Une nouvelle catastrophe pour Sony, Réactions à la publication du 30/04/2011

[brenda]

Comme expliqué dans le lien cité par Gui13, il suffit de s'opposer à un paiement pour que la banque ait obligation de rembourser. Le seul cas permettant à la banque de ne pas rembourser son client lorsqu'il en fait la demande et de prouver qu'il a commis une négligence, MAIS, ce n'est pas à la banque de "décréter" qu'il y a eu négligence. Elle doit pour cela saisir le tribunal compétent (et en attendant, elle doit rembourser).
Ca c'est pour la loi, et, hélas, pour la théorie.

Récemment j'ai essayé de m'opposer à une transaction visa premier puisque la boutique ne m'a rien envoyé (tout à fait officiel d'ailleurs: pas de stock, mais on ne vous rembourse pas, c'est modware qui semble être basé en Espagne, à éviter).
Surprise l'opératrice Visa Premier refuse puisque c'était en fait sous paypal (j'avais oublié). J'ai du créer un litige paypal et j'ai fini par être remboursé mais je me demande à quoi sert leurs assurances CB et je pense que son refus n'était pas légal.
Quelques années auparavant cela marchait sans problème (et une fois la transaction CB annulée,, le marchand se remettait rapidement en règle ...).

même problème avec un achat en décembre 2009 pour noel des enfants : site internet en allemagne, paiement par CB (je ne sais plus la banques concernée) expédition de la marchandise, et ... rien. Je finis par apprendre par une petite main du transporteur qu'il y a énormément de vols chez eux au moment de noel. pour le magasin c'est livré. visa me demande de prouver que je n'ai rien reçu, ma banque m'envoie chez Visa ... et hop, 150 euros de jouets disparus. a te dégouter d'acheter sur le web. d'ailleurs, depuis j'ai arrêté d'acheter sur le web je ne vais plus que dans les vrais magasins, si j'ai un problème je sais où, et sur qui, gueuler
@+

Ce message a été modifié par brenda - 2 May 2011, 21:29.

[Baradal]

Y a t-il un risque de voir le PSN payant ? En vue d'investir dans de meilleurs sécurités ? Ou pour offrir un meilleur service ?

[SartMatt]

Y a t-il un risque de voir le PSN payant ? En vue d'investir dans de meilleurs sécurités ? Ou pour offrir un meilleur service ?

Vue la situation, la nécessité de fournir un numéro de carte bancaire à Sony pour l'accès au "nouveau" PSN risquerait d'être très mal accueillie ^^

[Xuros]

Sans compter que les informations stockées sur le Sony Playstation Network peut -aussi- servir à faire du vol d'identité, ce qui est encore plus rentable:
on peut utiliser l'identité d'une personne pour prendre un crédit à la banque (courant aux États Unis et même de plus en plus fréquent ici au Canada), et là vous ne savez rien sauf le jour ou des huissiers viennent sonner chez vous, ou lorsque vous avez besoin d'un crédit ou de renouveller votre hypothèque et qu'on vous le refuse, à cause de "vos" dettes.
Là, peu importe ce que vous avez sur votre carte de crédit, ou même que vous l'ayez changé, les conséquences sont bien plus graves: refus de crédit ou d'hypothèques, poursuites judiciaires, frais de défense devant la justice, conséquences pouvant aller jusqu'à la prison (suivant les exactions faites en usurpant votre identité) !!!

Risques nuls que cela arrive dans le cas du PSN. Pour faire ce que tu decris (effectivement assez courant aux USA, enfin pas plus que de se faire cambrioler...) il manque une information essentielle, le Social Security Number (SSN) qui est demande a chaque fois pour ouvrir un credit, un compte bancaire ou meme prendre un abonnement (AT&T par exemple). Ce numero n'a jamais ete stocke ni meme demande par Sony.
Avec les fichiers du PSN les hackers ne peuvent 'que' faire des retraits frauduleux et non de l'usurpation d'identite (Identity Theft).

Ce message a été modifié par Xuros - 2 May 2011, 22:00.

[Baradal]

Y a t-il un risque de voir le PSN payant ? En vue d'investir dans de meilleurs sécurités ? Ou pour offrir un meilleur service ?

Vue la situation, la nécessité de fournir un numéro de carte bancaire à Sony pour l'accès au "nouveau" PSN risquerait d'être très mal accueillie ^^

C'est ce que je me disais mais, un ami m'ayant dit avoir entendu des rumeurs la dessus, je préférai avoir confirmation que ce ne soit pas prévu. Du moins dans l'immédiat car on ne sait jamais

[iAPX]

PS: Le meilleur des cas pour Sony serait qu'ils aient penser à rajouter des données aléatoires (ce que je faisais pour les cartes) : tu génères un gros bloc de données BCD, mettons de 1Ko, tu insères aléatoirement les infos de carte dedans, tu rajoutes les 4 chiffres nécessaires pour marquer le déplacement sur les infos de cartes (en BCD aussi) au début du paquet, pour pouvoir les retrouver ultérieurement, tu trim le tout sur 1Ko, tu chiffres ça, et ça ça va résister à toute attaque connue pendant un gros gros moment!

Système valable si un pirate tape dans la BDD sans toucher à rien d'autre.
Si le pirate tombe sur le code qui gère ça, ta protection se retrouve aussi efficace qu'une fenêtre ouverte.

PS : Je veux dire par là que même la meilleure protection ne sert à rien à partir du moment ou l'algo et la/les clés sont dans la nature.

As-tu remarqué que je parle d'encryptage asymétrique (clé publique coté serveurs publiques, clés privés protégées ailleurs) ???

Mais pour faire court, la seule façon de casser un bloc de 1Ko de données (ou dans notre cas 10^1024 informations à décrypter en moyenne à cause du placement aléatoire des infos de carte dans le bloc BCD), en possédant 100 millions de blocs (ou de cartes cryptées) ET LA CLÉ PUBLIQUE, ça consiste juste à générer un échantillon de 10^1016 blocs, pour en décrypter un seul!
A coté de ça la taille ou l'age de l'univers ne sont que des broutilles...

Serais bon que tu te cantonnes à Thunderbolt

Sans compter que les informations stockées sur le Sony Playstation Network peut -aussi- servir à faire du vol d'identité, ce qui est encore plus rentable:
on peut utiliser l'identité d'une personne pour prendre un crédit à la banque (courant aux États Unis et même de plus en plus fréquent ici au Canada), et là vous ne savez rien sauf le jour ou des huissiers viennent sonner chez vous, ou lorsque vous avez besoin d'un crédit ou de renouveller votre hypothèque et qu'on vous le refuse, à cause de "vos" dettes.
Là, peu importe ce que vous avez sur votre carte de crédit, ou même que vous l'ayez changé, les conséquences sont bien plus graves: refus de crédit ou d'hypothèques, poursuites judiciaires, frais de défense devant la justice, conséquences pouvant aller jusqu'à la prison (suivant les exactions faites en usurpant votre identité) !!!

Risques nuls que cela arrive dans le cas du PSN. Pour faire ce que tu decris (effectivement assez courant aux USA, enfin pas plus que de se faire cambrioler...) il manque une information essentielle, le Social Security Number (SSN) qui est demande a chaque fois pour ouvrir un credit, un compte bancaire ou meme prendre un abonnement (AT&T par exemple). Ce numero n'a jamais ete stocke ni meme demande par Sony.
Avec les fichiers du PSN les hackers ne peuvent 'que' faire des retraits frauduleux et non de l'usurpation d'identite (Identity Theft).

C'est à ça que sert la date de naissance, qui -elle- se trouve stocké dans le PSN

Ce message a été modifié par iAPX - 3 May 2011, 00:50.

[Xuros]

C'est à ça que sert la date de naissance, qui -elle- se trouve stocké dans le PSN

Ca ne suffit pas. Il faut aussi le lieu de naissance (qui n'est pas dans le PSN) pour reconstituer le SSN (a condition d'avoir l'algorithme) et de toute facon les 4 derniers numeros du SSN sont attribues au hasard.

Ce message a été modifié par Xuros - 3 May 2011, 02:28.

[iAPX]

Ça ne suffit pas, mais c'est un pas en avant vers une obtention de papiers au nom de la victime, comme rappelé ici.

[Xuros]

Ça ne suffit pas, mais c'est un pas en avant vers une obtention de papiers au nom de la victime, comme rappelé ici.

Faut pas etre parano, ce n'est pas une premiere étape. Les hackers n'ont aucun moyen d'obtenir le reste des infos. Le lien que tu donnes montre bien que certaines infos sont essentielles pour l'usurpation d'identité, comme le lieu de naissance, nom de jeune fille de la mere, SSN... choses que les hackers du PSN n'ont pas et n'ont aucun moyen d'avoir.
Je fais parti des potentiels 'hackés' du PSN et le fait que mon nom, adresse et date de naissance soient dans la nature ne m'inquiète absolument pas. C'est déjà le cas de toute façon, vu le nombre d'abonnements auxquels j'ai souscrit, jobs où j'ai postulé, location de voitures, etc etc... au cours de ma vie.
Seul inquietude, le numero de Debit Card. Il suffit de vérifier ses comptes et appeler la banque le cas échéant. Aux US les banques savent que leur système de carte bancaire est pourri et pas sécurisé, en contre partie il est très simple de faire opposition.

Ce message a été modifié par Xuros - 3 May 2011, 06:03.

[Lionel]

Lionel > Il va falloir que tu fasses une MAJ de ta MAJ. Pour le SEO de sony, d'après leur annonce, ce n'est pas à la suite d'une attaque qu'ils ont fermé ce service mais par ce qu'ils ont découvert qu'il avait des failles. (en même temps vu l'état du playstation network, ça aurait été étonnant que les autres services soient super bien sécurisé)
C'est à la suite d'une mauvaise traduction par je ne sais quel site que tous les sites se sont mis à dire que ce service là a été attaqué.

Bon évidement vu les discourt de SONY ces derniers temps il pourrait très bien y avoir une attaque récente contre ce service mais pour le moment aucun site sérieux n'en a eu la moindre preuve ni officielle ni officieuse.

Non, ils ont réellement été attaqués et volés:
http://online.wsj.com/article/SB1000142405...6.html?mod=e2tw

[Mokona]

C'est de pire en pire pour $ony, voilà que ce sont les joueurs PC qui sont touché ! 12'700 numéros de carte de crédit ont été volé à Sony Online Entertainment, 24.6 millions de comptes supplémentaires ont été compromis ! Il ne s'agit pas du même réseau que le PSN, ce sont bien deux attaques différentes. SOE est actuellement coupé lui aussi.

http://psx-scene.com/forums/f6/sony-loses-...promised-85881/

On apprend aussi que dans le cadre de la restructuration de sa partie online (Sony a déplacé le PSN de Sony Japan pour le mettre dans une société indépendante, Sony Online) ils ont viré 200 experts réseau juste avant l'attaque..... Good job guys ! Pas étonnant que ça a été si long .....

http://www.crowboy.com/evilgenius/forum/in...p?topic=14808.0

Ce message a été modifié par Mokona - 3 May 2011, 07:34.

[laurent75004]

Qui sème le vent récolte la tempête, si ils avaient été un peu moins virulents avec le jailbreak de la PSP...

[Jedge]

oui enfin leur guerre contre le JB c'est une chose, mettre une multi-nationale à terre c'est combien de chômeur potentiel aussi ?
à ce compte la on va rétablir la loi tu talion et se balader avec un colt à la ceinture...

[Mokona]

Rassure toi Jedge, Sony c'est un monstre tentaculaire, une hydre. Tranche lui une tête et deux autres repousseront. Ce ne sont pas de problèmes pareils qui vont la mettre à terre .....

Et d'ailleurs, les licenciements dont je parlais ci-dessus ont été ordonnés avant le hack.

[Daïlha]

oui enfin leur guerre contre le JB c'est une chose, mettre une multi-nationale à terre c'est combien de chômeur potentiel aussi ?
à ce compte la on va rétablir la loi tu talion et se balader avec un colt à la ceinture...

Je suis absolument d'accord. Ce n'est pas acceptable.

Pour autant, c'est une conséquence qu'ils auraient pu prévoir. Je m'étais moi-même fait la réflexion qu'ils prenaient ce risque. Et quand on décide d'aller à la confrontation, il faut avoir des boucliers efficaces.

[pv_bain]

J'ai écrit un article à propos du sujet sur mon blog (qui essaye de retracer l'historique de la guerre PSN/Hackers) et donne un point de vue (le miens) sur cette affaire.

je vous invite a le découvrir et à me dire ce que vous en pensez : lien

Bonne journée à vous,

Pierre-Victor

[iAPX]

C'est de pire en pire pour $ony, voilà que ce sont les joueurs PC qui sont touché ! 12'700 numéros de carte de crédit ont été volé à Sony Online Entertainment, 24.6 millions de comptes supplémentaires ont été compromis ! Il ne s'agit pas du même réseau que le PSN, ce sont bien deux attaques différentes. SOE est actuellement coupé lui aussi.

http://psx-scene.com/forums/f6/sony-loses-...promised-85881/

On apprend aussi que dans le cadre de la restructuration de sa partie online (Sony a déplacé le PSN de Sony Japan pour le mettre dans une société indépendante, Sony Online) ils ont viré 200 experts réseau juste avant l'attaque..... Good job guys ! Pas étonnant que ça a été si long .....

http://www.crowboy.com/evilgenius/forum/in...p?topic=14808.0

80% des attaques viennent de l'intérieur, d'actuels ou d'anciens salariés. 200 experts réseaux licenciés, ça en fait des gens mécontent, probablement compétents, et certainement aigris!
C'est peut-être ben ça l'origine de l'attaque.

En même temps, en attaquant GeoHot comme ils l'ont fait, ils se sont mis aussi mis à dos des gens très puissants!

[Jedge]

Sony "mérite" un peu ce qui leur arrive mais bon sang c'est encore les employés et les clients qui payent la note finale et ça n'est pas normal !!!

[SartMatt]

200 experts réseaux licenciés, ça en fait des gens mécontent, probablement compétents, et certainement aigris!

Et qui en plus connaissent l'infrastructure... Voir certains mot de passe s'ils n'ont pas été changés depuis...

[noop]

200 experts réseaux licenciés, ça en fait des gens mécontent, probablement compétents, et certainement aigris!

Et qui en plus connaissent l'infrastructure... Voir certains mot de passe s'ils n'ont pas été changés depuis...

mots de passe encodés en MD5 (comme partout ) ?

[SartMatt]

200 experts réseaux licenciés, ça en fait des gens mécontent, probablement compétents, et certainement aigris!

Et qui en plus connaissent l'infrastructure... Voir certains mot de passe s'ils n'ont pas été changés depuis...

mots de passe encodés en MD5 (comme partout ) ?

Je parlais des mots de passe utilisés par les admins lorsqu'ils travaillent sur le système... Les experts réseaux en connaissent forcément une partie.

La règle la plus élémentaire de sécurité voudrait que ces mots de passe soient tous changés dès qu'une personne les connaissant quitte l'entreprise, en particulier si c'est un licenciement.
Mais y a énormément de boîtes où cette règle n'est pas appliquée.

[Baradal]

SONY à peut-être été un peu sévère en bloquant le fait de pouvoir installer linux sur les diverses PS3. Mais bon, cet acharnement commence à tous nous gonfler. Car à 75% je joue en ligne perso.
Sans parler des dizaine voir centaines de millions de dollars que va perdre la société.

Sony à voulu jouer au malin mais ça en devient ridicul de continuer ce hack. Je pense que le mal est déjà fait et bien.

[nico-o-o]

Tous les clients ne sont pas concernés?

Apparemment, seuls ceux dont Sony pense que le compte a été violé reçoivent le mail.
Je n'ai rien reçu et autour de moi, 2 personnes sur 5 l'ont reçu...
Et vous?

J'en ai reçu un, alors que je ne me rappelais même pas l'avoir crée. Ce devait être à l'époque où j'avais acheté une PSP, utilisée quelques semaines.

Désolé, je n'avais pas vu ta réponse...
En plus j'ai hésité à t'envoyer un MP au lieu de poster...
Merci!

Ah... Le syndrome de la PSP utilisée deux semaines...

Te souviens tu s'il est obligatoire de donner son numéro de CB à la création d'un compte?
Même sans achat...

[SartMatt]

Te souviens tu s'il est obligatoire de donner son numéro de CB à la création d'un compte?
Même sans achat...

Perso j'ai pas donné le mien à l'époque (compte créé en décembre 2009).

[omega2]

Lionel > Il va falloir que tu fasses une MAJ de ta MAJ. Pour le SEO de sony, d'après leur annonce, ce n'est pas à la suite d'une attaque qu'ils ont fermé ce service mais par ce qu'ils ont découvert qu'il avait des failles. (en même temps vu l'état du playstation network, ça aurait été étonnant que les autres services soient super bien sécurisé)
C'est à la suite d'une mauvaise traduction par je ne sais quel site que tous les sites se sont mis à dire que ce service là a été attaqué.

Bon évidement vu les discourt de SONY ces derniers temps il pourrait très bien y avoir une attaque récente contre ce service mais pour le moment aucun site sérieux n'en a eu la moindre preuve ni officielle ni officieuse.

Non, ils ont réellement été attaqués et volés:
http://online.wsj.com/article/SB1000142405...6.html?mod=e2tw

J'ai vu ça ce matin. Hier à l'heure ou j'avais posté, tout ce que j'avais vu comme site qui parlaient d'une attaque du SEO ne citaient aucune source ni détail ou citaient une source qui se basait sur le message posté en page d'accueil du SEO ... sans vérification de la traduction.

Qui sème le vent récolte la tempête, si ils avaient été un peu moins virulents avec le jailbreak de la PSP...

A priori aucun rapport.
C'est l'appât du gain qui prime dans le cas présent, pas la vengeance d'un illuminé : la revente des numéros de cartes de crédit ne va en rien aider les tentatives de jaybreak et ne va pas venger GeoHot. PAr contre elle va rendre le vendeur plus riche.

[teac68]

Tu liras attentivement les pages que tu fournis en lien, c'est justement l'usage du code CVV2 (ou consort), de 3 ou 4 chiffres, situé au dos de la carte qui atteste de ton paiement, comme une signature.

J'ai bien lu justement, ils ne parlent que du code pin et pas du code 3 chiffres situé à l’arrière de la carte.
Sinon SartMatt a très bien répondu à tes autres interventions : seul le code pin ou ta signature dégagent la responsabilité de la banque à te rembourser ... en France bien sûr. Maintenant pour le reste du monde je ne pourrais me prononcer.
Et d'ailleurs si le CVV2 était une "signature" pourquoi le Crédit Mutuel (un exemple parmi d'autres, évoqué aussi par SartMatt et qui est à ma connaissance le plus évolué) utiliserai une procédure avec une carte imprimée à divers codes secrets avec passage obligatoire par le site de la banque ? Sont trop cons dans cette banque, veulent une authentification de la "signature" ...
Donc tu liras attentivement ... ce que tu voudras.

[Baradal]

Le PSN refonctionne !


Ce message a été modifié par Baradal - 16 May 2011, 13:35.

[Pom2Ter]

Le PSN refonctionne !

Il fonctionne à moitié.
Le playstation store ne fonctionne toujours pas.

[Mokona]

http://www.gizmodo.fr/2011/05/18/le-psn-a-...au-attaque.html

Il semblerait que leur super système de ré-initialisation de mot de passe ne demande que l'adresse e-mail et la date de naissance du détenteur pour laisser changer le mot de passe de son compte PSN. Sauf que c'est justement ces infos qui ont été volées lors du précédent hack.

Sony a donc suspendu à nouveau son service même si le coeur du PSN ( parties en réseau, trophées) n'est pas touché. En revanche, le magasin en ligne du PSN n'est toujours pas accessible.


Pire : le gouvernement japonais refuse que Sony redémmarre le PSN jugeant que la sécurité du service n'a pas été démontrée par Sony.

Le ministère de l'économie a demandé à l'entreprise de faire la preuve de la sécurité de son système avant d'autoriser son retour en ligne. Le ministère demande notamment que Sony donne des assurances que les mesures de protection annoncées lors de deux conférences de presse, les 6 et 13 mai, sont bien en place. Le ministère demande également à l'entreprise de détailler les mesures prises pour regagner la confiance de ses clients, notamment en démontrant que son système de paiement est sécurisé.

Précisons que cette déclaration a été faite il y a 2 jours donc avant ce nouveau problème du géant nippon.

[2012]

Courant 3eme trimestre, les buralistes devrait proposer une « carte bleue » , qui s’achète en cash comme les anciennes cartes de téléphones pour cabines téléphoniques, ou comme les cartes de stationnement , et qui permettra de faire des achats sur internet sans avoir à « passer » par son compte bancaire... Si on vous « pirate » cette carte, on ne perd que le montant qui est dessus, elle n’est pas liée au compte en banque... a suivre