Nicolas Lellouche, journaliste chez Numerama, a vécu le cauchemar de tout joueur : perdre son compte PlayStation Network (PSN). Pas une fois, mais deux fois en l’espace de quelques heures. Le plus inquiétant ? Son compte était blindé. Mot de passe complexe, double authentification (2FA) active et même une clé d’accès (Passkey) via reconnaissance faciale. En gros, c’est censé être « inviolable ». Dans la réalité gérée par Sony, c’est du beurre.
L’attaque n’a nécessité aucune compétence technique avancée. Le pirate, un certain « Derol Bodden« , a simplement contacté le service client de Sony. Son sésame ? Un numéro de transaction visible sur une capture d’écran publiée par erreur il y a des mois. C’est tout. Avec cette seule info, le support a désactivé toutes les sécurités (2FA et Passkey inclus) pour offrir le compte sur un plateau au voleur. C’est une faillite complète des protocoles de sécurité.
Le « Social Engineering » version low-cost
La faille ici n’est pas logicielle, elle est procédurale. Sony a mis en place des systèmes de défense robustes côté serveur, mais a laissé une porte dérobée grande ouverte via son support humain. Pour récupérer un compte, l’agent demande une preuve. Chez Sony, cette preuve peut se limiter à un numéro de commande ou les derniers chiffres d’une carte bancaire périmée.
C’est une aberration. Un numéro de transaction est une donnée statique. Elle figure sur des factures, des e-mails, et parfois, comme ici, sur des captures d’écran partagées. Ce n’est pas un secret. En acceptant cette donnée comme preuve absolue d’identité sans demander de pièce d’identité officielle ou de vérification croisée, Sony rend caduque toute la sécurité en amont. À quoi sert de configurer une Passkey biométrique si un employé mal formé peut la faire sauter en trois clics parce qu’on lui a donné un numéro de série ?
Le pire, c’est la récidive. Après avoir récupéré son compte une première fois, Nicolas se l’est fait voler de nouveau 30 minutes plus tard. Le pirate a simplement recommencé. Le système de Sony ne flague même pas les comptes qui subissent des demandes de récupération multiples en un temps record.
Les agents appliquent un script bête et méchant, transformant le support client en complice involontaire des hackers.
D’ailleurs, chez Valve, on peut aussi récupérer son compte Steam avec quelques informations historiques.
Pour aller plus loin
Son compte Steam piraté deux fois, sauvé deux fois… grâce à un jeu
Vos jeux ne vous appartiennent plus vraiment
Aujourd’hui, on pousse les joueurs vers le tout-dématérialisé. On achète des PS5 sans lecteur de disque, on accumule des centaines d’euros de jeux sur le PSN. Mais si la sécurité de ce coffre-fort numérique repose sur le jugement hâtif du service client, la valeur de votre bibliothèque est virtuelle.
Bref, vous avez investi 2000 € de jeux sur dix ans. Un matin, plus rien. Le pirate change votre e-mail, votre pseudo (pour 9,99 €, payés avec votre PayPal lié), et revend le compte.
Chez Apple ou Google, récupérer un compte sans accès aux appareils de confiance est un parcours du combattant, voire une mission impossible. C’est frustrant, mais c’est sécurisé. Sony a choisi la facilité : rendre l’accès facile pour l’utilisateur tête en l’air, c’est aussi le rendre facile pour l’escroc. Chez Microsoft aussi, avec une histoire très similaire sur Xbox.
Pour aller plus loin
« Créez un nouveau compte » : la réponse lunaire de Microsoft à un joueur piraté qui a perdu 15 ans de jeux
La situation est simple : tant que Sony n’exigera pas une vérification d’identité forte (CNI, passeport) pour la récupération de compte, personne n’est à l’abri. Le Passkey est une excellente technologie, mais comme une porte blindée, elle ne sert à rien si le gardien de l’immeuble donne le double des clés au premier venu qui connait votre numéro d’étage.
Un conseil en attendant ? Ne montrez jamais, jamais vos numéros de commande. Même floutés. Même vieux de trois ans. JAMAIS.
Retrouvez tous les articles de Frandroid directement sur Google. Abonnez-vous à notre profil Google pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix