Un groupe baptisé ShadowBytes affirme avoir récupéré 859 Mo de données internes de Nintendo et réclame 2 millions de dollars pour ne pas tout diffuser. La firme de Kyoto a confirmé le vol, mais elle le minimise aussitôt : sondages internes anciens, petit groupe d'employés concernés, aucune donnée client touchée. Et un non ferme à la rançon.
Le vol ne vient pas de chez Nintendo
C'est le détail qui change tout. Les serveurs de Nintendo n'ont pas été forcés. Les pirates seraient passés par TinyPulse, un logiciel tiers que la firme utilisait pour mesurer le moral de ses salariés avec des questionnaires internes. ShadowBytes, qui se présente comme un service d'extorsion à louer, a mis en ligne des échantillons le week-end précédant le 16 juin. Et le contenu va bien au-delà du simple annuaire d'employés : des noms, des adresses mail professionnelles, mais aussi des relevés bancaires en PDF, des formulaires fiscaux W-9 et des messages privés, le tout couvrant la période 2016-2026.
Des données « limitées et anciennes », vraiment ?
Nintendo of America a répondu par un communiqué très cadré. Ses systèmes n'auraient pas été compromis, le vol se limiterait à du contenu de sondages touchant un petit sous-ensemble de salariés, et la plupart des informations remontent à plusieurs années. Aucune donnée client, aucune information financière des joueurs n'a été consultée, assure la firme. Sauf que des chercheurs en sécurité ont examiné les échantillons et les jugent en partie authentiques, avec des sondages d'engagement datés de 2016 et des références à des gens qui travaillent toujours à Kyoto. Difficile de qualifier de « limité » un fichier qui contient des relevés bancaires et des formulaires fiscaux.
Refus net, et menace reportée sur TinyPulse
Nintendo a donc dit non aux 2 millions de dollars, soit environ 1,7 million d'euros. Du coup, les pirates changent de cible : faute de paiement, ShadowBytes menace désormais de s'attaquer directement à TinyPulse. On reconnaît là le scénario du moment, l'attaque par le maillon faible, ce sous-traitant auquel personne ne pense. Nintendo traîne pourtant une vieille réputation de cible facile. Mais ses fuites portaient jusqu'à présent sur du code source ou des prototypes de jeux. Cette fois, ce sont les ressources humaines de la maison qui se retrouvent dehors.
On en dit quoi ?
Refuser de payer ? C'est probablement la bonne décision. C'est même la seule tenable. Céder, ce serait financer l'attaque suivante et confirmer à tous les groupes du genre que Nintendo est un client rentable. Reste ce grand écart de communication, quand même gênant : un dump de 859 Mo bourré de relevés bancaires, présenté comme « limité et ancien », ça passe assez mal lorsque ce sont vos propres salariés qui figurent dedans. Et l'affaire rappelle une leçon que les grandes boîtes finissent toutes par apprendre à leurs dépens : on a beau blinder ses serveurs, sa sécurité ne vaut que celle du petit prestataire RH à qui on a confié les clés.
