Voici une chronologie des principaux événements associés à l’attaque des services en ligne PlayStation Network et Qriocity de Sony.
Sony : Nous avons crypté les données des cartes de crédit des clients de PlaStation Network
Les dates sont données par rapport aux annonces du siège de Sony Computer Entertainment à Tokyo. Les dates correspondant aux annonces de l’unité américaine de Sony sont indiquées entre parenthèses.
Mardi 19 avril
Sony a appris que ses réseaux PlayStation Network et Qriocity avaient été compromis et a commencé une enquête interne. À l’époque, la société n’a pas annoncé cette information. Elle l’a ensuite révélé dans un communiqué publié par la filiale américaine de la société le 26 avril.
Mercredi 20 avril
Lorsqu’elle a découvert une intrusion, Sony a pris sa première mesure publique en fermant les deux réseaux, mais elle n’a pas révélé ce qu’elle savait déjà : les réseaux avaient été piratés entre le 17 et le 19 avril. La société a publié une déclaration indiquant : « Nous sommes conscients que certaines fonctions du PlayStation Network sont hors service. Nous vous tiendrons au courant dès que nous aurons plus d’informations. »
Sony a fait appel à une société de sécurité informatique externe pour commencer une enquête.
Jeudi 21 avril
L’entreprise a déclaré qu’elle enquêtait toujours sur la cause de la panne et qu’il faudrait « un jour ou deux » avant que tout rentre dans l’ordre.
Un message sur le blog PlayStation de Sony Europe suggérait que les réseaux avaient été attaqués. Le message a été supprimé par la suite, mais de nombreux organes de presse spécialisés dans les jeux ont rapporté qu’il disait : « Nos équipes de support enquêtent sur la cause du problème, y compris sur la possibilité d’un comportement ciblé par une partie extérieure. »
Vendredi 22 avril
Sony a révélé pour la première fois la cause des problèmes. « Une intrusion externe dans notre système a affecté nos services PlayStation Network et Qriocity. Afin de mener une enquête approfondie et de vérifier le bon fonctionnement et la sécurité de nos services réseau à l’avenir, nous avons désactivé les services PlayStation Network &Qriocity », a-t-il déclaré dans un communiqué. Le groupe de pirates « Anonymous » a déclaré dans un communiqué que son noyau n’avait rien à voir avec l’attaque, mais le message laissait ouverte la possibilité que des individus du groupe puissent être responsables. « Bien qu’il puisse être le cas que d’autres Anons aient agi par eux-mêmes, AnonOps n’était pas lié à cet incident et n’en prend pas la responsabilité », indique le communiqué. Il accuse Sony de profiter d’attaques précédentes sur son réseau pour expliquer un problème interne aux serveurs de l’entreprise.
(Lire la suite : Le PlayStation Network entre dans sa troisième journée de panne)
Samedi 23 avril
Sony a déclaré qu’il devait reconstruire son réseau à la suite de l’attaque. « Nos efforts pour résoudre ce problème impliquent la reconstruction de notre système pour renforcer davantage notre infrastructure réseau », a-t-il déclaré. « Bien que cette tâche prenne du temps, nous avons décidé qu’elle en valait la peine pour fournir au système une sécurité supplémentaire. »
La société a déclaré qu’elle « travaillait 24 heures sur 24 pour les remettre tous les deux en ligne », mais n’a pas précisé quand ils pourraient revenir. « Nous vous remercions de votre patience jusqu’à présent et vous demandons un peu plus pendant que nous nous dirigeons vers l’achèvement de ce projet », indique le communiqué.
(Lire la suite : Sony « reconstruit » le réseau PlayStation après une attaque)
Dimanche 24 avril
Il a fait appel à une deuxième société de sécurité informatique pour déterminer ce qui s’est passé à l’intérieur des serveurs de la société.
Lundi 25 avril
Un porte-parole de Sony à Tokyo a déclaré à IDG News Service qu’une « enquête approfondie » était en cours. Il a déclaré que la société n’avait pas encore déterminé si les informations personnelles ou les numéros de carte de crédit des utilisateurs avaient été compromis, mais que Sony informerait rapidement les utilisateurs si c’était le cas.
(Lire la suite : Sony n’a pas encore déterminé la portée de l’attaque du PlayStation Network)
Les experts en sécurité informatique auxquels Sony a fait appel ont conclu qu’une violation des données des consommateurs avait eu lieu lorsque le PlayStation Network a été piraté. À l’époque, l’entreprise a attendu le lendemain pour en faire l’annonce.
Mardi 26 avril
Kaz Hirai, chef de la division des jeux de Sony, est apparu lors d’une conférence de presse à Tokyo organisée pour dévoiler les tablettes PC de l’entreprise. Hirai a exprimé ses condoléances et son soutien aux victimes du tremblement de terre et du tsunami de mars, a parlé des nouvelles tablettes et de la façon dont elles pouvaient télécharger du contenu du service en ligne Qriocity, mais a omis de mentionner les problèmes de Qriocity et du PlayStation Network. Il a quitté la scène sans répondre aux questions, comme prévu initialement.
(Lire la suite : Le chef de Sony Games, Hirai, reste silencieux sur la panne du PlayStation Network)
Une douzaine d’heures plus tard, Sony a publié sa déclaration la plus détaillée à ce jour sur le piratage et a confirmé que des informations personnelles avaient été volées. Les informations comprenaient les noms et adresses des utilisateurs enregistrés du PlayStation Network et de Qriocity, ainsi que leur date de naissance, leur adresse e-mail et d’autres informations personnelles.
« Bien qu’il n’y ait aucune preuve à l’heure actuelle que des données de carte de crédit ont été prises, nous ne pouvons pas exclure cette possibilité », a déclaré Sony. Il a conseillé aux clients de créer des alertes de fraude de carte de crédit et de garder un œil sur les frais effectués sur les cartes de crédit liées.
Il a également déclaré que le PlayStation Network et Qriocity seraient de nouveau en ligne « dans une semaine. »
La société a commencé à envoyer des courriels aux clients pour les informer du piratage.
(Lire la suite : Sony : vol de données personnelles d’utilisateurs du PlayStation Network)
Mercredi 27 avril
L’action Sony a chuté de 2 % à la nouvelle de cette fuite de données potentiellement énorme, terminant la séance de mercredi à Tokyo à 2 366 yens, en baisse de 49 yens.
Un recours collectif a été déposé aux États-Unis accusant Sony de ne pas avoir pris « un soin raisonnable pour protéger, crypter et sécuriser les données privées et sensibles de ses utilisateurs ». Elle demande une compensation monétaire et une surveillance gratuite des cartes de crédit.
Sony a publié une Q&A détaillée qui précise que les informations relatives aux cartes de crédit étaient stockées sous forme cryptée et ajoute : « nous n’avons aucune preuve que les données des cartes de crédit ont été prises. » D’autres informations personnelles n’ont pas été cryptées.Jeudi 28 avril
L’action de Sony a chuté de 4,5 pour cent à Tokyo, pour terminer la semaine écourtée par les vacances à 2 260 yens.
George Hotz, le pirate informatique qui a reçu un large soutien de la base après avoir été poursuivi par Sony pour avoir posté un code permettant de jailbreaker les consoles PlayStation de Sony, a imputé la récente violation de données de la société à l’arrogance des dirigeants. « La faute en revient aux dirigeants qui ont déclaré la guerre aux pirates informatiques, se sont moqués de l’idée que des gens puissent pénétrer dans la forteresse qu’était Sony, se sont plaints sans cesse du piratage et ont continué à embaucher des avocats alors qu’ils avaient vraiment besoin d’embaucher de bons experts en sécurité », a déclaré M. Hotz sur son blog. « S’aliéner la communauté des hackers n’est pas une bonne idée ».
(Lire la suite : Hacker de la PlayStation : Sony ne peut s’en prendre qu’à lui-même pour la brèche)
Sony a laissé entendre qu’il envisageait une forme de compensation pour les utilisateurs. Dans un blogue, l’entreprise a écrit : » Nous évaluons actuellement les moyens de vous remercier de votre extraordinaire patience pendant que nous travaillons à la remise en ligne de ces services. «
Des rapports ont circulé selon lesquels 2,2 millions de numéros de carte de crédit volés à Sony étaient offerts sur des forums en ligne, mais le chercheur en sécurité qui a été le premier à signaler ces offres a déclaré qu’elles étaient exagérées. Il a dit qu’il n’avait pas vu la base de données et ne pouvait pas vérifier les affirmations.
(Lire la suite : Les pirates ont-ils vraiment obtenu des numéros de cartes de crédit de Sony ?)
Un comité du Congrès américain a demandé à Sony Computer Entertainment d’expliquer plusieurs questions entourant la fuite potentielle massive d’informations sur les clients.
Dimanche 1er mai
Les dirigeants de Sony se sont excusés lors d’une conférence de presse à Tokyo et ont annoncé des plans pour remettre le PlayStation Network et Qriocity en ligne par étapes. Sony a déclaré que les services de jeux en ligne reviendront plus tard dans la semaine et que le service complet reprendra à la mi-mai.