Piratage de sa PS5 : une faille de sécurité reste chez Sony.

Nicolas Lellouche, journaliste chez Numerama, a perdu son compte PlayStation Network (PSN) deux fois en l’espace de quelques heures, malgré un mot de passe complexe et une double authentification active. Sony n’exige pas de vérification d’identité forte pour la récupération de compte, ce qui permet à un pirate d’accéder à des comptes en fournissant uniquement un numéro de transaction.

Nicolas Lellouche, journaliste chez Numerama, a vécu le cauchemar que redoute tout joueur : la perte de son compte PlayStation Network (PSN). Non pas une, mais deux fois en quelques heures. Le plus préoccupant ? Son compte était ultra-sécurisé, avec un mot de passe complexe, la double authentification (2FA) active et même une clé d’accès (Passkey) via reconnaissance faciale. En théorie, tout cela devrait être « inviolable ». Cependant, dans la réalité proposée par Sony, c’est une véritable passoire.

L’intrusion n’a nécessité aucune compétence technique particulière. Le pirate, se faisant appeler « Derol Bodden« , a simplement contacté le service client de Sony. Son sésame ? Un numéro de transaction visible sur une capture d’écran publiée par erreur des mois auparavant. Avec cette unique information, le support a désactivé toutes les mesures de sécurité (y compris 2FA et Passkey) pour remettre le compte dans les mains du voleur. C’est un effondrement total des protocoles de sécurité.

Le « Social Engineering » version low-cost

La faille n’est pas logicielle, mais procédurale. Sony a mis en place des systèmes de défense solides côté serveur, mais a laissé une porte dérobée béante par le biais de son support humain. Pour récupérer un compte, l’agent requiert une preuve. Cependant, chez Sony, cette preuve peut se limiter à un numéro de commande ou aux derniers chiffres d’une carte bancaire périmée.

C’est une aberration. Un numéro de transaction est une donnée statique, qui figure sur des factures, des e-mails, et parfois, comme dans ce cas, sur des captures d’écran partagées. Ce n’est pas un secret. En acceptant cette donnée comme preuve irréfutable d’identité sans exiger d’identité officielle ou de vérification croisée, Sony compromet toute la sécurité mise en place en amont. Quelle est l’utilité d’avoir configuré une Passkey biométrique si un employé mal formé peut la contourner en quelques clics simplement parce qu’un numéro de série lui a été fourni ?

Pire encore, la récidive. Après avoir récupéré son compte une première fois, Nicolas a subi un nouveau vol 30 minutes plus tard. Le pirate a juste réitéré son action. Le système de Sony ne signale même pas les comptes qui subissent plusieurs demandes de récupération en un temps record.

Les agents suivent un script rigide, transformant le support client en complice involontaire des pirates.

En effet, chez Valve, il est également possible de récupérer son compte Steam avec quelques informations historiques.

Pour aller plus loin
Son compte Steam piraté deux fois, sauvé deux fois… grâce à un jeu

Vos jeux ne vous appartiennent plus vraiment

Aujourd’hui, l’accent est mis sur le tout-dématérialisé. Les joueurs achètent des PS5 sans lecteur de disque et accumulent des centaines d’euros de jeux sur le PSN. Toutefois, si la sécurité de cet espace numérique repose sur le jugement rapide du service client, la valeur de votre bibliothèque est purement virtuelle.

En somme, vous avez investi 2000 € de jeux sur une décennie. Puis, un matin, plus rien. Le pirate change votre e-mail, votre pseudo (pour 9,99 €, réglés avec votre PayPal lié), et revend le compte.

Chez Apple ou Google, la récupération d’un compte sans accès aux appareils de confiance est un parcours du combattant, voire une quête impossible. C’est frustrant, mais c’est sécurisé. Sony a opté pour la facilité : rendre l’accès aisé pour l’utilisateur distrait, c’est également faciliter la tâche aux escrocs. Microsoft a également connu une situation semblable avec Xbox.

Pour aller plus loin
« Créez un nouveau compte » : la réponse lunaire de Microsoft à un joueur piraté qui a perdu 15 ans de jeux

La situation est claire : tant que Sony ne demandera pas une vérification d’identité stricte (CNI, passeport) pour la récupération de compte, personne ne peut se sentir en sécurité. Le Passkey représente une technologie efficace, mais comme une porte blindée, elle est inutile si le gardien ouvre la porte à quiconque connaissant votre numéro d’étage.

Un conseil en attendant ? Ne partagez jamais, jamais vos numéros de commande. Même floutés. Même anciens de trois ans. JAMAIS.