By Mallys Un journaliste tech français affirme avoir vu son compte PlayStation piraté deux fois en quelques heures, en dépit d’une protection par clé de sécurité, en pointant une faille possible dans la procédure de récupération de compte de Sony. Ce cas, très relayé sur X et dans la communauté gaming, relance les inquiétudes sur la cybersécurité des comptes PS5 et plus largement de l’écosystème PlayStation.
Il raconte comment un pirate a pris le contrôle de son compte PlayStation, malgré l’authentification forte, en exploitant selon lui une faiblesse dans la procédure de récupération mise en place par Sony. Son récit, largement partagé sur X, soulève des questions sur la robustesse des outils de sécurité de la PS5 et du PlayStation Network.
Dans une série de messages publiés sur X, le journaliste, Nicolas Lellouche, explique qu’« il n’a aucune idée de comment » un individu a réussi à changer l’e‑mail et le mot de passe de son compte PlayStation, pourtant protégé par une clé d’accès physique et la sécurité renforcée de Sony. Il découvre la prise de contrôle lorsqu’il reçoit simultanément un e‑mail de Sony confirmant un changement d’identifiant de connexion et un reçu PayPal indiquant un paiement de 9,99 euros à Sony Interactive Entertainment qu’il n’a pas autorisé.
Selon ses captures d’écran, le pirate a tout modifié : nom, adresse e‑mail, adresse postale, photo de profil, description et langues du compte PSN, comme s’il en était le propriétaire légitime. L’attaquant aurait même réussi à reconfigurer le compte après une première récupération par le support PlayStation, ce qui suggère une méthode d’usurpation d’identité particulièrement rodée.
Nicolas Lellouche indique qu’il ne s’agit pas d’un exploit technique classique (ni vol de cookie ni hack logiciel), mais d’« une erreur de conception des outils de sécurité Sony » liée à la procédure de récupération de compte. Il affirme que l’attaquant aurait pu réclamer la « paternité » d’un compte sans mot de passe ni passkey, car il ne passerait pas par un formulaire utilisateur standard mais par un canal interne d’assistance, difficile à sécuriser par les mécanismes habituels.
Dans son message, il explique qu’en l’état « c’est impossible à patcher » pour l’utilisateur final : chaque récupération de compte par le propriétaire légitime pourrait être suivie d’une nouvelle récupération par le pirate utilisant la même faille procédurale. L’attaquant se serait même vanté de pouvoir démontrer sa méthode en piratant en direct un autre compte choisi par le journaliste, ce qui laisse penser à une industrialisation potentielle de cette technique.
Le journaliste évoque aussi sa part de responsabilité : il dit avoir publié il y a plusieurs années une capture d’écran de son compte contenant une information sensible, aujourd’hui utilisée par des pirates pour monter des attaques ciblées. Ces acteurs malveillants collecteraient massivement ce type de captures sur les réseaux sociaux afin de reconstituer les données nécessaires pour convaincre le support qu’ils sont les véritables propriétaires des comptes.
Selon lui, la sécurité technique du compte (passkey, vérification en deux étapes) n’aurait eu « aucun impact » dans ce scénario, car « le mail suffit » une fois la procédure de récupération compromise. Ce constat fait écho à d’autres témoignages d’utilisateurs PSN se plaignant d’un piratage avec désactivation du 2FA ou changement d’e‑mail, parfois malgré des mesures de protection périphériques sur leurs appareils.
Nicolas Lellouche annonce vouloir rédiger un article détaillé et contacter Sony avec, si possible, une preuve vidéo de l’exploit fourni par le pirate, afin d’alerter officiellement l’entreprise. Il demande à Sony de « fermer en urgence » sa procédure actuelle de récupération de compte, le temps de combler ce qu’il considère comme une brèche structurelle dans la sécurité des comptes PlayStation.
Sony dispose déjà de pages d’aide officielles pour la récupération de compte PSN et la résolution des problèmes liés à la vérification en deux étapes, mais celles‑ci reposent essentiellement sur l’e‑mail et quelques informations d’historique d’achat pour valider l’identité du titulaire. Plusieurs fils de discussion récents sur Reddit et d’autres forums indiquent que des utilisateurs se sentent démunis face à des piratages où l’authentification à deux facteurs est désactivée ou contournée, et réclament une réponse plus ferme de l’éditeur japonais.
Cette affaire intervient dans un contexte où Sony fait déjà face à des critiques sur la sécurité de son écosystème, entre vulnérabilités techniques sur PS5 et attaques ciblant les comptes PSN. Des chercheurs et la scène du jailbreak ont ces dernières années mis en lumière plusieurs failles logicielles dans le firmware de la console et son système d’exploitation, incitant Sony à renforcer son programme de bug bounty et ses mécanismes de protection.
Au‑delà des exploits noyau, ce sont désormais les processus métier (comme la récupération de compte, la gestion de l’identité et la vérification manuelle par le support) qui apparaissent comme un maillon faible, car plus difficiles à auditer et à corriger rapidement. Pour les joueurs, la frontière entre piratage de console et piratage de compte s’estompe : un compte compromis peut entraîner des achats non autorisés, la perte de bibliothèques de jeux numériques et une longue bataille avec le service client pour récupérer l’accès.
En attendant une éventuelle évolution des pratiques de Sony, plusieurs mesures peuvent limiter le risque d’attaque ou en réduire l’impact.
- Ne jamais publier de capture d’écran montrant l’e‑mail complet, l’ID PSN ou d’autres données sensibles, même partiellement, et supprimer les anciennes images qui en contiendraient.
- Activer la vérification en deux étapes ou une clé d’identification, tout en conservant soigneusement les codes de secours fournis par Sony pour la récupération de compte.
- Vérifier régulièrement les e‑mails de notification PlayStation (changement d’ID, nouvelle connexion, achat) et réagir immédiatement en cas d’activité suspecte en contactant le support via les canaux officiels.
- Surveiller les moyens de paiement associés au PSN et utiliser, si possible, des cartes virtuelles ou plafonnées pour limiter les dépenses en cas de piratage.
En toile de fond, cette affaire rappelle que la cybersécurité des comptes de jeux vidéo est devenue aussi stratégique que celle des comptes bancaires ou de messagerie, tant les consoles comme la PS5 concentrent aujourd’hui données personnelles, moyens de paiement et contenus numériques de grande valeur.
La suite de l’affaire à suivre sur le site de Numerama.
