Sony et votre vie privée : plusieurs fois, les fichiers utilisateurs de Sony ont été volés. En sus, Sony a développé des rootkits cachés dans ses produits.

cr  18.06.2013      r+  18.06.2013      r-  16.05.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

La société Sony a, à plusieurs reprises, vu ses fichiers clients (identifiants, coordonnées, produits sous licence, dont les jeux…) volés (pillés, piratés [hackés]). Pire encore, la société Sony a développé des rootKits cachés dans ses produits. Ces rootKits permettent de prendre le contrôle total d’un appareil avec les mêmes privilèges que le système d’exploitation lui-même, des privilèges totaux, bien plus élevés que les droits d’un administrateur du système. Tous les logiciels de Sony, y compris tous les jeux vidéo de Sony, sont des dispositifs d’espionnage.

Droits ou devoirs des créateurs - place aux majors

Il n'y a que ceux qui ne produisent rien qui prennent le temps de s'agiter en matraquant que l'accès gratuit et illimité au travail des autres participe de la « culturation » de la société, et est donc un « droit ». On ne parle même pas de ce qui est appelé « œuvre culturelle » ou « œuvre de l'esprit ». Le créateur, lui, n'a pas de temps à perdre et s'échine à créer, mais on lui déni le « droit » d’être rémunéré pour son travail, pourtant :

Toute peine mérite salaire

Le créateur n'a que le « devoir » de créer et d'être traité de « crevure » s'il prétend avoir besoin de s'acheter un quignon de pain.

Voler devient un sport, facilité par :

• La numérisation des œuvres.

• L'intermédiation de webmasters qui en profitent pour proposer des sites de piratage. Eux gagnent leur vie au-delà de tout ce qui est imaginable (sauf certains sites, très rares, faits par pure passion et réelle envie de partager, sans en tirer aucun profit).

  Un site comme le célèbre traqueur torrent canadien francophone bien connu, dissous désormais, rapportait :

  
  

  6 à 7 millions d’euros par an
  T411

  
  

• L'intermédiation des majors (les sociétés à la Sony, les éditeurs du monde musical, cinématographique, informatique, etc.) qui veulent s'arroger un droit exclusif de copie à leur profit, en pressurant les deux bouts : l'usager d'un côté et les créateurs de l'autre.

On remarquera que les roquets qui hurlent à la gratuité de la culture et refusent de payer pour une œuvre qui a demandé, parfois, des années d'efforts pour être produite sont les mêmes qui trouvent totalement normal que des footballeurs gagnent de quoi s'acheter un appartement de luxe ou une dizaine de studios chaque mois, rien que pour jouer à taper dans un ballon, et ne réclament pas la gratuité de l'entrée des matchs.

À cause des roquets hurleurs, une coalition politique, industrielle, monde de la publicité, etc., augmentée d'un besoin irrépressible de surveiller tout le monde par les gouvernements... à conduit à des dispositifs identifiant tout et tout le monde. D'abracadabrantesques mécanismes, encodés dans le matériel (dans les composants électroniques) et totalement incontournables, ont été mis en place, ainsi que le verrouillage des œuvres numérisées, de manière systématique, incluant la pénétration des vies privées en violation de toutes les législations, dont les Constitutions elles-mêmes !

Constitution française

On ne prône pas le piratage, mais on honnit les majors qui s'arrogent tous les droits : ceux de pressurer les deux bouts de la chaîne :

1. Les créatifs (auteurs, compositeurs, interprètes...).

2. Les utilisateurs (clients) par des tarifs exorbitants, des droits illimités et des outils cachés d'espionnage et de surveillance ainsi que l'absence de protection des données privées qu'ils détiennent.

Clause Sony PlayStation en Réseau - Violation de la législation sur la vie privée

Politique de Confidentialité - Clauses au 24 septembre 2011 - Français

Vol de plus de 77 millions de comptes sur des réseaux Sony. Concerne le réseau de jeu en ligne « PlayStation Network » et le service de location de contenu multimédia « Qriocity », dans le monde entier.

Pour chaque compte, il serait obtenu les nom, pseudo, âge, mot de passe et adresse e-mail.

Les comptes sont donc consultables et comportent un onglet « Historique des achats » où on peut voir les 4 derniers chiffres des numéros de cartes bancaires utilisée pour le paiement, leur date d'expiration et l'adresse de facturation.

Dans certains cas (par exemple : ouverture de compte pour un tiers avec vos propres coordonnées bancaires [ un parent pour lui-même et pour alimenter le compte de son enfant]), toutes les coordonnées bancaires sont dévoilées - cela concernerait 2,2 millions de numéros de cartes bancaire totalement exposés (sauf code secret). Sony a avoué que les données personnelles etaient stockées en clair (non cryptées) et que « un système de sécurité très sophistiqué » s'est révélé insufisant pour protéger ces données.

Dans les jours qui ont suivi, une augmentation d'activité sur les réseaux spécialisés de hacker (dans le Dark Web), en relation avec les cybercriminels, ferait état de la mise en vente de ce fichier, y compris une demande de rançon à Sony. Pour les comptes où les coordonnées bancaires n'ont pas été obtenues en totalité, des attaques en phishing ou autres formes d'ingénierie sociale sont attendues sur les identifiant et adresses courriel des 77 millions de comptes hackés.

Si le même couple identifiant / mot de passe a été utilisé pour d'autres services en lignes, il faut tous les changer.

Sony écrit délicieusement, dans ses conditions d'utilisation (vérifié le 17 avril 2012) :

Il semblerait que Sony ait « encore » connu une attaque. Le constructeur confirme que près de 93 000 comptes ont été piratés dont 60 000 comptes PSN et 33 000 comptes Sony Online Entertainment. Sony affirme, par la voix de Philip Reitinger, que les cartes de crédits associées à ces comptes ne sont pas menacées.

À deux reprises, Sony a été confronté à la présence masquée de rootkits dans ses produits : dans ses clés USB biométriques¹ et dans son composant de gestion numérique des droits (DRM)², nommé XCP (eXtended Copy Protection), présent sur 52 CD audio (dont certains de Céline Dion et de Sarah McLachlan). L'entreprise cherchait à réduire le nombre de copies illégales de ses disques en limitant le droit de copie et en traçant la circulation des CD par Internet.

Le kit XCP, présent sur 4 millions de CD produits en 2005³, est parfois instable et possède lui-même des failles qui peuvent être exploitées, permettant notamment de créer un virus l'utilisant⁴. Il ne fonctionne que sur les systèmes d'exploitation de type Windows.

XCP se connecte régulièrement aux serveurs de Sony pour envoyer l'identifiant du disque audio que l'utilisateur écoute. Il empêche la lecture du CD par un autre logiciel que celui fourni par Sony, et limite le nombre de copies (gravure et rip) du disque. Une analyse⁵ du groupe Gartner montre que XCP se comporte comme un logiciel malveillant sur plusieurs points :

• Téléchargements cachés
• Informations concernant son fonctionnement cachées dans la licence d'utilisation
• Absence d'utilitaire de désinstallation
• Envoi obligatoire d'un mail contenant des informations personnelles et sur le système pour en recevoir un
• Envoi de certaines informations à des serveurs de Sony sans information préalable de l'utilisateur

Gartner met en avant le cas XCP pour montrer que ce type de DRM n'est pas à envisager par une entreprise, car il est inefficace, illégal sous certains aspects et dommageable pour le client. Il apparaît aussi que se base sur des logiciels libres sans en respecter la licence, c'est-à-dire sans redistribuer le code source des produits libres incorporés.

Ces affaires ont fait un tort important à Sony, qui a fini par abandonner ces logiciels, aussi bien pour sa respectabilité que financièrement. Dans plusieurs pays, Sony a été poursuivi en justice et obligé de reprendre les CD contenant un rootkit et de dédommager les clients. En 2007, aux États-Unis, Sony est condamné à rembourser jusqu'à 150 $ par acheteur pour un total de 5,75 millions de dollars. En 2009 en Allemagne, un travailleur indépendant a obtenu gain de cause en touchant 1 200 € de dommages et intérêts, car le kit avait fait perdre du temps et des données à son entreprise. Pour ses rootkits, Sony a été nommé aux Big Brother Awards 2006.

1. ↑ [01] [01] 01.11.2005 - GNT - Un rootkit dans les DRM de Sony

2. ↑ [02] http://www.gartner.com/resources/135800/135824/sonys_approach_to_content_pr_135824.pdf

3. ↑ [03] 10.11.2005 - Tom's Hardware - Premier virus utilisant le rootkit Sony

4. ↑ 13.07.2007 - GNT - Sony BMG poursuit son fournisseur de rootkits

5. ↑ 03.09.2007 - silicon.fr - Rootkit sur clé USB: l’incroyable ‘erreur’ de Sony<<<

1. Piratage du PlayStation Network (Wikipédia, FR)

2. Hack du PSN en 2011 : retour sur un des plus gros piratages de l’histoire

3. Il y a 10 ans, le PlayStation Network subissait sa plus grosse cyberattaque

4. Vous ne reconnaissez pas un paiement effectué sur le PlayStation Store

5. Le hacker à l'origine du piratage des services en ligne Playstation et Xbox arrêté par hasard

6. Piratage du Playstation Network: Vos données bancaires sont-elles en danger ?

7. Mots de passe : première protection des données

8. Test de solidité des mots de passe

9. Sony : 93.000 comptes d'utilisateurs suspendus après un nouveau piratage