Quelques exemples concrets

Afin de replacer notre veille dans le contexte actuel, et pour éviter d’assommer le lecteur plus qu’il ne l’est déjà avec des normes et des méthodes d’audit de sécurité, nous aborderons dans cet article deux exemples concrets d’acteurs qui auraient dû renforcer leur plan de sécurité avant de faire la une des blogs du monde entier.

Ainsi, nous étudierons le cas du piratage du PlayStation Network (alias PSN) de Sony, puis nous parlerons rapidement du piratage des Heartland Payment systems.

1. Le hack du PSN

L’origine de cette attaque est assez lointaine puisqu’elle trouve sa source dans l’homme qu’est George Francis Hotz (ou GeoHot, pour les intimes… et tout internet). GeoHot est connu dans le monde du hacking notamment pour avoir jailbreaké (piraté) l’iPhone, mais surtout, dans le cas qui nous concerne, pour être le premier à avoir cracké la Playstation 3, en 2010. GeoHot a notre âge, 23 ans, et est un petit génie de l’informatique et de l’électronique, hacker de profession. C’est pourquoi, quand il a acheté sa nouvelle console Playstation, GeoHot a trouvé amusant d’essayer d’en obtenir le maximum, et notamment dans le cas présent, il a voulu avoir accès au système d’exploitation très fermé et sécurisé de la console.

Cependant, en rendant public les informations sensibles, et notamment la “Master Key” de la PS3 (clé de cryptage), GeoHot s’est attiré les foudres de l’entreprise japonaise qui a alors porté plainte contre lui sous une multitude de chefs d’accusation. Pour appuyer son attaque en justice, la société se débrouille pour qu’une descente soit réalisée dans le logement de GeoHot et que tout son matériel informatique soit détruit. Et là, c’est le drame.

Cette attaque fait le buzz (ou le ramdam, si on s’en tient aux consignes de l’académie française) et attire l’attention des Anonymous, un groupe de hacktiviste bien connu sur internet (et décrits dans un post de l’année dernière). Se reconnaissant dans la personne de GeoHot, ces derniers ripostent à l’action de Sony en attaquant son réseau de jeu en ligne, le fameux PSN et le service Qriocity(service de Streaming de musique et de Vidéos à la demande de Sony), rendant inaccessible un certain nombre de sites de l’entreprise et dérobant des informations confidentielles sur pas moins de 25 millions de clients de Sony (les informations n’étant pas chiffrées). On parle ici de données personnelles des clients de Sony : noms, adresses et adresses électroniques, dates d’anniversaire, pseudonymes et mots de passe, historiques des paiements, factures ainsi que des données plus sensibles telles que les données bancaires.

Sony coupe alors l’ensemble du PSN et de Qriocity le 20 avril 2011 pour une maintenance qui durera jusqu’au 16 mai 2011.

Les conséquences sont lourdes pour Sony : des millions de dollars perdus (on parle de 170 millions de dollars de pertes), des millions d’utilisateurs mécontents, des actions en justice engagées contre l’entreprise pour négligence de failles de sécurité, l’action de Sony chute et… les ingénieurs sécurité de chez Sony qui passent pour des imbéciles. En effet, il semblerait que Sony utilisait des versions obsolètes de logiciels et que ses serveurs n’étaient pas protégés par un pare-feu.

De l’importance de bien protéger et de crypter les données à caractère personnel et de mettre à jour le logiciel (Apache) de vos serveurs…

2. Heartland Payment Systems

En 2009, Heartland Payment Systems est l’un des plus grands organismes de transferts de paiements aux Etats Unis. Malgré son importance, la société est victime d’une faille informatique découverte et exploitée largement par le pirate Albert Gonzalez et deux associés via un spyware implanté sur l’un des serveurs de la société, puisqu’ils ont pu ainsi accéder aux données (nom, numéros de cartes, dates d’expiration et monitoring des crédits et débits) de plus de 130 millions de cartes de crédit. Les hackers ne pouvaient cependant pas utiliser les informations telles quelles mais pouvaient créer de fausses cartes de crédit avec les données volées.

Le 25 mars 2010, un tribunal américain a condamné le pirate à purger une peine de prison de 20 ans et un jour, ainsi qu’à 25.000 dollars d’amende, voulant faire un exemple pour décourager ce genre de crimes. A titre de comparaison, les pertes de Heartland Payment Systems s’élèveraient à 12,8 millions de dollars.

De l’utilité de surveiller ses machines et les protéger avec les programmes adéquats.

Dans le prochain article, nous ferons donc une synthèse de notre travail et un résumé des bonnes pratiques à avoir afin d’obtenir une sécurité informatique minimale.

SOURCES :
Washington post
http://www.computerworlduk.com
Wikipédia
http://www.2008breach.com