Une équipe de spécialistes en cybersécurité a dévoilé une nouvelle faille XXL exposant potentiellement les millions de joueurs de Fortnite. Epic Games, averti, a depuis réagi.
Une faille de sécurité a exposé plusieurs millions de comptes Fortnite, qui aurait pu permettre à un individu malhonnête de s'emparer du compte de n'importe quel joueur. C'est la société Check Point Research qui, par l'intermédiaire de ses spécialistes en cybersécurité Alon Boxiner, Eran Vaknin et Oded Vanunu, a dévoilé la nouvelle menace géante dont le titre phare d'Epic Games a été une nouvelle fois victime.
Une faille qui trouvait sa source lors du processus d'authentification
La faille permettait aux pirates de récupérer les identifiants de connexion des joueurs. Elle a permis d'utiliser le compte d'un utilisateur et d'effectuer des achats directement dans le jeu. Check Point révèle également que les hackers avaient accès aux conversations vocales, toujours depuis Fortnite.La vulnérabilité partait du système d'authentification via une plateforme tierce comme PlayStationNetwork, Xbox Live, Nintendo, Facebook et Google+. Lorsque vous vous connectez depuis l'une d'elles, celle-ci génère un jeton (tokens) qu'elle renvoie ensuite à Epic Games, pour lui donner la possibilité d'accéder au compte.
Un seul clic suffisait à se faire déposséder de son compte
Les chercheurs de Check Point se sont rendu compte que deux sous-domaines appartenant à Epic Games pouvaient rediriger le jeton d'authentification vers un hacker, qui n'avait plus qu'à s'emparer du compte.La supercherie consistait ensuite à inciter les joueurs à se connecter à de faux sites Web en passant par exemple par WhatsApp et un appât en leur promettant de recevoir des « V-Bucks », de la monnaie Fortnite. Une fois l'escroquerie enclenchée, ces sites poussaient les utilisateurs à fournir leurs identifiants de connexion au jeu, mais aussi des informations personnelles telles que le nom, l'adresse et les coordonnées bancaires, bien entendu.
Capture écran - Check Point Software Technologies, Ltd.
Epic Games a déjà déployé son correctif
Oded Vanunu a affirmé à nos confrères de BuzzFeed que les comptes protégés par l'authentification à deux facteurs étaient visiblement immunisés contre cette faille. Vanunu a rappelé que sur certains marchés online, des comptes Fortnite étaient vendus pour plusieurs milliers de dollars, avec une valeur renforcée par la présence de nombreux accessoires sur le compte.La société de cybersécurité a informé Epic Games de la faille en amont de sa publication, ce qui a laissé le temps au développeur de réagir et de déployer un correctif, offrant une connexion sécurisée à sa gigantesque communauté. « Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mots de passe, en utilisant des mots de passe forts, et en ne partageant pas les informations de compte avec d'autres joueurs », a pour sa part déclaré un porte-parole d'Epic.
