Nicolas Lellouche, journaliste du site Numerama, a perdu l’accès à son compte sur PlayStation. L’attaquant a modifié l’email, le mot de passe associés et a facturé 9,99 euros via PayPal lié pour changer le nom d’utilisateur. L’affaire s’est produite à França et a eu des répercussions après que Lellouche a partagé des détails sur les réseaux sociaux. Le piratage s’est produit deux fois en quelques heures, mettant en évidence une faiblesse dans le processus de vérification de la propriété du compte par le support Sony.
Le pirate informatique a utilisé l’ingénierie sociale pour convaincre le support PlayStation qu’il était le propriétaire légitime du compte. Ele n’a fourni que le nom d’utilisateur et un numéro d’identification de transaction d’un ancien achat, obtenus à partir d’une capture d’écran partagée publiquement par Lellouche en 2023. Essa était suffisamment d’informations pour permettre à l’assistance d’accorder l’accès, contournant toutes les mesures de sécurité numérique activées.
Lellouche a temporairement récupéré le compte après avoir contacté le support, mais l’attaquant a répété la procédure peu de temps après, démontrant que la méthode peut être appliquée plusieurs fois sans alerte dans le système.
Comment s’est produite l’invasion initiale
Le journaliste a reçu des notifications d’un changement d’identifiant de connexion et d’un débit inattendu sur PayPal. En essayant d’accéder au compte, il a constaté que l’e-mail et le mot de passe avaient été modifiés et que sa console PS5 avait été déconnectée à distance. Le pirate informatique, identifié comme « Derol Bodden » dans les messages internes du PSN, a supprimé des amis, des conversations et modifié des données personnelles du compte.
Lellouche a contacté l’attaquant directement via des messages sur la plateforme PlayStation. Le pirate informatique a expliqué le processus en déclarant que la prise en charge de Sony nécessite des vérifications minimales pour transférer la propriété du compte.
Faiblesses dans le processus d’accompagnement
Le support PlayStation a accepté l’ID de transaction comme preuve unique de propriété, sans exiger de données supplémentaires telles que la date de naissance ou l’historique complet des accès. La pratique Essa facilite les escroqueries d’ingénierie sociale, dans lesquelles l’attaquant convainc l’agent de support d’apporter des modifications sans validations rigoureuses.
Les experts en sécurité soulignent que les informations telles que les numéros de transaction, les numéros de série des anciennes consoles ou les données des cartes précédemment liées peuvent être utilisées de la même manière. Hackers collecte ces données à partir de captures d’écran partagées en ligne, notamment dans des reportages ou des forums.
- Évitez de publier des images d’e-mails ou de factures PSN contenant des identifiants de transaction.
- Ne partagez pas les numéros de série de la console ni les détails des achats passés.
- Utilisez des cartes prépayées pour vos achats dans la boutique numérique, limitant ainsi les risques financiers.
- Surveillez régulièrement les notifications d’accès et les modifications de compte.
Récupération et répétition de l’attaque
Après la première récupération, Lellouche a réactivé la sécurité et modifié les informations d’identification. Cependant, en moins d’une heure, le hacker a repris contact avec le support et a repris le contrôle. Le système n’a pas signalé plusieurs demandes consécutives pour le même compte comme suspectes.
Le journaliste a ouvert un nouveau ticket de support, qui reste en cours d’analyse. Ele prévoit de publier une enquête plus approfondie sur l’affaire.
Mesures de protection recommandées
Les utilisateurs du PSN doivent renforcer leurs habitudes de sécurité pour minimiser les expositions. L’activation du 2FA et des mots de passe protège contre les intrusions directes, mais pas contre la manipulation humaine.
Les experts suggèrent de supprimer les méthodes de paiement permanentes du compte et d’opter pour des méthodes supplémentaires ponctuelles. Além De plus, consultez les anciennes publications sur les réseaux sociaux pour supprimer toutes les données sensibles liées à la PlayStation.
- Activez les notifications par e-mail pour toutes les modifications de compte.
- Utilisez des gestionnaires de mots de passe pour les informations d’identification uniques et complexes.
- Évitez de lier directement les cartes de crédit ; préférez les portefeuilles ou les cartes cadeaux.
- En cas de doute, contactez immédiatement l’assistance avec une preuve de propriété.
Histoire de problèmes similaires
Des cas de vol de compte PSN via le support surviennent périodiquement, affectant les collectionneurs de trophées et les utilisateurs ordinaires. Lors d’incidents précédents, des pirates informatiques avaient vendu des comptes de valeur sur le marché noir après avoir obtenu un accès similaire.
Sony a été critiqué pour ne pas avoir mis en œuvre des contrôles plus robustes, tels que des phrases secrètes ou une analyse des modèles d’accès. Até À l’heure actuelle, la société n’a pas commenté publiquement le cas de Lellouche.
Répercussion sur la communauté des joueurs
Le rapport est devenu viral sur les réseaux sociaux et les forums de jeux, générant des débats sur la fiabilité du PSN pour les vastes bibliothèques numériques. Jogadores exprime son inquiétude quant aux investissements dans les jeux et le contenu qui pourraient être perdus définitivement.
Les communautés recommandent d’enregistrer des sauvegardes dans le cloud et une surveillance constante. L’incident renforce l’importance de la confidentialité en ligne dans le partage occasionnel.
Consignes de sécurité finales
Garder les données personnelles privées empêche les pirates d’obtenir les informations nécessaires aux escroqueries au support. La combinaison d’outils numériques puissants et d’une exposition publique prudente offre une meilleure protection.
Les utilisateurs concernés doivent contester les frais excessifs auprès des banques ou de PayPal et documenter toutes les interactions avec l’assistance pour d’éventuelles escalades.
