Sony et votre vie privée

Violation de la législation sur la vie privée : Clause Sony PlayStation en Réseau
Vérifié le 17 avril 2012 ici, ici et ici
Si vous n'acceptez pas la clause régalienne suivante, par exemple, parmi d'autres clauses abusives et/ou violant le droit, vous ne pouvez vous inscrire sur le réseau Sony PlayStation, Sony Vidéo, Sony Musique etc. ... (version US 7 du 7 février 2012 des conditions générales Sony Entertainment Network - ) :
« you hereby give SNEI your express consent to monitor and record your and your Sub Account’s activities and communications. »
Traduction personnelle : « Vous accordez par la présente à SNEI votre accord exprès pour surveiller et enregistrer vos activités et communications et celles de vos comptes secondaires associés. »
Dans la version française, ceci est déporté dans la Charte de confidentialité qui dit : "...nous nous réservons le droit, à notre entière discrétion, de surveiller et d'enregistrer votre activité et vos communications en ligne sur l'ensemble de Sony Entertainment Network et/ou de supprimer tout contenu de ce dernier sans préavis, et vous l'acceptez expressément. Toutes les informations recueillies par ce biais, notamment le contenu de vos communications vocales et écrites, l'heure et l'emplacement de vos activités..."
Violation de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

20 avril 2011 - Hack de plus de 77 millions de comptes Sony
Vol de plus de 77 millions de comptes sur des réseaux Sony. Concerne le réseau de jeu en ligne "PlayStation Network" et le service de location de contenu multimédia "Qriocity". Monde entier. Pour chaque compte serait obtenu les nom, pseudo, âge, mot de passe et adresse e-mail. Les comptes sont donc consultables et comportent un onglet "Historique des achats" où on peut voir les 4 derniers chiffres des numéros de cartes de crédit, leur date d'expiration et l'adresse de facturation. Dans certains cas (ouverture de compte pour un tiers avec vos propres coordonnées bancaires, par exemple un parent pour lui-même et pour alimenter le compte de son enfant), toutes les coordonnées bancaires sont dévoilées - cela concernerait 2,2 millions de numéros de cartes bancaire totalement exposés (sauf code secret). Sony a avoué que les données personnelles etaient stockées en clair (non cryptées) et que "un système de sécurité très sophistiqué" a été insufisant pour protéger ces données. Dans les jours qui ont suivi, une augmentation d'activité sur les réseaux spécialisés de hacker en relation avec les cybercriminels ferait état de la mise en vente de ce fichier, y compris une demande de rançon à Sony. Pour les comptes où les coordonnées bancaires n'ont pas été obtenues en totalité, des attaques en phishing ou autres formes d'ingénierie sociale sont attendues.
Si le même couple identifiant / mot de passe a été utilisé pour d'autres services en lignes, il faut tous les changer.
Sony écrit délicieusement, dans ses conditions d'utilisation (vérifié le 17 avril 2012) : "Notre responsabilité ne pourra pas être engagée en cas d'usage ou de partage non autorisé d'un compte Sony Entertainment Network."
Googler ce hack
Mots de passe
Test de solidité de mots de passe.

12 octobre 2011 - 93.000 comptes Sony hackés !
Il semblerait que Sony ait « encore » connu une attaque. Le constructeur confirme que près de 93 000 comptes ont été piratés dont 60 000 comptes PSN et 33 000 comptes Sony Online Entertainment. Sony affirme, par la voix de Philip Reitinger, que les cartes de crédits associées à ces comptes ne sont pas menacées.
Googler ce hack
Mots de passe
Test de solidité des mots de passe.

Sony Rootkit

À deux reprises, Sony a été confronté à la présence masquée de rootkits dans ses produits : dans ses clés usb biométriques¹ et dans son composant de gestion numérique des droits (DRM)², nommé XCP (eXxtended Copy Protection), présent sur 52 CD audio (dont certains de Céline Dion et de Sarah McLachlan). L'entreprise cherchait à réduire le nombre de copies illégales de ses disques en limitant le droit de copie et en traçant la circulation des CD par Internet.

Le kit XCP, présent sur 4 millions de CD produits en 2005³, est parfois instable et possède lui-même des failles qui peuvent être exploitées, permettant notamment de créer un virus l'utilisant⁴. Il ne fonctionne que sur les systèmes d'exploitation de type Windows.

XCP se connecte régulièrement aux serveurs de Sony pour envoyer l'identifiant du disque audio que l'utilisateur écoute. Il empêche la lecture du CD par un autre logiciel que celui fourni par Sony, et limite le nombre de copies (gravure et rip) du disque. Une analyse⁵ du groupe Gartner montre que XCP se comporte comme un logiciel malveillant sur plusieurs points :

• Téléchargements cachés
• Informations concernant son fonctionnement cachées dans la licence d'utilisation
• Absence d'utilitaire de désinstallation
• Envoi obligatoire d'un mail contenant des informations personnelles et sur le système pour en recevoir un
• Envoi de certaines informations à des serveurs de Sony sans information préalable de l'utilisateur

Gartner met en avant le cas XCP pour montrer que ce type de DRM n'est pas à envisager par une entreprise car il est inefficace, illégal sous certains aspects et dommageable pour le client. Il apparaît aussi que XCP se base sur des logiciels libres sans en respecter la licence, c'est-à-dire sans redistribuer le code source des produits libres incorporés.

Ces affaires ont fait un tort important à Sony, qui a fini par abandonner ces logiciels, aussi bien pour sa respectabilité que financièrement. Dans plusieurs pays, Sony a été poursuivi en justice et obligé de reprendre les CD contenant un rootkit et de dédommager les clients. En 2007, aux États-Unis, Sony est condamné à rembourser jusqu'à 150 $ par acheteur pour un total de 5,75 millions de dollars. En 2009 en Allemagne, un travailleur indépendant a obtenu gain de cause en touchant 1 200 € de dommages et intérêts car le kit avait fait perdre du temps et des données à son entreprise. Pour ses rootkits, Sony a été nommé aux Big Brother Awards 2006.

Références

01.11.2005 - GNT - Un rootkit dans les DRM de Sony
09.11.2005 - Gartner Group - Analyse du Rootkit dans XCP
10.11.2005 - Tom's Hardware - Premier virus utilisant le rootkit Sony
13.07.2007 - GNT - Sony BMG poursuit son fournisseur de rootkits
03.09.2007 - silicon.fr - Rootkit sur clé USB: l’incroyable ‘erreur’ de Sony

Ressources

Wikipedia - Rootkits Sony