Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation du PlayStation Network de Sony

Des intrus ont pénétré le PlayStation Network et Qriocity de Sony, compromettant les données personnelles d'environ 77 millions de comptes et provoquant une panne mondiale de 23 jours — l'une des plus grandes violations de données de consommateurs de son temps.

Victime
Sony Network Entertainment / Sony Computer Entertainment
Perte
$171.0M
données
77.0M
utilisateurs
77.0M
SecteurTechnologieMédias
PaysÉtats-UnisJapon
GroupeUnattributed (FBI investigation; LulzSec/Anonymous-era context)

Le 26 avril 2011, Sony a confirmé que des intrus avaient pénétré son PlayStation Network (PSN) et son service de diffusion Qriocity, exposant les données personnelles d'environ 77 millions de comptes. L'entreprise avait déjà mis les services hors ligne quelques jours plus tôt, entamant une panne mondiale de 23 jours qui a laissé des dizaines de millions de joueurs bloqués et a fait de l'incident l'une des violations de données de consommateurs les plus visibles de son époque.

Ce qui s'est passé

L'intrusion s'est produite entre le 17 et le 19 avril 2011 environ. Le 20 avril, après avoir détecté une activité non autorisée, Sony a brusquement mis PSN et Qriocity hors ligne — en offrant initialement peu d'explications, ce qui a alimenté plusieurs jours de confusion et de critiques. Ce n'est que le 26 avril que Sony a confirmé l'ampleur : les attaquants avaient obtenu des données de comptes comprenant noms, adresses postales et électroniques, dates de naissance, identifiants de connexion et mots de passe, ainsi que, potentiellement, l'historique des achats et les questions de sécurité.

Sony a déclaré ne pas pouvoir exclure que des données de cartes bancaires aient également été dérobées ; la presse de l'époque évaluait à environ 10 millions le nombre de cartes potentiellement concernées, bien que Sony ait indiqué que la table des cartes était chiffrée. Quelques jours plus tard, l'entreprise a révélé une violation distincte de Sony Online Entertainment, ajoutant environ 24,6 millions de comptes au total.

La panne

La violation a été autant un événement de disponibilité qu'une atteinte à la confidentialité des données. PSN étant hors service, le multijoueur en ligne, le PlayStation Store et la diffusion Qriocity étaient tous indisponibles pendant environ 23 jours — à l'époque la plus longue panne de PSN de son histoire. Sony a reconstruit et resécurisé son infrastructure réseau avant de rétablir les services par étapes à partir du 14 mai 2011, et a lancé un programme « Welcome Back » offrant des jeux et des contenus gratuits pour regagner la confiance.

Impact

  • Les données personnelles d'environ 77 millions de comptes PSN/Qriocity ont été compromises, avec environ 24,6 millions de plus affectés via Sony Online Entertainment.
  • Le réseau est resté hors ligne pendant environ 23 jours (quelque 552 heures), perturbant des dizaines de millions d'utilisateurs.
  • Sony a estimé les coûts liés à la violation à environ 171 millions de dollars.
  • En 2014, Sony a accepté un règlement de recours collectif d'une valeur pouvant atteindre 15 millions de dollars en jeux, monnaie virtuelle et remboursement de vol d'identité. Des régulateurs britanniques ont par ailleurs infligé une amende à Sony pour la violation.

Pourquoi c'est important

La violation de PSN a constitué un tournant pour la sécurité des plateformes grand public et pour les attentes en matière de divulgation des violations. Sony a été largement critiquée pour le retard et le flou de ses premières communications — un exemple instructif étudié depuis dans les formations à la réponse aux incidents. Elle a également démontré qu'une plateforme de divertissement en ligne détient les mêmes données d'identité et de paiement sensibles qu'une banque, et doit les défendre en conséquence. L'événement a renforcé les attentes du public et des régulateurs autour d'une notification des violations rapide et transparente et a contribué à catalyser la dynamique plus large en faveur d'une application plus stricte de la protection des données dans les années suivantes.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
171.0M
USD · 171 000 000 $US
  • Perte d’exploitation$171.0M
  • Amendes & règlements$15.0M

Chronologie

  1. Des intrus pénètrent les services PlayStation Network et Qriocity ; la compromission survient entre le 17 et le 19 avril environ.

  2. Sony met le PlayStation Network et Qriocity hors ligne, entamant ce qui deviendra une panne mondiale de 23 jours.

  3. Sony confirme publiquement que les données personnelles d'environ 77 millions de comptes ont été compromises, dont noms, adresses, dates de naissance et identifiants de connexion.

  4. Des dirigeants de Sony tiennent une conférence de presse à Tokyo pour s'excuser de la violation et annoncer un programme « Welcome Back » de contenus gratuits.

  5. Sony révèle une violation supplémentaire de Sony Online Entertainment, affectant environ 24,6 millions de comptes de plus.

  6. Sony entame une restauration progressive des services du PlayStation Network après environ 23 jours hors ligne.

  7. Sony accepte un règlement de recours collectif d'une valeur pouvant atteindre 15 millions de dollars en jeux, monnaie virtuelle et remboursement de vol d'identité.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2011_PlayStation_Network_outage
  2. techcrunch.comhttps://techcrunch.com/2011/04/27/sony-shares-more-details-on-playstation-network-breach/
  3. eweek.comhttps://www.eweek.com/security/sony-playstation-network-data-breach-compromises-77-million-user-accounts/
  4. bankinfosecurity.comhttps://www.bankinfosecurity.com/sony-a-6960
  5. aljazeera.comhttps://www.aljazeera.com/economy/2011/4/27/sony-criticised-over-handling-of-hacking-case

Incidents liés

Fuite de donnéesRésolu

Fuite d'identifiants MySpace

Les identifiants d'environ 360 millions de comptes MySpace antérieurs à 2013 ont été mis en vente sur le dark web en 2016. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés, rendant trivialement cassable l'une des plus grandes fuites d'identifiants jamais divulguées.

Victim
MySpace (Time Inc.)
Records
360.0M
Fuite de donnéesRançon payée

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim
Instructure (Canvas LMS)
Loss
$10.0M
Records
275.0M
Fuite de donnéesRésolu

Fuite de données Under Armour (2025)

En novembre 2025, le groupe de rançongiciels Everest a revendiqué Under Armour comme victime et a tenté de lui extorquer une rançon, affirmant avoir obtenu l'accès à 343 Go de données. En janvier 2026, des données clients issues de l'incident ont été publiées publiquement sur un forum de piratage populaire, dont 72 millions d'adresses e-mail.

Victim
Under Armour
Records
72.7M