L’attaque de Sony est partie d’Amazon EC2

Selon un rapport, un attaquant à loué des capacités sur le service Cloud EC2 d’Amazon pour lancer les attaques qui ont visé Sony.

Sony a relancé ses services PlayStation Network et Qriocity durant le week-end et les enquêteurs ont apparemment identifié des serveurs hébergés par le service EC2 d’Amazon comme source des attaques. L’équipe d’enquêteurs de Sony, qui examine la compromission de données personnelles sans précédent dont ont été victimes ses systèmes, pense que l’intrus a loué des capacités dans le service d’hébergement Cloud d’Amazon sous un faux nom. C’est du moins ce qu’évoque Bloomberg citant des sources proches de l’enquête.

Le pirate aurait ainsi utilisé le service comme plateforme pour lancer plusieurs attaques qui ont paralysé Sony et affecté plus de 100 millions d’utilisateurs de ses services en ligne. Ce vol de données est probablement le plus vaste aux US depuis celui qui avait affecté Heartland Payment Systems en 2009.

Samedi, Sony a partiellement relancé ses services PlayStation Network et Qriocity qui étaient arrêtés depuis le 20 avril, alors que les équipes d’investigation évaluaient le périmètre de l’intrusion. Celle-ci a initialement conduit à l’exposition de données sensibles de 77 millions d’utilisateurs des services en ligne de Sony. L’entreprise a alors découvert une base de données datant de 2007 et incluant les numéros de plus de 12 000 cartes de crédit non américaines et de 10 700 cartes émises en Autriche, en Allemagne, aux Pays-Bas et en Espagne. L’entreprise a créé le poste de directeur de la sécurité informatique et mis en oeuvre plusieurs procédures pour renforcer sa sécurité.

Dans un message à ses clients, Sony a indiqué avoir ajouté des systèmes de supervision automatique des applications et de gestion automatique des configuration, ainsi que renforcé le chiffrement des mots de passe et des données sensibles. L’entreprise a optimisé en outre sa sécurité réseau en multipliant les parefeux et en s’assurant de leur configuration appropriée. Sony a également indiqué avoir déployé des technologies de supervision réseau permettant de détecter les intrusions et les anomalies réseau susceptibles de constituer une activité suspecte.

Des experts estiment que cet incident de sécurité met en exergue le manque croissant d'intérêt quant à la localisation des données sensibles au sein du système d’information des entreprises. Eric Holmquist, président de la société de conseil en sécurité Holmquist Advisory, relève notamment qu’il est critique pour les organisations de procéder à des opérations de découverte des données sur leurs systèmes avant de déployer des systèmes de protection. Récemment interrogé par SearchSecurity.com, Homlquist a indiqué : «j’ai vu tant de cas où les gens peuvent faire l’étalage des technologies, des procédures et des règles qu’ils mettent en oeuvre mais s’avèrent incapables de dire où sont leurs données. C’est vraiment regrettable qu’il faille souvent un événement malheureux pour que la situation soit améliorée.»

Harry Sverdlove, directeur technique de Bit9, indiquait de son côté à Security Wire Weekly, que l’incident dont a été victime Sony n’est qu’un signal d’alarme de plus. Sony n’est pas prudent de stocker des numéros de cartes de crédit dans une base de données non chiffrée, relèvait-il, soulignant qu’il est nécessaire pour une entreprise de savoir où sont ses actifs. 

Par Rob Westervelt, sur SearchSecurity.com

Adapté de l'anglais par la rédaction

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close