Des chercheurs en sécurité ont découvert une faille qui permettait à des pirates de prendre le contrôle d’un compte Fortnite. Rapidement corrigée par Epic Games, cette brèche permettait d’accéder à de nombreuses données personnelles, dont des informations bancaires.
Jeu phénomène et poule aux œufs d’or d’Epic Games, Fortnite compte plus de 200 millions de joueurs dans le monde. Un succès sans précédent qui rapporte gros à son éditeur – aujourd’hui valorisé à plus de 15 milliards de dollars – et qui attire les pirates. Les joueurs et Epic Games ne sont d’ailleurs pas passés loin de la catastrophe et l’éditeur d’un des jeux les plus populaires du moment peut sans doute remercier les chercheurs en sécurité de Check Point. Ces spécialistes en cybersécurité expliquent avoir découvert une faille sur le site d’Epic Games permettant potentiellement à des pirates de prendre le contrôle des comptes Fortnite. Le tout sans même avoir besoin d’un mot de passe.
Gratuit, le jeu génère des recettes importantes et s’appuie notamment sur sa boutique en ligne et sa monnaie virtuelle (le V-Buck). Celle-ci s’acquiert contre de l’argent bien réel et nécessite pour cela d’enregistrer les informations de leur carte bancaire. Un procédé qui n’a pas manqué d’attirer les pirates et escrocs en tout genre qui proposent des V-Bucks à prix cassé ou gratuits. Les chercheurs de Check Point ont quant à eux découvert qu’une faille permettait de prendre le contrôle du compte d’un joueur, de consulter ses informations personnelles, d’acheter des V-bucks, ou encore d’écouter et d’enregistrer les conversations des joueurs dans le jeu ainsi que les conversations personnelles.
Loin de la simple arnaque, la découverte de cette équipe de chercheurs israéliens leur permet d’expliquer qu’il s’agit d’une « méthode beaucoup plus sophistiquée et sinistre ». En effet, cette dernière n’exigeait pas du joueur qu’il fournisse son mot de passe pour s’emparer de son compte. La brèche était présente dans certains sous-domaine de l’éditeur Epic Games, dont la page ut2004stats.epicgames.com. Cette dernière était sujette attaques de type XSS et contenait une faille de type SQL injection, permettant à un utilisateur malveillant de voler le jeton d’identification de l’utilisateur (token).
Epic Games a déjà corrigé la faille
Dans une vidéo de démonstration, les chercheurs invitent le joueur à cliquer sur lien malicieux (hameçonnage) en lui proposant des V-Bucks gratuits. Le simple fait de cliquer sur le lien, sans entrer de données personnelles, permet à un pirate de s’emparer du jeton et d’avoir accès à l’ensemble du compte. L’exemple montre qu’il est alors possible d’utiliser la carte bancaire du joueur pour acheter des options ou de la monnaie virtuelle et d’accéder à d’autres informations personnelles.
Les chercheurs de Check Point ont rapidement informé Epic Games de cette vulnérabilité et un correctif a rapidement été déployé. Dans un communiqué, l’éditeur explique : « Nous avons été informés de ces vulnérabilités et nous les avons rapidement corrigées. Nous remercions Check Point de nous avoir alertés. Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mêmes mots de passe, mais plutôt des mots de passe avec un haut niveau de sécurité et en évitant de partager leurs informations de compte avec d’autres joueurs ». Il est également recommandé d’utiliser l’authentification à deux facteurs.
