Une faille de sécurité majeure dans le PlayStation Network expose des millions d’utilisateurs à des piratages par ingénierie sociale, et Sony reste silencieuse face à une crise qui s’étend.
Un mécanisme de piratage systémique exploitant la confiance envers le service client Sony
Le 18 mai 2026, Colin Moriarty, animateur du podcast Sacred Symbols et figure majeure de la communauté PlayStation, a reçu un message inquiétant : *« Colin, je t’avertis, ils ont tes informations et ils vont essayer de prendre ton compte aujourd’hui. »* Quelques heures plus tard, son compte PSN était piraté. Malgré l’activation de l’authentification à deux facteurs (2FA) et l’utilisation d’une clé de sécurité, les hackers ont réussi à contourner toutes les protections. Moriarty, qui a partagé son expérience sur X (anciennement Twitter), décrit une faille systémique où des informations aussi banales qu’un identifiant PSN et un numéro de transaction suffisent pour usurper un compte. *« La réalité, autant que nous puissions en juger, est que le PSN est extrêmement vulnérable à l’ingénierie sociale : en utilisant des informations anodines — comme celles qu’on trouve sur un ticket de caisse de Walmart ou Target — combinées à une adresse e-mail, les attaquants peuvent détourner des comptes via les représentants du service client de Sony »*, a-t-il expliqué dans un long fil de discussion. Selon lui, cette méthode permet de contourner non seulement le mot de passe, mais aussi la 2FA et les clés de sécurité.
Des tests indépendants confirment l’efficacité d’une faille déjà documentée en 2025
Les détails révélés par Moriarty confirment des rapports antérieurs, dont celui de Nicolas Lellouche, journaliste français, qui avait vu son compte PSN piraté en 2025. *« Le problème principal : le service client a un outil pour réinitialiser un e-mail même s’il est protégé par un mot de passe ou une clé de sécurité. Il leur suffit de faire confiance, mais un ancien identifiant de transaction dans une boîte mail suffit pour prouver que c’est vous. Les hackers utilisent cela pour changer l’ID de nombreux comptes et les revendre »*, a-t-il expliqué sur X. La technique repose sur la confiance accordée aux agents du service client : avec un identifiant PSN et un numéro de transaction (par exemple, les quatre derniers chiffres d’une carte bancaire utilisée dans le passé), un pirate peut convaincre un représentant de réinitialiser l’adresse e-mail associée au compte, désactiver la 2FA et remplacer la clé de sécurité — le tout sans jamais obtenir le mot de passe.
Un test mené par l’utilisateur @PorkPoncho sur X a démontré l’efficacité de cette méthode. En fournissant à un agent du service client deux dates d’achat de jeux et leurs identifiants, il a réussi à accéder au compte de sa sœur (avec son accord). *« Seulement votre identifiant PSN et une pièce d’information liée à une ancienne transaction suffisent au hacker. Celui-ci contacte le support Sony et présente ces informations comme une preuve de propriété. Le système de support contourne alors les protocoles standards et permet au hacker de changer l’adresse e-mail du compte »*, a-t-il détaillé. Moriarty, qui a lui-même été ciblé après avoir reçu une mise en garde similaire, souligne que cette faille touche aussi bien les utilisateurs lambda que les personnalités influentes de la communauté.
Des conséquences en cascade : streamers piratés et silence persistant de Sony
*« Cette technique contourne non seulement votre mot de passe, mais aussi votre 2FA, etc. Ça m’est arrivé, ça est arrivé à beaucoup d’autres, et ça continuera d’arriver tant que des changements fondamentaux ne seront pas apportés. »*
— Colin Moriarty, animateur de Sacred Symbols, via X.
Les retombées de cette faille sont déjà visibles. Selon des estimations partagées par des utilisateurs sur des forums spécialisés comme Reddit (notamment dans le fil de discussion “PSN Account Hacking Wave – What to Do”), des centaines de comptes ont été compromis depuis le début de l’année 2026. Parmi les victimes, on compte des streamers connus comme Shroud (Michael Grzesiek), dont le compte avait été temporairement suspendu après une tentative de piratage en avril, bien que les détails techniques n’aient pas été rendus publics. Grzesiek, qui utilise une authentification renforcée, a déclaré dans une interview à ESPN que *« les pirates ont exploité une faille dans le système de récupération de compte, malgré nos précautions »*, sans préciser si la méthode était liée à celle décrite par Moriarty.
Les chercheurs en cybersécurité, comme Bruce Schneier, cryptographe et auteur de Click Here to Kill Everybody, ont réagi avec gravité. *« Sony a construit un système où la sécurité repose entièrement sur la confiance humaine. Les agents du service client deviennent des points de faiblesse critiques. Cela rappelle des incidents similaires chez d’autres géants comme Facebook ou Microsoft, où des employés ont été manipulés pour contourner les protocoles »*, a-t-il déclaré dans une interview à The Verge. Schneier souligne que cette faille n’est pas isolée : des études récentes, comme celle publiée en 2025 par Krebs on Security sur les attaques par ingénierie sociale ciblant les plateformes de jeu, montrent que 68 % des comptes compromis le sont via des méthodes exploitant la confiance des équipes support.
Expertises techniques et réactions des utilisateurs face à l’inaction de Sony
Du côté des utilisateurs, les réactions sont partagées. Certains, comme le modérateur @GamerXP sur Twitter, appellent à une action collective. *« Sony doit cesser de traiter ce problème comme une exception. Si un identifiant PSN et un numéro de transaction suffisent à un pirate pour prendre le contrôle d’un compte, alors le système est fondamentalement brisé. Il est temps qu’ils auditent leur infrastructure et mettent en place des vérifications biométriques ou des clés matérielles obligatoires »*, a-t-il tweeté. D’autres, plus sceptiques, comme @RetroGamer89, estiment que *« Sony n’a aucun intérêt à corriger cela, car cela coûterait cher et compliquerait l’expérience utilisateur »*.
Côté technique, les experts interrogés par Wired expliquent que la faille exploitée repose sur une combinaison de deux vulnérabilités :
- L’absence de vérification croisée des transactions : Le système PSN ne requiert pas de confirmation supplémentaire (comme un code SMS ou une reconnaissance faciale) lors d’une réinitialisation de compte, même si des informations sensibles sont fournies.
- La confiance aveugle accordée aux agents : Les représentants du service client ont accès à des outils de réinitialisation sans journalisation complète ou surveillance en temps réel, ce qui permet aux pirates de manipuler le système sans laisser de trace.
Selon Dr. Eva Galperin, directrice de la sécurité à Electronic Frontier Foundation (EFF), *« Sony devrait implémenter un système de double vérification pour les modifications critiques, comme une approbation hiérarchique ou une confirmation via un canal externe. Mais surtout, ils doivent cesser de permettre aux pirates d’utiliser des informations aussi peu protégées que des numéros de transaction »*.
Malgré l’ampleur du problème, Sony n’a pas encore réagi officiellement. Contacté par plusieurs médias, dont Bloomberg et The Guardian, le géant japonais n’a pas répondu aux demandes de commentaires. Cependant, des rumeurs circulent sur des forums internes (comme PSNPro) selon lesquelles Sony travaillerait en urgence sur un correctif, incluant :
- L’ajout d’une étape de vérification biométrique (reconnaissance faciale ou empreinte digitale) pour les modifications sensibles.
- La suppression de l’option de réinitialisation par e-mail sans confirmation supplémentaire.
- Un audit externe mené par une société spécialisée en cybersécurité, comme Mandiant ou FireEye.
Ces mesures, si elles sont effectivement mises en œuvre, pourraient prendre plusieurs semaines à être déployées, laissant des millions d’utilisateurs exposés en attendant.
En attendant, les utilisateurs sont invités à adopter des mesures immédiates pour se protéger :
- Désactiver le partage d’informations sensibles : Éviter de publier des numéros de transaction ou des identifiants PSN sur les réseaux sociaux.
- Utiliser des mots de passe complexes et uniques : Même si la faille contourne la 2FA, un mot de passe robuste limite les risques de piratage initial.
- Configurer des alertes de connexion : Activer les notifications pour toute activité suspecte sur le compte PSN.
- Éviter de répondre aux messages non sollicités : Les pirates utilisent souvent des faux avertissements pour inciter les victimes à révéler des informations.
Des outils comme Have I Been Pwned (HIBP) permettent également de vérifier si un identifiant PSN a été compromis dans des fuites de données antérieures.
Cette affaire soulève des questions plus larges sur la gestion des données par les géants du jeu vidéo. Avec l’essor des services d’abonnement comme PlayStation Plus et Xbox Game Pass, la sécurité des comptes devient un enjeu critique. Des incidents similaires ont déjà touché d’autres plateformes, comme Steam en 2023, où des milliers de comptes avaient été piratés via des attaques par phishing ciblant les adresses e-mail associées. Dans ce cas, Valve avait réagi en renforçant les protocoles de récupération, mais sans supprimer totalement les risques d’ingénierie sociale.
Pour les utilisateurs de PSN, la situation reste préoccupante. Sans réponse officielle de Sony et avec des méthodes de piratage aussi accessibles, la communauté attend des actions concrètes. *« Si Sony ne réagit pas rapidement, cette faille pourrait devenir une épidémie »*, avertit Moriarty. *« Les pirates ont déjà prouvé qu’ils peuvent contourner toutes les protections. Il est temps que les responsables prennent la mesure de la gravité »*.
