L'affaire a de quoi inquiéter des millions de joueurs. Un journaliste spécialisé dans la tech, Nicolas Lellouche, a partagé sa mésaventure : le piratage répété de son compte PlayStation Network (PSN) alors même qu'il était protégé par les dispositifs les plus récents, comme les clés d’accès (passkeys) et une authentification à deux facteurs. Cette situation met en lumière non pas une faille technologique complexe, mais une faiblesse alarmante dans les procédures humaines du service client de Sony.
Comment un compte ultra-sécurisé a-t-il pu être compromis ?
Le piratage initial s'est déroulé de manière plutôt classique : une notification de changement d'email, suivie d'un débit suspect de 9,99 euros. Le journaliste, pensant à une simple fuite de mot de passe, a contacté le support PlayStation. En quelques minutes, il a récupéré son compte en fournissant seulement son pseudo et un numéro de transaction issu d'une ancienne facture. C'est précisément là que réside toute la faille.
À peine une heure plus tard, le compte est de nouveau volé. Le pirate utilise exactement la même méthode : il contacte le support Sony avec le même numéro de transaction, obtenu via une capture d'écran que le journaliste avait publiée dans un article plusieurs mois auparavant. Le service client, appliquant un script sans aucun discernement, lui a de nouveau donné les clés du compte, rendant inutiles les protections comme la double authentification.
Quelle est l'ampleur de cette vulnérabilité chez Sony ?
Cette méthode, relevant de l'ingénierie sociale à bas coût, exploite la souplesse excessive des protocoles de récupération de compte de Sony. Il suffit d'une information statique, comme un numéro de commande ou les derniers chiffres d'une carte bancaire (même ancienne), pour prouver son identité. Le système ne semble pas alerter les opérateurs lorsqu'un même compte fait l'objet de demandes de récupération multiples et rapprochées.
Le hacker, contacté par sa victime, a confirmé la simplicité déconcertante du processus. Il n'a eu besoin d'aucune compétence technique avancée, se contentant de se faire passer pour le propriétaire légitime auprès d'un service client trop peu regardant. D'autres cas similaires ont été rapportés, indiquant que des groupes s'organisent pour exploiter cette faiblesse, cherchant des informations divulguées en ligne pour voler et revendre des comptes riches en jeux dématérialisés.
Comment protéger efficacement son compte face à ce risque ?
Face à une faille procédurale, les protections techniques habituelles montrent leurs limites. L'activation des passkeys et de la 2FA reste une mesure essentielle, mais elle ne suffit pas si le maillon faible est humain. La première leçon est donc une prudence absolue : ne jamais, sous aucun prétexte, partager publiquement des informations liées à son compte, même si elles semblent anodines comme un numéro de transaction ou le numéro de série d'une console.
Il est également conseillé de retirer les moyens de paiement enregistrés pour limiter les dégâts financiers en cas de compromission. Tant que Sony ne renforcera pas ses procédures de vérification d'identité pour la récupération de compte, en exigeant par exemple des informations plus personnelles et multiples (date de naissance, questions secrètes, voire une pièce d'identité), la sécurité des bibliothèques de jeux dématérialisés de millions d'utilisateurs reste particulièrement précaire.
