillaume Lovet. Il existe, en effet, tout un marché noir – estimé à près de 7 milliards de dollars par an - sur le Web. Acheteurs et vendeurs se rencontrent virtuellement sur ces forums pour discuter des transactions. Et dans ce monde, la confiance est importante. "Ces pirates n’ont aucun intérêt à mentir sur des forums aussi spécialisés sinon ils perdraient immédiatement toute crédibilité", souligne à FRANCE 24 Laurent Heslaut, responsable sécurité des réseaux pour la société américaine Symantec.
"Ironiquement, on commence à voir des messages inquiets de pirates qui craignent que cet afflux massif de données bancaires ne fassent baisser les prix", note Laurent Heslaut. Ce marché des données volées n’échappe pas aux bonnes vieilles règles de l’offre et de la demande.