Suite et fin de mon regard d'expert, devenu réquisitoire. La première partie, pour ceux qui l'ont manquée Lundi :

et les points abordés hier :

Terminons et à la fin de l'envoi,
je touche.

Contrairement à ce que vous pourrez croire, ma cible n'était pas forcément dans le titre.

Fait 15 : Il n'y a pas de gestion d'accident chez Sony

On aurait pu supposer qu'il suffisait d'installer de nouveaux serveurs avec des versions updatées des logiciels, mais visiblement, le délai d'interruption des services du PSN et associés (plus d'un mois !) montre que le géant Japonais s'est retrouvé dans la situation du poulet sans tête. Que les serveurs aient été coupés était déjà une très bonne réaction. Que rien n'aie été prévu après est une réelle catastrophe.

  • sur le plan technique : durant tout ce laps de temps, les consoles connectées ont une part plus que significative de leurs fonctions qui ne marchent plus ;
  • sur le plan business : comptez le nombre d'éditeurs de jeux impactés ;
  • sur le plan commercial : la contre-publicité est énorme ;
  • sur le plan financier : il faudra donc rembourser d'autant les clients particuliers que les sociétés fournisseuses.
Et quand je dis rien après, c'est même pas installer une solution de replis, qui donne un minimum de connectivité, ne serait-ce que pour jouer en ligne à un nombre restreint de jeux qui n'ont pas besoin de vérifier un compte (libre accès).

À la décharge de Sony, rappelons que cet incident intervenait moins d'un mois après l'un des plus forts tremblements de terre depuis cent ans dans leur pays, d'un tsunami qui a ravagé d'importantes régions de leur nation, d'une situation nucléaire qui aurait de quoi faire perdre son flegme à un Britannique et d'une restriction importante de l'alimentation électrique suite à des décisions historiques qui... ah tiens...

Fait 16 : Anonymous n'est pas un groupe pirate, n'est pas une mafia d’extorsion, ce sont des clients

Et au prix de la console de jeu, qui plus est alors qu'au moment de sa mise en vente, l'argument de vente promettait de pouvoir installer et utiliser Linux, donc d'en faire un super-calculateur de salon.
Des acheteurs qui se sont retrouvé avec un appareil volontairement limité par la suite, défectueux par conception, étaient largement en droit d'en faire ce qu'ils en voulaient. Du moins, tant que les accords du type ACTA (Hadopi en France) n'ont pas encore complètement invalidé le Code de la Consommation.

Reprenons l'historique des évènements :

  1. Mars 2010 : Sony sort le Firmware maudit 3.21 ;
  2. La underground scene s'intéresse alors à hacker/bidouiller le matériel qu'ils ont acheté et dont ils sont entièrement propriétaires afin d'en restaurer le fonctionnement vendu ;
  3. Septembre 2010 : Une faille est découverte, et consiste à installer un petit fichier de 20 octets sur une clé USB et à booter la console avec. La console passe en mode devkit, permettant alors de pouvoir booter son Linux ou de lui faire croire qu'un DVD gravé contient un vrai jeu ;
  4. Sony patche avec une mise à jour du firmware qui ne fait qu'une chose : fermer cette plaie béante ;
  5. Novembre 2010 : Lors de la conférence annuelle du Chaos Computer Club, une méthode est donnée pour réinstaller un ancien firmware sur la console ainsi que la démonstration d'une gestion défaillante des protections chez Sony ;
  6. Décembre 2010 : Sony attaque en justice le découvreur de la faille USB, et toute personne publiant ladite clé ;
  7. Très vite, un groupe de clients mécontents activistes se sont constitués en force de frappe Anonymous ;
  8. Les-dits Anonymous décident de lancer une attaque de plus forte envergure. Celle-ci est relativement simple (le Déni de Service, vous vous souvenez de mon explication à base de mémés et de bureau de poste ?) contre les serveurs du PSN ;
  9. Février 2011 : Le compte Twitter officiel de Sony publie sa propre master key (de 20 octets), il est vrai sans s'en rendre compte. La blague potache d'Anonymous popularise le nombre premier “interdit” et comme l'a écrit le farceur, « oui [Sony], j'ai coulé ton porte-avion ». “Étonnement”, Sony ne se poursuit pas lui-même en justice ;
  10. Comme une attaque DDoS pénalisait plus les clients du PSN que Sony, les Anonymous ont arrêté leurs assauts, en promettant une attaque plus ciblée à l'avenir ;
  11. Avril 2011 : Sony découvre que son réseau de serveurs PSN et d'autres ont été infiltrés ;
  12. Mai 2011 : Sony annonce avoir la preuve que l'intrusion (assez sophistiquée) est l'œuvre des Anonymous ;

Ouaip. Pas exactement comme Maître Collard (une enveloppe en kraft brandie devant les journalistes), mais tout aussi  “irréfutable”.

Anonymous n'a rien d'organisé. C'est un groupe d'anonymes. Certains ont du talent, d'autres sont capables de suivre moutonnièrement des instructions simples. Le dégât vient de là : du nombre, de l'effet de foule. Ils sont capables du pire comme du meilleur. Le problème de cette absence de structure, c'est que n'importe qui peut se revendiquer d'Anonymous, personne ne peut le contredire.
Il est plus que probable que cette intrusion a été vu en interne par Sony comme une opportunité pour museler des voix discordantes. Une telle accusation permettant de déposer plainte aux États-Unis et dans différents pays, et donc d'appeler le bras vengeur de la Justice sur des lampistes au hasard : FBI qui débarque chez vous en commando vous faire un réveil surprise à base de flingues sur la tempe, d'hurlements, de chiens aboyants et de saccage de votre jardin.

Si en France, on a la présomption d'innocence, d'autres systèmes judiciaires font primer la culpabilité jusqu'à la preuve du contraire.

Fait 17 : un mois offline, une facture d'au moins 1 000 000 000 $ pour le constructeur

Sony va devoir rembourser les abonnements payants aux jeux en ligne du type MMORPG (prononcez /meuporg/), aussi bien côté clients, que côté éditeurs. Et même au-delà, puisque de nombreux studios indépendants se retrouvent avec des pertes sèches, faute de ne pouvoir vendre en ligne.

Sony va devoir aussi payer le remplacement de toutes les cartes de crédit impactées (compter une moyenne de 15 € par carte à remplacer, au tarif bancaire normal), et bien évidemment payer s'il y a évidence d'un paiement frauduleux. Qui plus est, Sony a dû négocier auprès d'une entreprise spécialisée dans la surveillance anti-fraude de comptes bancaires, pour l'ensemble de ses clients particuliers... Américains. Rien n'a encore été décidé pour le reste du monde.

Il s'agit d'un calcul à minima, sur lequel Sony ne pourra jamais faire jouer une assurance car les fautes du constructeur sont avérés.

Et encore, cette estimation est sous réserve d'une class-action en cours de montage aux USA.

Fait 18 : Sony a dû platement s'excuser devant la commission sénatoriale Américaine

Devant une commission parlementaire de Washington, retransmise en direct sur la chaîne C-SPAN, le staff dirigeant de Sony a dû reconnaître qu'effectivement, malgré leurs dénégations, les données bancaires de citoyens Américains semblent aussi avoir été dupliquées (et donc “volées”).
Durant la même audition, la même direction a dû platement reconnaître qu'ils n'ont aucun moyen de produire la soit-disante preuve inculpant les Anonymous, le document texte retrouvé sur leur serveur qui revendiqurerait le-dit piratage.

Un comble : c'est la pièce essentielle qui devait ouvrir des procès contre les dangereux agitateurs consuméristes. On a faillit lancer les forces d'assaut du FBI dans des quartiers pavillonnaires.

D'où le corollaire :

Fait 19 : La législation Américaine est plus sévère sur la perte de données personnelles que l'Europe

Nous avons pourtant une loi (1978, maintes fois patchée) qui garanti le libre accès, droit de rectification et de suppression de nos données personnelles d'un fichier commercial. Cette loi a été aussi étendue concernant l'obligation de déclaration auprès d'une instance indépendante (la CNIL), l'interdiction d'inscription d'office à un fichier commercial (opt-in), de divulgation, croisement, partage, etc...
Malheureusement, elle ne garantie d'aucun droit si des données personnelles sont criminellement détournées, à l'insu de l'entreprise qui en avait la gestion.

Ainsi en Californie et dans de nombreux autres états fédérés à la licence USA (où pourtant on s'embarrasse beaucoup moins de collecter de telles informations), il y a obligation d'informer les clients que des données aient été suffisamment compromises pour qu'on puisse envisager un vol d'identité, civile ou bancaire.

En France, rien.

Par contre, on a LCEN, LOPSI, DADVSI, HADOPI, LOPPSI 2, que des lois qui criminalisent la communication sur la sécurité informatique.
La situation est très difficilement tenable pour les professionnels honnêtes de la sécurité informatique. Les autres cachent la poussière sous les tapis.

Voilà pourquoi les clients Américains de Sony seront toujours mieux traités que les Européens, pourtant plus nombreux.
Ajoutez que les class-actions à la French, pourtant on the top priority list des promesses du candidat Sarkozy ont été soigneusement enterrées. Trop gênant pour les industriels. On se demande bien pourquoi.

Fait 20 : Hadopi exige du citoyen un niveau de sécurité informatique que les ayants-droits sont incapables d'appliquer

La preuve : TMG, l'entreprise privée qui constate les téléchargements illégaux sans jamais être contestée, n'a pas brillé la semaine dernière.

À tel point, et c'est le gag de l'arroseur arrosé, que la HADOPI a dû désavouer son partenaire privé, en coupant leurs liens.

Or, cela ne fait que des années que je le dis, que nous le disons. Mais il a été strictement hors de question que de tels doutes empêche de passer la loi Hadopi, qui reste LA loi qu'il a été la plus rocambolesque à faire voter, et ceci jusqu'à la lie.
Et ceci en forçant le déni de démocratie : Ce Lundi, devant le tribunal des Prudhommes de Boulogne, Jérôme Bourreau-Guggenheim est allé expliqué en quoi son licenciement de TF1 est un délit d'opinion. Une affaire très gênante car elle prouve que le gouvernement a poussé cette loi non pas dans l'intérêt de ses citoyens, mais d'un petit quarteron d'industriels apeurés.

Le problème, c'est que ces industriels du divertissement n'ont toujours pas compris qu'on attire pas un client en le traitant de voleur. Des lois kidnappant la démocratie ne feront pas plus vendre.

Conclusions

Que de leçons à prendre, aussi bien pour qui opère un site d'e-commerce, celui qui gère informatiquement une entreprise qui doit être en ligne, mais surtout pour le législateur. Car celui-ci a fortement criminalisé le public, pour défendre un ensemble industriel à la dérive. À tel point qu'une multinationale est strictement incapable d'appliquer ce qu'on demande au particulier.

Hadopi : Faites ce que je dis, pas ce que je fais.

Il est temps que le Conseil National du Numérique exige la ré-écriture de toutes les lois sur l'informatique promulguées depuis la LCEN. D'ailleurs, je serais curieux de connaître l'avis de la CNIL sur Hadopi.