Si vous avez manqué la première partie, en voici un résumé :

• Fait 1 : Un fabricant de console doit lutter contre le piratage
• Fait 2 : les consoles de jeu sont de plus en plus connectées
• Fait 3 : Les jeux sont de plus en plus immatériels
• Fait 4: Sony s'était ouvert à Linux
• Fait 5 : Sony s'est violemment rétracté de Linux
• Fait 6 : À la guerre contre le piratage, on ne peut que perdre

Sony a commencé depuis hier à reprendre ses opérations online, mais, coup de théâtre, le gouvernement Japonais vient d'interdit à Sony de réouvrir son PSN au Japon, sous réserve de prouver qu'il a pris les mesures adéquates. Vous verrez dans mes articles en quoi cela va bien au-delà de mesures techniques simples.

Reprenons mon argumentaire là où nous l'avions laissé hier.

Fait 7 : Sony est un conglomérat de baronnies, comme le fut Philips

À l'absurde. Il était possible de deviner quel secteur de la zaïbatsu avait conçu un lecteur minidisc en regardant la forme du mécanisme d'insertion. Idem pour les téléphones portables (avant la fusion avec Ericsson) rien que sur la navigation des menus...

Dans les années 1990s, Philips, la multinationale hollandaise, a faillit couler suite aux guerres picochrolines entre ses différentes divisions. La solution a été radicale : revendre des usines, virer des managers, supprimer des échelons de décision, se recentrer sur un secteur restreint d'activités.

Sony a revendu à moitié ses téléphones portables à Ericsson, ses activités tv, cinéma et musiques, ses services bancaires et d'assurance... Mais à moitié. Et malgré la présidence du groupe par un non-Japonais (toute récente, n'oublions pas qu'Howard Stringer n'est devenu CEO qu'en 2005), il semblerait que les étapes internes de décisions soient toujours aussi protocolairement compliquées.

Il faut avoir bossé avec de très grands groupes Japonais, et recueilli des confessions de cadres pour imaginer combien le poids sociétal est quasi-féodal, la hiérarchie soucieuse du respect des procédures parfois absurdes.
Et pourtant, selon les informations que j'ai, Sony est l'une des très grandes boîtes Japonaises qui offre le plus de place à l'innovation venue de ses employés de base.
Mais cela veut dire que le moindre défaut d'un produit, d'un service repéré par un salarié de la multinationale doit quand même passer par un nombre absolument kafkaïens de filtres avant de pouvoir être corrigé. Principe applicable dans n'importe quelle entreprise de taille conséquente : Y'a des chefs de secteurs qui ne peuvent pas se sentir entre eux.

Fait 8 : Sony s'est plus préoccupé de sécurité pour empêcher le piratage des jeux que pour protéger des données personnelles de ses clients

La majorité des upgrades du logiciel de la PS3 (et pas uniquement la toute dernière) a plus été dans l'optique de corriger des bugs empêchant des bidouilles de la console que de réels bugs de fonctionnement ou d'interface.
La fameuse mise-à-jour qui a retiré Linux des PS3, le firmware 3.21 en est un exemple patent.

D'un autre côté, comme le dit Bruce Schneier (pour une fois dans un quotidien Français), il est impossible de se prémunir d'une manière définitive contre les bugs, et dès qu'on est en réseau impossible d'être absolument sûr d'être imperméable contre toute intrusion dans le futur.

Fait 9 : Parlez de sécurité informatique dans une entreprise, c'est la soupe à la grimace

Quant une entreprise commence à faire une certaine taille, et comporte donc un nombre conséquents d'ordinateurs/de systèmes experts/de services intranets/de serveurs sur internet, on est obligé de mettre en place une Direction Informatique. Cette D.I. va devoir mener une politique logicielle, décider si la flotte d'ordinateurs dans les bureaux est achetée ou louée, si leur gestion quotidienne vaut le coup de payer 3 “standards nerds” au sous-sol ou de la sous-traiter à un helpdesk en Inde.

Bien souvent, le D.I. se trouve vite débordé sur les questions purement métier (et par le PDG qui n'arrive pas à connecter son iPad au proxy en domaine Windows), et doit donc s'adjoindre d'un Directeur de la Sécurité Informatique.
Selon le mode de gestion choisi de la flotte, le D.S.I. est incapable de savoir ce que déploie dans son dos l'helpdesk Indien, ou sinon c'est un ancien barbouze dont le simple regard fait fuir la moindre demande d'ouverture du proxy de l'entreprise.

Or, dans les faits :

• La sécurité informatique coûte cher, très cher ;
• L'apport de la sécurité informatique n'est jamais quantifiable financièrement sur un bilan trimestriel exigé par les fonds de pensions actionnaires, sinon sur une ligne de dépense ;
• une politique S.I. (sécurité informatique) mal menée peut tendre vers le syndrôme du “Proxy À La Con” et donc un rejet par les employés et les supérieurs.

Je vous avais dit qu'il y a des chefs de secteurs qui peuvent pas se sentir dans la même pièce...

Fait 10 : Un service en ligne de jeu demande un lag extrêmement court

Inimaginable, quand on joue à un jeu de baston massivement multijoueur, d'avoir un temps de réponse (lag) supérieur à l'image élémentaire, soit en général 1/60^ème de seconde. Et ceci en comptant l'aller-retour avec sa box ADSL, l'infrastructure de son FAI, les liaisons plus ou moins directes avec le data-center du constructeur de votre console et la vitesse de la lumière.
Ajouter un firewall et des mesures pro-actives de sécurisation (notamment une authentification séparée du serveur de jeu, sans aller jusqu'à l'emploi d'un serveur Radius), c'est autant de temps mort ajouté. À ce stade, le paramétrage des applications serveurs et des moyens de sécurité est largement plus difficile que de gérer une plateforme d'hébergement e-commerce.

Cela doit m'obliger à rester humble et ne pas m'autoriser à me mettre à la place des administrateurs Sony. Néanmoins, Il y a des choix qui ont été impardonnables.

Fait 11 : Il n'y a pas de gestion sécurité préventive chez Sony

C'est peut être la leçon la plus amère qu'ils ont dû apprendre pendant ces deux mois infernaux :

• une seule clé cryptographique maître était utilisée pour signer TOUS les jeux. La prudence aurait voulue d'en créer plusieurs et de mettre un système pseudo-aléatoire pour compliquer son décryptage. Manque de bol, non seulement elle a été cassée (je rappelle qu'il s'agit de chercher deux nombres premiers dérivés), mais de là, il a suffit d'une simple clé USB pour transformer n'importe quelle console de salon en devkit “officiel”. Il devenait impossible pour une console de voir si un jeu était genuine ou piraté. Niveau protection de propriété intellectuel, c'est faute lourde ;
• probablement aucune gestion de renouvelement des clés SSL sur les serveurs web/online, par exemple tous les ans, ce qui aurait au moins mis à jour les conditions d'accès, limité les dégâts d'infiltrations entre serveurs et réduit la portée de la faille openssl ;
• Sony dit que les numéros de carte bancaires étaient à l'abri sur un serveur à part. Sauf que contrairement aux sites sérieux de VPC en France où seule la banque est habilitée à vous demander le numéro de CB et son code, Sony stockait ces numéros. Et cela s'est vérifié quand une liste de données compromises du PSN a émergé avec des numéros de comptes bancaires valides ;
• les serveurs n'ont jamais connu de mise à jour logicielles, alors qu'en interne les failles relevées étaient connues depuis au moins 6 mois avant la découverte du piratage et indiquées dans les forum intranet de Sony. Visiblement personne de la gestion des serveurs frontaux n'a pris la peine de les lire ;
• n'importe quelle société d'audit de sécurité qui aurait trimbalé ses sondes vers les serveurs du PSN et autres services payants de Sony aurait vu ses écrans virer au rouge : pas de protections du type firewall, indication en clair des versions logicielles utilisées, versions totalement périmées. Ce qui veut dire que personne n'a songer à commander un audit à une entreprise spécialisée ;
• la sécurité informatique ne s'est donc limitée qu'à la protection des jeux et des Blu-Ray. Le mode de “protection” est tout aussi discutable : il n'a consisté qu'à faire du lobbying auprès des gouvernements (notamment via les “accords” ACTA) et à traîner en justice toute personne qui tentait de réactiver Linux sur la console qu'il a acheté.

La politique préventive en interne, c'est « on attend que ça pète, on agira en conséquence ». Soit, ça peut marcher, mais perso je ne la conseille pas.

Fait 12 : Dans le cas d'une intrusion crapuleuse, plus elle est discrète, mieux c'est

Pour les néophytes, ce que l'on appelle du “vol” est impropre : Les données ne disparaissent pas, mais sont copiées. C'est pour ça que ceux qui s'y connaissent parlent de “contrefaçon” quand on copie un MP3 ou un DivX, ou de “duplication non-autorisée” dans le cas d'une telle base.

Si donc on a aucune preuve de l'intrusion, ou aucun historique qui permet de savoir qui accède à quoi, il est strictement impossible de remettre en cause la confidentialité d'une base de donnée. Tant que vos e-mails arrivent tous dans votre boîte-aux-lettres, vous n'avez aucune raison de croire que quelqu'un les lit à votre insu. Encore une fois, c'est Grand Gourou Bruce Schneier qui le dit

Donc les pirates ont dû avoir accès durant une période probablement longue aux bases de données compromises, et de là, accéder aux autres serveurs du réseau, à l'intranet, aux e-mails, etc... Et comme on parle de captures de données bancaires, plus les pirates restent dedans, plus il gagnent malhonnêtement leur argent. Ils ont donc intérêt non pas à tout saccager, mais au contraire à s'y faire le plus discret possible. Surtout si aucune opération régulière de changement de clés a lieue.

Il est impossible de savoir la nature exacte des pertes tant que les coupables n'ont pas été pris et parlé.

Fait 13 : Quand Microsoft patche ses serveurs, il sait parfaitement pourquoi

C'est très méchant de ma part d'écrire un inter-titre pareil. Pourtant, il faut avouer qu'avec les multiples failles qu'a connu Microsoft dans ses implémentations d'Internet, ils ont retenu des leçons et peuvent en donner.

Pendant des années, malgré le discours commercial, la religion Microsoft était connue pour avoir des défauts difficilement acceptables : les serveurs IIS étaient incroyablement buggués, les trous dans MS-Windows/MsIE/MsOffice omniprésents, obligés, les défauts, quand ils étaient enfin annoncés, corrigés beaucoup trop tardivement.
Ce n'était pas un souci pour Microsoft, jusqu'à ce qu'ils se rendent compte que les entreprises passaient de plus en plus leurs flottes de serveur sous Linux, et qu'ils risquaient aussi d'y passer tous les PC de leurs employés.

Le SP2 de XP a été une innovation par l'arrivée de Window Snyder dans leur équipe. Vista un premier pas vers une meilleur logique de développement, hélas totalement incomprise des développeurs et des utilisateurs, à cause de trop mauvaises habitudes. Seven est sur la bonne voie. Même si je ne l'utilise pas, je dois reconnaître l'énorme effort qui a été fait.
C'est peut-être car je suis dans l'environnement Unix mais Jamais il ne me viendrait à l'idée à me connecter par défaut en "Administrator". Il a fallut que Vista en fasse une dictature pour que cette évidence entre enfin dans l'esprit de nombre de D.I.

Les observateurs ont remarqué que les logiciels déployés par Microsoft pour ses services online ont toujours suivi les patches sécu le jour même. Voire parfois, les serveurs du X-Box Live, comme ceux de Hotmail et Windows Live, aient servi de tests de déploiement grandeur nature avant d'être proposé aux entreprises clients des solutions Windows Server.

Récemment, le géant du logiciel fermé a plusieurs fois loué les initiatives du monde open-source : release early, release often, respect des standards industriels plutôt qu'imposer ses normes, retour à la gestion en ligne de commande et inciter fortement à une simplification des mises-à-jour logiciels.

Fait 14 : Microsoft relativise le piratage quand il s'agit de hacking homebrew

Pour relancer les ventes de sa console, et permettre l'arrivée de jeux plus casual comme chez Nintendo, Microsoft a conçu la Kinect, une caméra intelligente motorisée et à notion de profondeur. Dans les communiqués, le géant annonçait que la caméra était inviolable et ne marcherait que sur XBox-360 non-piratées. Il était évident qu'elle comportait aussi un module supplémentaire de « déni d'utilisation détournée » non autorisé.

Lors de la sortie du Kinect, il a fallut moins d'une semaine pour que cet accessoire purement prévu pour la X-Box 360 aie un driver open-source, soit interfacé sur des Linux dans des applications plus qu'intéressantes. 15 jours après la sortie, après avoir fait gronder ses avocats, le fabricant de Seattle a viré cuti, a tue les menaces de poursuites, va proposer un kit de développement grand public officiel (sous Windows).
Beau joueur, Microsoft espère ainsi récupérer du crédit qu'il a fort exécrable auprès des hackers développeurs, ceux qui avaient préféré une PS3 à cause de son Linux plutôt qu'une X-Box 360. Faune de bricoleurs qui désertaient la plateforme Windows pour les technos open-source voire purement web.
“Hackers” s'entend ici au sens originel de “bidouilleur” et non de criminalité. Si Bill Gates a toujours haï les hackers, il a quitté l'entreprise qu'il a fondé.

Au début des années 2000s, Microsoft vantait son programme “MVP” (Most valuable Professionnal) comme un diplôme valorisant pour les entreprises. Mais ce ne sont pas forcément des anôneurs de manuels qui créent les outils de demain.
Le vivier des créateurs de technologies est plus dans les bidouilleurs dans leurs garages que des grandes écoles. Pour entrer chez Google, par exemple, on vous demande de montrer des réponses astucieuses, déployer des solutions déjà toutes faites n'intéresse pas une société en quête d'innovation.

Suspension de séance

Eh oui, encore, mais demain, c'est ma conclusion.

• Fait 15 : Il n'y a pas de gestion d'accident chez Sony
• Fait 16 : Anonymous n'est pas un groupe pirate, n'est pas une mafia d’extorsion, ce sont des clients
• Fait 17 : un mois offline, une facture d'au moins 1 000 000 000 $ pour le constructeur
• Fait 18 : Sony a dû platement s'excuser devant la commission sénatoriale Américaine
• Fait 19 : La législation Américaine est plus sévère sur la perte de données personnelles que l'Europe
• Fait 20 : Hadopi exige du citoyen un niveau de sécurité informatique que les ayants-droits sont incapables d'appliquer
• Conclusions

En attendant, les commentaires vous sont toujours ouverts, mais gardez à l'esprit que j'ai peut-être gardé des points importants de ma démonstration pour le suspens...