Pour la première fois de ma vie, quelqu’un a réussi à me pirater. Une petite humiliation pour le journaliste tech que je suis, qui protège pourtant tous ses comptes avec des mots de passe robustes différents, de la double authentification (2FA) et des clés d’accès (passkeys) dès qu’un service est compatible. Mon compte PlayStation était, selon moi, très bien protégé : j’utilisais un code 2FA depuis des années et, depuis l’arrivée des passkeys, utilisais exclusivement la reconnaissance faciale de mon iPhone pour y accéder.
Pourtant, quelqu’un a réussi à m’avoir. À 14h51 le 22 décembre, j’ai reçu un message inquiétant : « Cet e-mail confirme que l’ID de connexion (adresse e-mail) de votre compte a été changé ».
11 minutes plus tard, nouveau mail, cette-fois ci signé PayPal : « Vous avez payé 9,99 € EUR à Sony Interactive ». J’ai immédiatement basculé en mode parano, contesté le paiement sur PayPal et changé mon mot de passe. Puis j’ai tenté de me connecter à mon compte PlayStation : le mail n’était plus attribué. J’ai allumé ma PS5 : totalement déconnectée. Mon application PS : pareil. Quelqu’un avait réussi à contourner mon passkey, à se connecter à mon compte, à me prendre de l’argent et à changer le mail. Wow.
Sony m’a rendu mon compte… puis le hacker l’a de nouveau volé
Dans un premier temps, j’ai d’abord suspecté une vieille fuite de données. Si le contournement du 2FA et du passkey me semblait impossible, je me suis dit qu’une fuite du mot de passe, elle, était tout à fait plausible. J’ai donc contacté Sony par téléphone, attendu 40 minutes et je suis tombé sur un employé étrangement très détendu, qui m’a rendu mon compte en moins de cinq minutes. Ses questions ne m’ont alors pas alerté, mais auraient dû. Il m’a demandé :
- Mon pseudo PSN.
- Un numéro de transaction dans une ancienne facture, peu importe l’année.
- … c’est tout.
En seulement quelques minutes, mon mail était de retour et j’ai pu créer un nouveau mot de passe, avec passkey évidemment. J’ai alors constaté les dégâts : le hacker, qui se fait appeler « Derol Bodden », a payé pour changer de pseudo (d’où les fameux 9,99 euros), supprimé tous mes amis, toutes mes conversations, mon pays d’origine, ma photo, etc. Il s’est réattribué mon compte, sans doute pour le vendre (avec les quelques jeux dématérialisés, désolé Derol, j’achète surtout du physique). En recherchant rapidement la nomenclature de son nom dans la barre de recherche, j’ai découvert qu’il y avait d’autres comptes « BJ-_ », ce qui me laisse suspecter que je ne suis pas la seule victime.
Et puis, Derol est revenu. J’ai récupéré mon compte à 17h28, je me le suis fait voler une seconde fois à 18h04. Même mode opératoire : « Cet e-mail confirme que l’ID de connexion (adresse e-mail) de votre compte a été changé ». J’ai d’abord été très énervé, puis j’ai eu un peu peur. Si quelqu’un a réussi à contourner mon passkey deux fois, a-t-il accès à mon navigateur et à mes cookies ? Surveille-t-il mon activité réseau ? Faut-il que j’efface mon ordinateur en urgence et que je mette feu à mon bureau ? J’ai évidemment épluché tous les logs de mon ordinateur, sans rien trouver d’alarmant.
18 heures passées, le service client de Sony ne répond plus. Impossible donc de débloquer la situation, d’autant plus que le support US refuse de m’aider : chaque pays a sa propre assistance. J’ai alors contacté tous les Derol Bodden de Facebook avant d’avoir une révélation : comme mon compte PayPal a été suspendu suite au litige, le hacker ne peut plus payer pour un changement d’identifiant. J’ai créé un nouveau compte PlayStation… puis j’ai contacté mon pseudo qui, sans surprise, n’avait pas changé.
Surprise : le hacker m’a immédiatement répondu. Il s’est d’abord moqué de moi en me demandant de contacter l’assistance, histoire de me faire comprendre qu’il reviendra constamment et que ça ne servait à rien. Et puis, pour une raison mystérieuse, il a commencé à être plus collaboratif. J’ai joué la carte du gentil journaliste qui ne lui en veut pas et aimerait comprendre ce qu’il s’est passé, il a donc décidé de m’expliquer (dans un vocabulaire assez enfantin, qui me fait suspecter qu’il ne parle pas bien anglais).
Une faille sur la réattribution des comptes : Sony permet de réclamer la paternité d’un compte trop facilement
« J’ai piraté ton compte grâce à un numéro de transaction que tu as publié sur une page », m’indique le hacker.
Vous vous rappelez mon appel avec le service client quelques minutes auparavant ? On m’avait demandé un numéro d’une ancienne facture comme preuve d’identité, rien d’autre. C’est ce que fait le hacker, en boucle. Il prétend « avoir codé une app » pour accéder aux serveurs de Sony, ce qui est difficile à vérifier (j’attends toujours une vidéo qu’il m’a promise). Le plus probable est que le hacker contacte Sony ou qu’il ait automatisé un script pour voler des comptes. Il lui suffit d’indiquer « on m’a volé mon compte LellNico, voici un code d’une facture de 2020 »… et il peut changer mon mail et accéder à mes données personnelles. Et comme le service client de Sony n’est pas très malin, il ne trouve pas bizarre que trois personnes réclament le même compte en trois heures. Les appeler ne servira à rien : il reviendra à chaque fois. D’ailleurs, le service client en ligne de Sony est très inhumain : impossible de leur expliquer que j’ai compris d’où venait la faille, les réponses sont des copier-coller appris par cœur. Impossible de parler à un responsable : on m’a dit non. On peut imaginer que le hacker passer par là : l’agent conversationnel ne vérifie rien.
À aucun moment, Sony n’a jugé nécessaire de demander la date de naissance, la ville de naissance, le nom de jeune fille de ma mère ou je ne sais quelle information essentielle. À quoi bon sécuriser son compte avec un passkey si un simple numéro de facture se transforme en porte dérobée ?
Reste une question essentielle : comment a-t-il obtenu un numéro de facture ?
Je plaide coupable, c’est ma faute. En avril 2023, j’avais écrit un article sur les mails agaçants de Sony à chaque téléchargement, qui allaient s’arrêter. Dans cet article : j’ai glissé une capture d’écran avec un numéro de facture, ce que je pensais sans aucun risque, puisque cette donnée ne sert à rien sur les autres plateformes. La capture a été supprimée entre temps, mais des gens malveillants l’ont enregistrée et l’ont partagée quelque part (fun fact : je me rappelle d’un DM reçu sur X d’un lecteur qui me disait « fais gaffe, il y a ton numéro visible »). Ces personnes semblent se spécialiser dans le vol de comptes : il est probable qu’elles fouillent aussi des boites mail piratées à la recherche de numéros de transaction.
Puisqu’il suffit d’avoir le pseudo et le numéro pour que ça fonctionne, alors un compte peut être dérobé en illimité. Sony a conçu un système trop simple à contourner, qui encourage le piratage et qui ne se remet pas en question. Chaque fuite permet théoriquement d’absorber des centaines de comptes PlayStation sans vérification.
À la suite de mon tweet, plusieurs internautes m’ont indiqué avoir connu des piratages similaires, parfois sans solution (le service client refuse de rendre le compte car il ne sait pas authentifier le vrai et le faux propriétaire). On m’a appris que le numéro de transaction n’était pas la seule donnée obligatoire : Sony accepte aussi les derniers numéros de la carte de paiement ou le numéro de série d’une console… y compris s’il s’agit d’une ancienne console ou d’une ancienne carte.
Les « hackers » n’ont donc rien à faire à part se faire passer pour l’individu en question : changer son mail, son pseudo ou sa carte ne change rien. Mon pirate m’a d’ailleurs indiqué être à la recherche d’un compte avec le jeu Arc Riders et avoir ciblé mon compte au hasard. Pas de bol, je ne le possède pas.
Je m’interroge aussi sur la valeur qu’accord Sony aux comptes de ses utilisateurs ? L’entreprise, qui pousse les joueurs à acheter des titres dématérialisés, peut-elle vraiment aussi peu protéger les comptes ? Chez Apple ou Google, par exemple, la récupération d’un code sans preuves est très complexe, pour ne pas dire impossible. Ici, n’importe quel proche avec un accès à une boîte mail peut dérober un compte. Et n’importe quelle fuite de données (mails, numéros CB, etc.) peut aider un inconnu, parfois à l’autre bout du monde, à revendiquer un compte. Plusieurs lecteurs de Numerama nous indiquent avoir aussi été victimes, tandis que plusieurs lanceurs d’alertes tentent de prévenir Sony depuis des années. Mais l’entreprise n’a jamais répondu.
Est-il possible de récupérer et sécuriser son compte ? Et de mettre fin à la boucle infernale ?
Vais-je récupérer mon compte ? Pour l’instant, je suis dans l’attente. Le hacker m’a dit qu’il hésitait à me le rendre, mais ne répond plus (il a pris un peu peur quand je lui ai proposé de discuter via Signal ou Telegram…).
Du côté du service client de Sony, j’ai de nouveau tenté de les joindre. Après 30 minutes d’attente (!!!), je suis tombé sur un interlocuteur formidable, qui a très bien compris la problématique. Après lui avoir fait part de mes doutes sur la sécurité de mon compte, j’ai soudainement eu le droit à plein de questions. Date de naissance, mail original, pseudo original… Comme quoi, Sony peut.
Pour l’instant, ma demande a été mise en attente, avec un délai de 5-10 jours pour avoir une réponse (le compte aurait été suspendu entre temps). Sony confirme qu’il y a eu de l’activité suspecte sur le compte : quelqu’un a supprimé toutes mes données le 22 décembre. Ça ne l’a pas empêché de redonner mon compte au hacker la veille, mais l’entreprise dit qu’il y a désormais un code rouge sur mon profil.
J’ai signalé le mode opératoire du hacker : le service-client m’a indiqué que je n’aurais pas dû publier ce numéro et qu’il n’existe pas de moyen de le bloquer. Sans intervention du service technique, impossible de s’assurer que le pirate ne reviendra pas. Impossible de joindre le service presse PlayStation en parallèle : il faut dire que la période des fêtes n’est pas idéale. Aucun des trois numéros que l’on m’a transmis ne répond.
Le principal problème est qu’il semble, en l’état, impossible de sécuriser un compte. Sony doit, en toute urgence, mettre en place un système plus coriace pour vérifier une identité. Pouvoir supprimer un vieux reçu du registre devrait être possible : en l’état, n’importe quelle facture permet de voler un compte (je ne crois pas que les autres grands groupes soient aussi simples). Et le passkey et le 2FA, bien que vivement recommandés, ne changent rien. Peut-être qu’il faudrait obliger une vérification de l’identité et un croisement de données personnelles ?
Spoiler : le hacker m’a envoyé un message 10 minutes après pour me dire que personne ne le retrouvera, donc il y a encore accès
Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.
Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !