Ben oui. C'est logique. Pas la peine de faire du "contrôle de dommage" à la place de Sony les fanboy...

Vivement qu'on passe à autre chose...

Et je commence à en avoir marre de lire des type qui nous demande d'avoir confiance en Sony parce que sinon "autant ne plus avoir confiance en personne".
Non désolé. Sony a clairement démontré son incompétence en matière de sécurité en stockant en clair les données sensibles (hors CB a priori) de ses utilisateurs. Je doute vraiment qu'une société comme Apple ou Microsoft laisserait passer ce genre d'aberration.

Alors oui, aucun système n'est sûr mais pour autant est-ce que cela excuse l'incompétence d'une société aussi puissante que Sony dans la sécurisation de ses données? Est-ce que l'on doit encore faire confiance à un banquier qui laisse les clés du coffre sur son bureau en se disant que de toute façon aucune banque n'est inviolable.

Je sais bien que désormais le PSN devrait logiquement être au même niveau de sécurité que ses concurrents. Mais que deviennent les types de chez Sony qui n'ont pas eu l'intelligence d'esprit d'appliquer une clé de cryptage sur les données de leurs utilisateurs (notamment les mots de passe) alors que c'est la procédure de base? Sont-ils toujours à leur poste?
C'est comme si on renforçait la banque mais qu'on gardait le banquier tête-en-l'air.

A la base, j'ai une présomption de confiance quand j'inscris mes informations bancaires sur un site de vente mais une fois qu'une couille arrive, et que des failles de sécurités sont avérées, la confiance disparaît. C'est une réaction naturelle. Si demain la même chose arrive avec le Xbox Live, je réagirais de la même façon.

Mais qu'est ce qu'on en sait que les concurrents crypte les données personnels?
Franchement c'est une question.

__MaX__ a écrit :


Ouais enfin quand même là, faut pas abuser. Tes données ont été compromises ok. Mais après, il y a combien de chances pour que tu aies VRAIMENT un problème dans les temps à venir ?

Donc le geste est tout de même pas dégueu.

Ok j'avoue, en fait j'espérais secrètement qu'ils s'excusent pour avoir souillé le monde du jeux vidéo depuis 1995, d'avoir contribué à la mort de Sega, d'avoir commencé à casualisé les jeux vidéos, en se faisant seppuku à la fin de la conférence de presse. Mais apparemment cela ne s'est pas produit ainsi... :/

kmplt242 a écrit :

d'avoir commencé à casualisé les jeux vidéos

:/

Ah bon?

lionheart a écrit :
Mais qu'est ce qu'on en sait que les concurrents crypte les données personnels?
Franchement c'est une question.

On n'est jamais sûr à 100% mais disons que Microsoft a une certaine connaissance en la matière étant donné que la société travaille dans les systèmes d’exploitation depuis 1975.
On peut imaginer que le fait d'être confronté depuis des décennies à des attaques de hackers contribue par la force des choses, à proposer le minimum en matière de sécurité pour sa plate-forme Xbox Live, ce qui sous-entend qu'il y a, au moins, un cryptage des mots de passe (ce que Sony n'a pas daigné faire).
Je n'ai pas forcement envie de leur faire de la pub, mais j'arrive à croire ce qu'ils garantissent dans ce domaine.

Même si aucun système n'est infaillible, un minimum de sécurité devrait être obligatoire. Sony vient tout juste de le comprendre et c'est un peu dommage.

lionheart a écrit :
Mais qu'est ce qu'on en sait que les concurrents crypte les données personnels?
Franchement c'est une question.

Mais bien sûr que sur le XBL les données personnelles sont cryptées, tout les ingénieurs réseaux savent qu'aucune barrière n'est infranchissable et qu'aucune défense n'est impénétrable, donc le cryptage des données est l'élément premier et essentiel d'une bonne défense, de tel sorte qu'un hacker qui arriveraient à récupérer des données ne puissent pas les exploiter sans perdre un temps fou à les décrypter. Sony a tout simplement omis l'essentiel dans son système de défense, c'est impardonnable.

xiam a écrit :



Ah bon?

Pas dans le même sens que Nintendo c'est sûr, mais ce sont les les premiers à avoir voulu rendre le jeux vidéo "adulte" où malheureusement adulte = CSP+ dans leur langage...

Leto a écrit :

Mais bien sûr que sur le XBL les données personnelles sont cryptées...

Mais bien sûr que non c'est pas évident du tout. Lionheart a raison de demander ça. Vous dites tous ça du genre "le cryptage c'est le B.A BA... Sony sont les seuls incompétents..." oui pour le point 1, non pour le point 2.

On en voit à la pelle dans les clients des gars qui ont des bases de données monstrueuses avec des tonnes d'infos clients qui ne sont pas sécurisées pour un sou.

Avec tout ce que j'ai vu aujourd'hui en bossant sur divers types d'ERP ou de BDD provenant de sites, intranet & co... je mettrais ma main à couper que même sur des domaines ultra publics comme le PSN ou XBL : un sur deux n'est pas sécurisé comme il faut et crypté au niveau des données à ne pas divulguer.

Excuses moi mais sur le PSN les identifiants et mot de passe étaient stockées en clair, personne et là je suis catégorique, personne ne stocke un mot de passe en clair.

Ecoute, je veux pas faire mon gros con de développeur chiant. Mais je te dis que si. T'as lu la moitié de mon message ou quoi ?

J'ai récupéré des dizaines de bases clients où les mots de passe et / où les cartes bleues sont EN CLAIR. Je ne peux pas donner de nom, mais je pourrais t'en citer au moins deux chez qui tu peux probablement aller quotidiennement.

Tu sais apparemment mieux que moi, mais même de grosses API, plutôt que de mettre des gens réellement compétents dessus, on cale le petit stagiaire de passage qui en a un peu rien a foutre de l'application qui stocke les comptes utilisateurs. Il est plus intéressé par le C et l'assembleur alors il fait ça par dessous la jambe et ne prends pas le temps d'encoder tout ça.

Et tout ça pour quoi ? Pour éviter de payer des bons gros spécialistes qui font bien leur boulot.

Leto a écrit :
Excuses moi mais sur le PSN les identifiants et mot de passe étaient stockées en clair, personne et là je suis catégorique, personne ne stocke un mot de passe en clair.

Je suis d'accord, à moins d'avoir une raison valable, seul le hash est stocké en base. Mais franchement quand ils disent qu'ils ont pas crypté le mot de passe, je suis sceptique, parce que du coup, je vois pas l'intérêt de faire une phrase pour s'en souvenir, si le mot de passe était décryptable, suffit de l'envoyer en clair par mail.

Pour confirmer les dires de __MaX__ j'ai bossé dans une boite, où on stockait les numéros de CB en clair (pendant une durée très courte), mais si j'avais voulu, j'aurais pu me gaver de numéro de CB.

__MaX__ a écrit :
Et tout ça pour quoi ? Pour éviter de payer des bons gros spécialistes qui font bien leur boulot.

Le principal est qu'on soit d'accord, Sony n'a pas fait correctment son boulot. Qu'il ne soit pas le seul dans ce cas n'excuse rien, et je pense tout de même que pour une entreprise et une base de données de cette taille ils doivent être l'exception.

Leto a écrit :
Qu'il ne soit pas le seul dans ce cas n'excuse rien.

Je suis d'accord, mais ce que je trouve le plus ahurissant, franchement, c'est que quelqu'un ai put franchir leur sécurité, je sais pas si c'est à cause du fameux FW qui transforme les consoles en debug, mais les données plus ou moins cryptées, c'est pas ce qui me choque le plus.

Ca ne veut rien dire "grosses boites", ils n'ont pas plus envie de dépenser du pognon que les autres, même parfois moins...

On travaille avec des "grosses boites", ils sont bons pour se palucher en réunion marketing, mais les boulettes techniques côté informatique : à coté les petites structures qui font tout pour paraitre professionnelles et sérieuses n'ont vraiment pas à rougir.

Leto a écrit :

Le principal est qu'on soit d'accord, Sony n'a pas fait correctment son boulot. Qu'il ne soit pas le seul dans ce cas n'excuse rien, et je pense tout de même que pour une entreprise et une base de données de cette taille ils doivent être l'exception.

C'est ça le problème, c'est que tu "pense" mais t'en sait rien ni tout. Donc ok sony c'est des glandu et blabla, mais il est impossible d'affirmée que chez les autres c'est sans risque ou mieux.

lionheart a écrit :
Donc ok sony c'est des glandu et blabla, mais il est impossible d'affirmée que chez les autres c'est sans risque ou mieux.

Le seul truc dont on est certain c'est que les autres n'ont pas perdu 77 millions de données sensibles dans la nature. Ca leur laisse une certaine marge de confiance auprès de leurs utilisateurs.

Ce qui est rigolo, c'est qu'à force de faire des news paris match CBL a oublié de noter une des informations les plus importantes de la conférence; à savoir que les mots de passe n'était pas en clair ni encryptés mais hashés.

Les paiements sur le psn étaient normalement certifiés PCI, ce qui veut dire que sauf si Sony a fait n'importe quoi tout ce qui est CB était encrypté, stocké de manière complètement séparé du reste des infos et sans jamais sauvegarder le numéro de securité à trois chiffres*.

Jusque là Sony a toujours très clairement dit n'avoir aucune idée sur le fait que les infos bancaires ont été volées ou non, et je n'ai pas non plus vu de messages de personnes ayant eu leurs comptes siphonnés, si les voleurs avaient bien choppé toutes ces infos je ne suis pas sur qu'ils attendraient que tout le monde ait bien renouvelé sa carte avant de s'en servir.

* un tel marchand n'a besoin de le valider qu'une seule fois, après quoi il peut vous débiter à nouveau sans le code. Le but de ce code à la base est de vérifier que la carte est bien en votre possession, ça n'est en aucun cas un mot de passe ou assimilé.

Lepidosteus a écrit :
Ce qui est rigolo, c'est qu'à force de faire des news paris match CBL a oublié de noter une des informations les plus importantes de la conférence; à savoir que les mots de passe n'était pas en clair ni encryptés mais hashés.

Source ? Parceque d'après Joystiq, c'est pas le cas.

sandeagle a écrit :
Le seul truc dont on est certain c'est que les autres n'ont pas perdu 77 millions de données sensibles dans la nature. Ca leur laisse une certaine marge de confiance auprès de leurs utilisateurs.

Peut être que oui peut être que non. Un hack bien fait n'est pas détectable et même si ça l'est si la firme victime juge qu'il n'y a pas de risque financier, genre vole de CB, elle peut très bien taire l'affaire.

ça n’excuse en rien Sony mais faut pas croire que les autres sont irréprochable et qu'ils s'amusent a faire des communiqués de presses a chaque problème info aussi grand soit-il.
La sécurité info c'est un peu un grand cirque privée où tout le monde sert les fesses le plus fort possible.

J'en suis sur que si Sony aurait pu étouffer l'affaire dès ces début il l'aurait fait. ça expliquerai les 5 jours de latence entre le hack et les premières explications.

Bref c'est compréhensible de ne plus avoir confiance en sony mais c'est être complétement naïf de penser qu'on peut avoir une totale confiance en d'autre sociétés. Le risque zero n'existe pas, on en est même très très loin.