Mag Securs : Que doit-on comprendre de « l’affaire Sony PSN », qu’est-ce qui a été volé et en quelle quantité ? Données personnelles, données bancaires, cartes de crédit ?
Frédéric Charpentier : Les pirates ont vraisemblablement eu accès à la base de données clients et volé les données personnelles des clients : nom, adresse, date de naissance, email, mot de passe d'accès au PSN, numéros de carte de crédit utilisée pour l'abonnement au PSN. 70 millions d'entrées ont été volées, dont plus de 2 millions de numéros de carte.
Mag Securs : Une société telle que Sony était-elle obligée de respecter le référentiel PCI-DSS de par ses obligations contractuelles en tant que marchand électronique ?
Frédric Charpentier : Oui, elle devait être obligée par une clause contractuelle avec sa banque d'acquisition. Mais rien n'indique s'ils étaient certifiés ou simplement en cours de mise en conformité.Désormais, Visa va imposer à Sony d'être certifié PCI DSS Level 1 immédiatement, sous peine d'amende.
Mag Securs : Peut-on penser, ou imaginer, que nous soyons dans cette affaire face à un cas de non-conformité par rapport à ce référentiel ? Dans cette hypothèse, que peut encourir Sony ?
Frédéric Charpentier : D'après son communiqué de presse, Sony indique que les numéros de cartes étaient stockés de façon chiffrée et que les cryptogrammes visuels CVx2 n'étaient pas stockés. Ces deux points sont la base de la conformité PCI DSS, donc rien d'indique une non-conformité majeure ; mais vu l'ampleur de l'attaque, nous pouvons raisonnablement douter qu'ils étaient certifiés.
Mag Securs : Une conformité totale à ce référentiel aurait-il pu empêcher une telle mésaventure ? Pourquoi ? Quels mécanismes de protection auraient-ils du bloquer l’attaque ?
Frédéric Charpentier : Oui, une conformité totale au standard aurait empêché l'attaque. Les pirates n'auraient pas pu aller aussi loin et pendant autant de temps, car le PCI DSS impose, en plus de mesures de sécurité proactives (restriction des ports TCP/IP, patchs de sécurité, tests d'intrusion, renforcement des systèmes), d'avoir des systèmes de détection d'intrusion, de contrôle d'intégrité et des processus de surveillance des logs d'accès. L'équipe sécurité aurait donc dû détecter l'attaque.
Le PCI DSS comporte beaucoup d'exigences qui constituent plusieurs barrières de sécurité logique ; tout expert en sécurité qui lit de façon attentive la procédure d'audit PCI DSS confirmera qu'il s'agit d'une application extrême du principe "ceinture + bretelles". C'est-à-dire que même si une sécurité était absente (ex: firewall devant la base de données), une seconde sécurité est toujours présente pour bloquer l'attaque (la base n'a pas de mot de passe par défaut) et une troisième est aussi en place (ex: les numéros de cartes sont chiffrés et les clés sont protégées).
Mag Securs : Les travaux d’audit de conformité au référentiel PCI-DSS sont-ils suffisamment bien faits ? Peut-on envisager qu’un certificateur PCI DSS ait été défaillant ? Dans ce cas, qu’encoure-t-il ?
Frédéric Charpentier : Les audits de conformité PCI DSS sont extrêmement stricts, le standard impose un reporting très précis sur les 900 points de contrôles et un processus de revue qualité des rapports d'audit.
Un certificateur PCI (appelé QSA) peut bien sûr faire une erreur, mais sur quelques points seulement. Je ne pense pas que le problème puisse venir d'un audit de défaillance.
Toutefois, si l'entreprise Sony PSN était certifiée PCI DSS, Visa diligentera une enquête "forensic". Les experts analyseront la réalité du niveau de sécurité du PSN et compareront avec ce qui est décrit dans le rapport d'audit PCI (le ROC). Le QSA produira les preuves d'audit qu'il a conservé. Il y a alors deux possibilités :
A) Le QSA a mal fait son travail. Alors des actions en justice pourront être entamées à l'encontre du QSA.
B) L'entreprise a été certifiée, mais n'a pas continué de suivre les procédures quotidiennes de sécurité depuis le dernier audit. En effet, l'audit est annuel, mais entre deux audits, l'entreprise doit mettre en oeuvre plusieurs processus : application des correctifs de sécurité régulière, suivi des comptes, surveillance les événements de sécurité, etc. Dans ce cas, Sony sera mis en cause.
Mag Securs : Avez vous d'autres commentaires à faire sur cette attaque ?
Frédéric Charpentier : Certains détracteurs diront que le standard ne protège pas le SI de l'entreprise. Après des dizaines de mises en conformité et d'audits de grandes entreprises, je peux confirmer que c'est tout simplement faux. Il n'y a qu'à voir les efforts que les entreprises doivent faire pour se mettre en conformité et surtout les réactions que les responsables sécurité ont quand je leur indique que les patchs de sécurité ne sont pas seulement pour les systèmes d'exploitation, mais également pour tous les composants (base de données, framework applicatifs, serveur web, interfaces, etc).
Cette affaire éclate car Sony ne peut pas cacher que le réseau PSN est en panne depuis plusieurs semaines et que de nombreux clients ont vu des débits étranges sur leur compte. De plus, une loi américaine oblige les entreprises à déclarer les vols de données personnelles. Mais il est certain que d'autres vols de cartes et de données personnelles arrivent régulièrement sans que cela paraisse dans la presse.
Rappelons enfin que la loi française (article 34 de la loi Informatique et Liberté) demande aux entreprises de mettre en place des mesures de protection proportionnelles à la criticité des données à protéger, sous peine d'amende. Mais cette loi n'impose pas de déclarer les vols de données.