De notre correspondant à Los Angeles

Bruce Schneier est une légende de la cryptographie, capable de s'adresser aux übergeeks (Applied Cryptography, en 1996) comme au grand public (Beyond Fear, 2003). Pour 20minutes.fr, le Chuck Norris de la sécurité informatique revient sur le feuilleton de l'attaque contre le Playstation Network, alors que les hackers d'Anonymous démentent à nouveau être responsables.

Pendant six jours, Sony a dit ne pas être en mesure de vérifier si les numéros de cartes bancaires avaient été mis en péril (finalement ceux de Sony Online Entertainment l'ont été). Est-ce possible de ne rien savoir?

Oui. Quelle est la dernière fois que des pirates ont accédé à votre ordinateur personnel? Aucune idée? Exactement. C'est possible que les hackers n'aient pas laissés de trace. C'est aussi possible que Sony ne les ait pas détectées. Ou qu'il ait menti. On ne sait pas. On n'a aucune information précise sur l'attaque ou la sécurité en place chez Sony. Le fait que l'entreprise change sa version des faits n'aide pas.

Finalement, Sony dit désormais que les mots de passe étaient protégés par une fonction de hachage (qui transforme une chaîne de caractère de longueur variable en une autre, différente, de longueur fixe). Un tel système est-il efficace?

Là encore, cela dépend. Dans l'absolu, avec une fonction robuste, il est quasi impossible de retrouver un bon mot de passe. Mais si la fonction est moins complexe, des hackers peuvent comparer le hachage de mots de passe classiques à ceux qu'ils ont dérobés et en identifier certains.

Sony n'a pas vraiment donné de précision au gouvernement américain. Ce dernier ne peut-il pas forcer l'entreprise à révéler des détails?

C'est sans doute possible dans le cadre d'une enquête criminelle, sur ordre d'un juge. On n'en est pas là. Une entreprise victime d'une attaque refuse en général de trop donner de détails. Souvent pour ne pas avoir l'air stupide.

L'attaque aurait-t-elle pu aussi facilement toucher des systèmes concurrents?

Sony n'a-t-il pas eu de chance? Peut-être. A-t-il été négligent? On ne peut que spéculer. Ceux ou celui derrière l'attaque peuvent aussi bien être des pirates amateurs que des espions industriels ou des cybercriminels. Une seule chose est sûre: une intrusion informatique, c'est comme un meurtre, il est impossible de la prévoir, de s'en protéger ou de l'éviter à 100%.

Quelles mesures de sécurité Sony et les autres sites marchants doivent-ils prendre?

Vous avez le temps de lire un rapport de 50 pages? On ne peut pas résumer une approche globale en deux ou trois points qui sonnent bien dans un journal.

Et les utilisateurs?

Vous pouvez Googler «comment choisir un bon mot de passe» et ne pas utiliser le même pour tous vos services. Tout le monde conseille ça, comme une formule magique. La vérité, c'est qu'on vit dans une certaine ignorance. On confie de plus en plus de données à des entreprises, et on leur fait confiance, aveuglément, pour qu'elles en prennent soin, sans véritable base rationnelle. C'est comme ça.

Dans 20 ans, des avancées pourront-elles offrir des systèmes inviolables?

Des avancées sur les systèmes et les connaissances actuelles? Sans doute pas. En revanche, une vraie découverte, un truc que personne n'avait vu venir? Possible.