Une récente découverte d’un éditeur de solution de sécurité montre une faille dans le système de Fortnite permettant notamment de dérober des données confidentielles, mais aussi d’écouter à leurs insus les joueurs utilisant le système vocal du jeu.
Désormais, Fortnite est le jeu le plus joué au monde avec plus de 200 millions d’inscrits et un pic de plus de 8 millions de personnes jouant simultanément. Mais alors que le créateur de ce jeu Epic Games, roule sur l’or et bichonne son jeu en ajoutant régulièrement du contenu et en créant de l’attraction à l’aide de compétitions avec des cash prize (gain) explosant des records, 100 millions de dollars pour 2018/2019. Tout a failli être fichu en l’air par une simple faille dans le système de sécurité du jeu.
En effet, un groupe de chercheurs de Check Point Software Technologies, une entreprise d’édition de système de sécurité informatique, découvre une faille dans le jeu. Si le jeu est gratuit, il possède tout de même une plateforme de micro-transaction permettant de payer avec du “vrai argent” dans le jeu pour des cosmétiques : des danses, des emotes ou des skins (changement d’apparence). Sauf que cette plateforme de micro-transactions est une bonne raison pour tenter de voler les comptes pour les hackers.
La découverte de l’équipe de chercheurs consiste en une faille dans l’identification en passant par un autre sous-domaine de l’éditeur Epic Games. Le site http://ut2004stats.epicgames.com, dédié aux résultats d’Unreal Tournament 2004, contenait une faille SQL (un peu trop complexe à expliquer mais c’est un problème de langage informatique). Les chercheurs ont pu en profiter pour voler le jeton d’identification de l’utilisateur, qui lui permet de s’identifier avec leurs comptes Facebook, Xbox Live, Nintendo, Google ou encore PlayStation Network. Ce jeton suffit à accéder au compte du joueur sur le site. L’attaque prend la forme d’un lien, par exemple en promettant des V-Bucks en promotion. Le simple fait de cliquer sur le lien permet au pirate de voler le jeton, aucune autre action n’est nécessaire.
« Nous avons été informés de ces vulnérabilités et nous les avons rapidement corrigées. Nous remercions Check Point de nous avoir alertés. Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mêmes mots de passe mais plutôt des mots de passe avec un haut niveau de sécurité et en évitant de partager leurs informations de compte avec d’autres joueurs. »
Epic Games a donc résolu le problème dès qu’il en a entendu parler. Mais cette faille dans le système fut la première jamais recensée dans le système du jeu, et maintenant que les hackers savent qu’il y a eu un point de passage, ils ne vont pas se gêner pour fouiller au maximum le jeu à la recherche d’une autre erreur de code.