De notre correspondant à Los Angeles

Dix jours après l'attaque dont a été victime Sony, de nombreuses zones d'ombre persistaient, vendredi soir. A commencer par la question la plus importante: les coordonnées bancaires de ceux ayant attaché leur carte bleue à leur compte ont-elles été dérobées par les pirates.

La polémique a été relancée par un article du New York Times. Kevin Steven, un expert de chez Trend Micro, explique avoir vu, sur des forums des hackers, des informations à propos d'un fichier comprenant 2,2 millions de numéros de cartes bancaires. Les pirates auraient tenté de revendre à Sony les informations, ce que Sony dément.

Kevin Steven a par la suite clarifié sur Twitter, précisant n'avoir pas lui-même vu la base de données, ni vérifié son authenticité. Parallèlement, de nombreux lecteurs, notamment d'Ars Technica, affirment avoir été victimes de transactions frauduleuses. Mais avec 77 millions de comptes piratés (tous n'ont cependant pas une carte bancaire associée), il pourrait très bien s'agir d'une coïncidence et ne pas être lié au piratage du Playstation Network.

Sony revient sur ses affirmations

A la lecture de ces captures d'écran, rien ne permet de confirmer la rumeur. Il s'agit de rapports indirects, sur le refrain l'homme qui a vu l'homme qui a vu le fichier. Sur certains forums et channels IRC (espace de discussion), on trouve bien des hackers jurant qu'ils ont vérifié son existence, mais personne ne veut/peut fournir de preuves, officiellement par peur des conséquences judiciaires.

Un point semble suspect. Le fichier comprendrait toutes les informations, y compris les fameux codes de vérification à trois chiffres (CCV ou CVV2), sans lesquels un numéro de carte bleue est beaucoup moins utile (90% des sites marchants exigent ce code pour prouver que l'internaute a bien la carte entre les mains).

Comment cela est-il possible, alors que Sony expliquait, mercredi, sur son site américain: «Votre CCV n'a pas pu être obtenu car nous ne l'avons jamais demandé» aux membres du Playstation Network (PSN) «et il n'a donc jamais été stocké dans notre système». Problème, comme le montre cet écran, le CCV est bien demandé –une seule fois– à la création du compte, pour authentifier la carte bancaire. Vendredi, Sony a corrigé son message, expliquant: «Nous demandons les CCV mais ne les stockons pas dans notre base de données.»

Autre piste

Archiver les CCV est en effet illégal, selon des directives internationales relayées par Visa et Mastercard. Sony a-t-il malgré tout pu les conserver par erreur (les iPhones ont bien, officiellement à cause d'un bug, conservé un an de données de géolocalisation)? «Ce n'est pas impossible», confie un expert en cybersécurité, passé par le FBI, à 20minutes.fr, sous couvert d'anonymat. Selon lui, c'est «assez peu probable» à l'époque actuelle, mais il y a six ans (date de création du PSN), tout le monde ne respectait pas les recommandations.

Si le fichier (a) existait bien et (b) avec les CCV, Sony ne serait pas forcément le coupable. Certains hackers sont capables d'obtenir ces codes de confirmation avec l'aide d'une taupe dans des organismes bancaires, explique l'expert, mais on se situerait ici à l'échelle du crime organisé. En revanche, d'avoir stocké toutes les autres informations (nom, adresses, mot de passe) sans cryptage, exposant ainsi les utilisateurs à un potentiel vol d’identité par des criminels, pourrait coûter cher à Sony, alors que des actions judiciaires ont déjà été lancées aux Etats-Unis.

Pour l'heure, comme Sony n'a livré aucun détail sur l'attaque, les experts ne peuvent que spéculer sur l'identité des responsables et leur motivation. Du coup, le Congrès américain a écrit à Sony, lui demandant d'apporter des précisions. Le groupe japonais a jusqu'au 6 mai pour s’exécuter. Entre la baisse du cours de son action, les potentiels dommages et intérêts à verser ou un geste auprès des utilisateurs pour redorer son image, l'affaire pourrait bien coûter des milliards de dollars à Sony.