Le géant japonais serait-il un colosse aux pieds d’argiles ? Nabuchodonosor de son temps n’aurait pas pu y songer, mais les données à caractère personnel et la protection y afférente s’avèrent être la faiblesse de Sony Computer Entertainment, objet d’un piratage à grande ampleur dans la nuit du 26 avril dernier.

Quel type de données personnelles a été volé ?

Sony Computer Entertainment, s’est vu pirater son service de jeux vidéo en ligne, le PlayStation Network, service générant quelques 500 millions de dollars de chiffre d’affaire annuel.

Ainsi, ont été dérobé les noms, adresses de facturation et de livraison, dates de naissance, mots de passe, adresse de courrier électronique et probablement les numéros de cartes bancaires des 77 millions de membre de ce service, dont 4,7 millions en France.

Si Sony ne confirme pas explicitement que les numéros de carte bancaires aient été dérobés, il n’en exclut pas la possibilité dans la mesure où les pirates ont pu y avoir accès, contrairement au cryptogramme, constitué par les trois (3) derniers numéros de la carte bancaire, aujourd’hui demandé pour la plupart des transactions en ligne.

Dès lors, on peut craindre que ces données à caractère personnel ne soient revendues (à prix d’or) et/ou directement utilisées à des fins frauduleuses telles que le phishing, le spamming, ou encore pour des transactions directes en ligne, dans la mesure où les tentatives d’utilisation du cryptogramme ne mènent jamais à un blocage des cartes bancaires.

Que conseiller aux utilisateurs victimes du PlayStation Network ?

Tout d’abord, par mesure de sécurité, faire opposition sur leur carte bancaire afin d’éviter toute utilisation frauduleuse de leur données bancaires.

Ensuite, changer de mot de passe et de nom d’utilisateur dès lors qu’ils emploient les données volées sur d’autres sites Internet.

Enfin, on leur recommandera de prêter une attention toute particulière à tout message électronique qu’ils recevoir leur demandant communication de données bancaires ou autres, voire même de changer d’adresse électronique.

Si ce piratage colossal impressionne par son ampleur, la prouesse technique de ces hackers ne peut pas être reconnue, Sony ayant reconnu ne pas avoir crypté ses données. Erreur.
En effet, un utilisateur américain à d’ores et déjà porté plainte à l’encontre de la Société Nippone, et d’autres, bien plus nombreuses, organisées en « class action » ou non devraient suivre, et ce sur deux fondements :

• Tout d’abord le manque de réactivité dont Sony semble avoir fait preuve, beaucoup lui reprochant ne pas avoir communiqué cette information, connue, assez tôt pour prendre des mesures efficaces ;
• Ensuite et surtout, pour ne avoir protégé son système de données à caractère personnel, obligation légale en France comme dans bien d’autres pays.

A titre d’exemple, les consommateurs français pourraient porter plainte sur le fondement de l’article 226-17 du Code Pénal qui, pour rappel, dispose :
« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »

On peut donc s’attendre à ce que Sony subisse de plein fouet les conséquences de ses quelques « problèmes techniques ». A suivre