Dans le passé, les consoles de jeu étaient piratables, mais il s'agissait souvent de dézoner les machines ou de lire des jeux gravés. L'arrivée du online dans les architectures a permis de nombreuses choses, mais a également introduit le risque de voir les données utilisateurs volées et les services piratés. Encore récemment, quelqu'un a visiblement empêché un drame de se produire.
La cybersécurité, un enjeu majeur pour les consoliers
Si vous jouez régulièrement à des jeux en ligne, sur console ou sur tout autre appareil connecté à Internet, vous avez déjà sûrement fait face à l'impossibilité de jouer à cause d'une attaque DDoS. Ces attaques par déni de service sont l'arme préférée des pirates, qui submergent les serveurs de requêtes les rendant inaccessibles pendant plus ou moins longtemps. Des attaques d'ampleur on régulièrement lieu, mais peu voire aucune n'arrive à la cheville du piratage du PlayStation Network en 2011, en partie orchestrée par le groupe Anonymous. Suite à une intrusion survenue entre le 15 et le 17 avril 2011, le PSN a totalement été mis hors-service, et ce à l'échelle mondiale.
Les données de 77 millions d'utilisateurs ont été volées, ce qui fait de l'attaque l'une des plus importantes jamais enregistrées. Entre l'inquiétude liées aux données volées et les pertes financières engendrée, la situation était catastrophique. Il a fallu plus d'un mois à Sony pour remettre en état le service, et le relancer région par région, continent par continent. L'affaire du PSNGate a eu longues ramification judiciaires, et a conduit à un renforcement massif des mesures de sécurité. Toutefois, et tout programme étant piratable, les failles n'ont pas disparu. C'est pourquoi, en plus de disposer d'ingénieurs en cybersécurité, les grands groupes publient souvent des offres permettant de se faire de l'argent en détectant des failles.
Il détecte une faille extrêmemnt dangereuse, et gagne 50 000 dollars
Il y a quelques semaines de cela, un spécialiste réseaux nommé Aapo Oksman a signalé une vulnérabilité logicielle à Sony via la plateforme HackerOne. Par le passé, une faille concernant le lecteur Blu-Ray de la PS5 avait pu être corrigée par l'intermédiaire d'une offre de prime publiée sur cette plateforme. En général, une faille présentant un risque élévé est récompensé autour de 10 000 $. Dans le cas présent, Aapo Oksman a empoché pas moins de 50 000 dollars pour avoir débusqué une faille critique au sein du système PS4/PS5.
Recently Playstation closed a HackerOne bug bounty ticket I submitted to the their bug bounty program last year. This caused quite a stir in the Playstation hacking community as the report netted me a bounty of $50,000 given out only for the most critical console vulnerabilities. pic.twitter.com/zk4Ag4186L
— Aapo Oksman (@AapoOksman) January 18, 2024
Récemment, Playstation a clôturé un ticket de prime HackerOne que j'avais soumis à son programme de bug bounty l'année dernière. Cela a fait beaucoup de bruit au sein de la communauté des hackers de Playstation, car le rapport m'a rapporté une prime de 50 000 $, distribuée uniquement pour les vulnérabilités les plus critiques de la console.
La faille allait visiblement bien au-delà de l'utilisation jeux piratés, et aurait pu permettre d'accéder aux données de millions d'utilisateurs. Ce qu’Oksman a réellement découvert grâce à sa découverte n’est pas encore connu. Cependant, en août, lors d'une conférence, il a présenté un outil logiciel qui pourrait être utilisé pour siphonner et manipuler des données lors de la communication d'une PS5 vers les serveurs d'Ubisoft. Son outil recherche les certificats TLS (utilisé lors de la connexion à un serveur de jeu ou lors du traitement de transactions) attaquables dans les demandes de connexion et force leur validation.