Alors que la cinquième version de la console de salon de Sony a été annoncée, l’entreprise japonaise s’intéresse (enfin) à la sécurité du système d’exploitation de la Playstation 4, et du Playstation Network, dans les pas de Microsoft pour Xbox et, bien antérieurs, de Nintendo.
On oublie souvent que les consoles de jeux, toujours plus connectées, sont confrontées aux mêmes problématiques de sécurité que n’importe quel PC. On se rappellera, dès 2011, l’intrusion sur les serveurs du Playstation Network et la fuite de données qui en résulta. Nintendo a été le premier à recourir au bug bounty, en 2016, pour sa console portable 3DS. Microsoft lancera sur le tard sa propre chasse participative aux vulnérabilités pour l’ensemble de sa galaxie Xbox, en janvier dernier.
Et voici enfin que le troisième larron, Sony, propose à son tour aux chercheurs et développeurs tiers de traquer les failles sur ses systèmes. Le géant japonais a ouvert la semaine dernière un bug bounty sur la plateforme Hacker One. “Chez PlayStation, nous nous efforçons d'être le meilleur endroit pour jouer et nous pensons que la sécurité de notre environnement est fondamentale pour atteindre cet objectif” écrit Sony. “Nous pensons que grâce à des partenariats étroits avec la communauté de la recherche sur la sécurité, nous pouvons offrir un environnement plus sûr pour jouer”.
Jusqu’à 50 000 dollars
Sont concernés par ce programme la dernière console en date du Japonais, la Playstation 4, son système d’exploitation ainsi que ses accessoires. Mais seules les vulnérabilités affectant les versions actuelles et beta de la brique logicielle garantiront une prime : les failles soumises pour des versions antérieures seront examinées au cas par cas.
Le Playstation Network, ensemble de services en ligne allant du multijoueur à la boutique de jeux, est également couvert par ce bug bounty, à savoir les domaines *.playstation.net, *.sonyentertainmentnetwork.com, *.api.playstation.com, my.playstation.com, store.playstation.com, social.playstation.com, transact.playstation.com et wallets.api.playstation.com. Tout autre domaine est exclu du champ du programme, tandis que les anciennes consoles, de la Playstation 1 à la PSP en passant par la PS3 ou la PS Vita, ne sont pas concernées par le bug bounty.
Côté prime, Sony compense son retard à faire appel à la communauté par le montant des récompenses proposées. Là où Microsoft plafonne à 20 000 dollars pour des failles critiques, celles-ci peuvent rapporter jusqu’à 50 000 dollars si elles affectent la Playstation 4. Les vulnérabilités touchant le PSN sont quant à elle bien moins profitables, puisqu’elles ne rapportent que 3000 dollars au maximum.