Comme chaque mardi, un membre de la rédaction pousse un coup de gueule sur l'actualité du jeu vidéo : l'énième report d'un jeu attendu, la fermeture d'un studio, une annonce d'un jeu qui "sent pas bon". Mais ça peut également être l'occasion pour lui de revenir sur une expérience malheureuse sur un jeu en cours de test, ou même un échange tendu sur la tribune autour d'un sujet particulier. Bref, aujourd'hui, voici le coup de gueule...
Je vais vous raconter comment en quelques instants, un hacker a pris le contrôle de mon compte Playstation et a écrasé mon identité numérique pour s'installer confortablement à ma place dans ma vie de joueur en ligne. Je vais vous raconter comment quelques instants plus tard, il s'est vanté publiquement auprès de moi sur Twitter détenir mon compte pour ensuite réclamer une rançon. Je vais vous raconter comment Sony a très bien géré ce genre de hack, qui ne semble pas si rare si j'en crois ce que les différents interlocuteurs que j'ai eu m'ont dit. Et je vais commencer par vous raconter que tout cela se déroule la nuit du 31 décembre.
Comme tout un chacun, je m'apprête à célébrer le réveillon 🎉. Pas de grosse fête, juste un petit dîner sympa en petit comité. En fin de journée, je regarde mon portable et mes mails : une salve de mails venant de Sony Japon avec des objets en japonais mais quelques mots lisibles : "ID", "account". Je fais une traduction automatique : les messages sont soit destinés à me proposer de changer de mot de passe suite à une demande faite, soit confirmer un changement sur le compte.
Une faille du côté du login SEN Japon ?
🤔 What. The. Fuck.
Mon compte Playstation est un compte français ; jamais auparavant je n'ai reçu de mail de Sony JP. Et jamais je n'ai fait de changement sur mon compte ces dernières heures. Il m'arrive souvent de recevoir des demandes de réinitatilisation de mot de passe de certains de mes comptes (Twitter, Instagram, Spotify), du fait de mon pseudo que beaucoup de monde peut avoir. Mais jamais sur mon compte PSN.
Pris d'un horrible pressentiment, je lance l'appli Playstation sur mon mobile. Evidemment, j'ai été déconnecté. Je rentre mon ID et mot de passe : impossible de me connecter. "Tu peux sortir le houmous du frigo ?" on me demande. "J'arrive", je réponds. Je sors le houmous puis je vérifie mon compte sur l'ordinateur : même constat. Bon. Ne. Pas. Paniquer.
🔔 Réagir immédiatement
Première action : je regarde dans la FAQ de Playstation pour signaler un compte piraté. Je fais la demande par mail moins de 20 minutes après le hack. À ce moment là, je n'ai aucune idée de l'étendue des dégâts. Comment mon compte a été piraté ? Et pourquoi ? La première question va rester longtemps sans réponse, la seconde par contre est illustrée par une notification sur Twitter : le pirate, en personne, m'interpelle. Il annonce détenir mon compte (screen à l'appui) et dans une succession de messages 1) me propose de me le revendre (lol), 2) m'affirme que même si j'arrive à le récupérer, il pourra le re-hacker n'importe quand. Je décide de l'ignorer. Plusieurs fois, dans les heures qui suivent, devant mon absence de réaction, il va insister.
La vantardise
🌪 Modifier tous les mots de passe. Tous.
Deuxième action : le stress. Je réfléchis. Comment il a pu accéder à mon compte ? La FAQ de Sony estime que la plupart du temps, c'est via l'adresse e-mail associée au compte que le pirate arrive à s'introduire. Il hacke d'abord la boîte mail pour en prendre le contrôle, faire une demande changement de mot de passe, recevoir le mail et hop le tour est joué. Oui, mais non : je vérifie : pas de connexion frauduleuse observée par Gmail sur ma boîte, l'historique des connexions correspond à mes sessions. Et puis mon mot de passe est réellement hardcore à trouver. Pareil pour celui de mon compte Playstation. Mais je reçois un autre message : mon compte EA est lui aussi l'objet d'une modification demandée. Ohlàlà... Là j'annonce à mes invités que j'ai un souci et je prends 30 mn pour modifier TOUS mes mots de passe de services associés de près ou de loin à mon compte Playstation. Et il y en a quelques-uns : EA Origin, Uplay , Steam, Twitter et Facebook pour le partage, Paypal pour les paiements. Fort heureusement, ma CB n'est pas enregistrée, il ne pourra pas s'acheter Call of Duty.
😳 À mon tour d'observer
Troisième étape : le stalking. Ce petit connard m'a trouvé (en regardant mon pseudo Twitter associé à mon compte PSN), je ne me prive pas pour l'observer lui aussi. Le mec est aux US, il a une dizaine de compte Twitter que j'ai pu identifier, sur lesquels il insulte des joueurs de Call of Duty (il semble y jouer beaucoup) et propose des comptes PSN à vendre. Sa spécialité : les comptes de 4 lettres. Voilà pourquoi le mien est tombé dans ses mains : drip, c'est court, facile, évident. Ses messages sur Twitter ne restent pas longtemps, il passe son temps à les effacer, supprimer ses comptes, en créer de nouveaux. Il ne laisse aucune trace. Je fais des screenshots, dont une partie est envoyée au SAV de Sony. Que peuvent-ils en faire ? Aucune idée.
😐 Dénouement
Et je laisse le réveillon se dérouler. Il n'y a rien d'autre à faire, même si cet abruti s'excite et tente de me soutirer quelques dollars pour récupérer mon compte. Mais c'est niet. Je laisse Sony gérer. Le dimanche se passe tranquillement puis sur les coups de 16 h (un dimanche premier janvier !) je reçois un mail du support de Sony. La démarche est rodée mais il y a quand même quelques étapes. En résumé : mon compte actuel va être transféré vers une nouvelle adresse e-mail, et je dois prouver que c'est bien moi qui en suis le propriétaire. Je suis la procédure. Tout est OK. Sauf que...
😣 Malynx, le lynx
Le mardi, n'ayant pas de nouvelles, j'appelle le support Sony. Je tombe sur quelqu'un de très attentif et compréhensif. Kudos à ce conseiller qui a vraiment tout donné pour m'aider. En effet, il a toutes les pièces en main et déclenche le transfert. Mais ça bloque. Le pirate a activé la double vérification. Moi je ne l'avais pas fait. Lui y a pensé, directement. Ainsi, il vient de recevoir un SMS pour lui indiquer que le compte est en train d'être transféré. Car ce mec a écrasé ma console, mon nom, mes contacts, tout, avec sa vie de joueur. Et il a pensé à tout. Pour faire sauter la double vérif, c'est plus compliqué. Mon interlocuteur, qui dit voir souvent des procédure de hacks, trouve que notre hacker est particulièrement vicieux, peu d'entre eux pensent à activer la double vérif. Bref, il fait une demande auprès d'un de ses collègues mais ça va prendre plusieurs jours.
🤓 Retour à la normale
Finalement, le vendredi, soit presque une semaine après le hack, je récupère enfin mon compte. J'active la double vérif. Je supprime tous ses amis ajoutés. Je remets les miens, tant bien que mal. Et je me sens quand même souillé. Aucun achat n'a été effectué, j'ai toutes mes sauvegardes, je peux reprendre mes jeux en ligne.
La double vérif par SMS : juste activez-la
Et finalement, alors, comment a-t-il hacké mon compte ? Pendant les quelques jours qui ont suivi mon hack, j'ai pu l'observer se vanter d'avoir piraté d'autres comptes, toujours à 4 lettres. Pourquoi est-ce que cela est arrivé via Sony Japon ? Là-dessus, malheureusement, je n'ai aucune réponse. Moralité : activez la double vérification, que ces petits nuisibles aient plus de mal à vous ennuyer pour quelques dollars...