© Valve
© Valve

Des modes personnalisés créés sur DOTA 2 et exploitant une faille qui soulève un danger de sécurité ont été découverts.

La faille de haute sévérité en question se trouve sur la V8 de JavaScript, ce qui offre potentiellement un accès à distance aux joueuses et joueurs qui utilisent les modes de jeu concernés.

Pirate DOTO

Les modes créés par la communauté sur DOTA 2 sont monnaie courante. Certains sont même devenus si populaires qu'ils ont donné naissance à de nouveaux types de jeu, comme Auto Chess, depuis largement repris ailleurs. Malheureusement, certains modes n'ont pas d'intentions aussi louables.

C'est notamment le cas de plusieurs modes créés par un utilisateur de Steam et publié sur le Workshop. D'ordinaire, Valve analyse de telles créations avant leur publication pour s'assurer qu'elles ne présentent aucun danger. Or, les modes en question semblent avoir réussi à passer entre les mailles du filet.

Ils portent des noms rocambolesques comme « test addon plz ignore », « Overdog no annoying heroes », « Custom Hero Brawl », ou encore « Overthrow RTZ Edition X10 XP ». Chacun a été établi comme exploitant la faille de JavaScript V8.

Une menace dormante

Ainsi, les joueuses et joueurs de DOTA 2 qui ont rejoint les modes précités exposaient potentiellement leur ordinateur à un accès à distance par leur créateur. Celui-ci pourrait ainsi installer d'autres malwares ou portes dérobées pour revenir exploiter la machine infectée à l'envi.

La menace est cependant à tempérer. Quand bien même le créateur des modes n'a malicieusement pas jugé bon d'avertir Valve de cette faille, un correctif a été appliqué le mois dernier, et les modes suspects ont été supprimés.

Au vu de la portée minime des modes litigieux, leur créateur s'en est en toute vraisemblance servi dans un but de recherche. Son objectif, aussi malhonnête qu'il soit, ne paraissait pas être d'infecter des ordinateurs à tour de bras, surtout avec des modes aussi obscurs. Mais la porte est en tout cas potentiellement ouverte à d'autres exploitations de ce type, même si la faille qui nous intéresse ici a été corrigée, et les modes dangereux, mis hors d'état de nuire.

Steam
  • Magasin varié et régulièrement mis à jour.
  • Nombreuses fonctionnalités sociales.
  • Chat vocal satisfaisant sur le multijoueur.
8 / 10