AVERTISSEMENT : IsraĂ«l a dĂ©couvert une grave faille dans le jeu Fortnite : possibilitĂ© d’accĂ©der aux cartes de crĂ©dit, espionner les joueurs, connaitre leur position…

Des chercheurs de la société israélienne de cybersécurité Check Point Software Technologies Ltd. ont découvert des «vulnérabilités en matière de sécurité» dans Fortnite, un jeu vidéo en ligne populaire joué par des millions de personnes dans le monde.

La vulnĂ©rabilitĂ© a Ă©tĂ© trouvĂ©e dans le processus de connexion du jeu et elle aurait pu permettre aux pirates de s’emparer du compte de n’importe quel utilisateur, d’afficher des informations personnelles sur son compte, d’acheter de la monnaie virtuelle dans le jeu et d’Ă©couter les conversations dans le jeu ainsi que les conversations Ă  domicile, ont dĂ©clarĂ© les chercheurs.

Israel Hai - Toute l actualite israelienne en une seule application gratuite

Les chercheurs ont alerté le créateur du jeu, Epic Games, un développeur américain de jeux vidéo, et la faille a été réparée. Les joueurs de Fortnite testent leurs compétences et leur endurance dans un monde virtuel en affrontant d’autres joueurs en ligne pour obtenir des outils et des armes, et s’efforçant d’être la dernière personne survivante.

Le jeu, qui compte 200 millions d’utilisateurs enregistrĂ©s, reprĂ©sente près de la moitiĂ© de la valeur estimĂ©e de l’entreprise entre 5 et 8 milliards de dollars, selon les donnĂ©es compilĂ©es par Bloomberg.

« Avec une telle ascension fulgurante dans la fortune, il n’est pas surprenant que le jeu populaire ait dĂ©jĂ  attirĂ© l’attention de cyber-criminels dĂ©terminĂ©s Ă  tromper les joueurs sans mĂ©fiance », ont dĂ©clarĂ© les chercheurs de Check Point.

Les prĂ©cĂ©dentes escroqueries impliquant des joueurs trompĂ©s de Fortnite se sont connectĂ©es Ă  de faux sites Web afin d’acquĂ©rir de l’argent pour le match. Ces sites, diffusĂ©s via des campagnes sur les rĂ©seaux sociaux, demandent aux joueurs de saisir leurs identifiants de connexion, ainsi que des informations personnelles telles que le nom, l’adresse et les coordonnĂ©es de carte de crĂ©dit (gĂ©nĂ©ralement des parents du joueur).

Les chercheurs de Check Point ont toutefois trouvĂ© un moyen de reprendre les comptes des utilisateurs sans les obliger Ă  leur donner leurs identifiants de connexion. Ils ont pu identifier les vulnĂ©rabilitĂ©s du processus d’authen-tification de jetons d’Epic Games qui leur auraient permis de voler le jeton d’accès de l’utilisateur et d’effectuer une prise de contrĂ´le de compte.

Cela aurait permis aux pirates de se connecter au compte Fortnite d’un utilisateur et d’afficher toutes les donnĂ©es qui y Ă©taient stockĂ©es, y compris la possibilitĂ© d’acheter davantage de monnaie dans le jeu aux frais de l’utilisateur. Ils auraient Ă©galement accès Ă  tous les contacts dans le jeu de l’utilisateur et Ă©couter les conversations qui ont lieu pendant le jeu, a dĂ©clarĂ© le blog.

Check Point a alerté Epic Games à propos de cette vulnérabilité en novembre et la société a commencé à corriger la faille en décembre et a terminé la mise à jour mardi, a déclaré le porte-parole.

Un porte-parole de Check Point a dĂ©clarĂ© qu’il n’Ă©tait pas clair si les utilisateurs avaient Ă©tĂ© piratĂ©s Ă  l’aide de la vulnĂ©rabilitĂ© dĂ©couverte par les chercheurs israĂ©liens, qui est la plus importante identifiĂ©e Ă  ce jour. Mais il y a beaucoup de discussions en ligne avec des personnes qui disent avoir Ă©tĂ© piratĂ©es via Fortnite.

«Il va sans dire que parallèlement Ă  cette invasion massive de la vie privĂ©e, les risques financiers et le potentiel de fraude sont immenses», ont dĂ©clarĂ© les chercheurs. « Les utilisateurs pourraient très bien voir que des achats considĂ©rables de monnaie dans le jeu sont effectuĂ©s sur leurs cartes de crĂ©dit, l’attaquant canalisant cette monnaie virtuelle pour la vendre au comptant dans le monde rĂ©el. »

Les chercheurs de Check Point ont dĂ©clarĂ© que les organisations disposant de portails en ligne destinĂ©s aux clients devaient effectuer des contrĂ´les de validation appropriĂ©s sur les pages de connexion auxquelles ils demandent Ă  leurs utilisateurs d’accĂ©der. Ils doivent Ă©galement effectuer des «contrĂ´les d’hygiène approfondis et rĂ©guliers» sur l’ensemble de leur infrastructure informatique «afin de s’assurer qu’ils n’ont pas laissĂ© de sites ou de points d’accès obsolètes et inutilisĂ©s en ligne».

« Lorsque les attaquants sont constamment à la recherche du maillon faible de la présence en ligne de votre société, ces pages souvent inconnues et non protégées peuvent facilement servir de porte dérobée au réseau principal de votre entreprise », explique le blog.

MISE A JOUR :

01/17/2019 – 12:42:29

La société Epi Games a contacté notre site Infos Israel News afin de donner plus de détails à cette faille sur le jeu Fortnite :

« Nous avons Ă©tĂ© informĂ©s de ces vulnĂ©rabilitĂ©s et nous les avons rapidement corrigĂ©es. Nous remercions Check Point de nous avoir alertĂ©s. Comme toujours, nous encourageons les joueurs Ă  protĂ©ger leurs comptes en ne rĂ©utilisant pas les mĂŞmes mots de passe mais plutĂ´t des mots de passe avec un haut niveau de sĂ©curitĂ© et en Ă©vitant de partager leurs informations de compte avec d’autres joueurs.  »

Ajoutant :

 » De plus, nous tenons Ă  vous informer que l’article de Check Point (article source ) contient des informations erronĂ©es concernant l’Ă©coute des discussions en jeu. Voici ci-dessous un aperçu des passages erronĂ©s en gras pour votre rĂ©fĂ©rence.
« In the last few weeks, however, Check Point Research discovered security vulnerabilities in the game’s login process that could have allowed a threat actor to take over the account of any user, view their personal account information, purchase virtual in-game currency and eavesdrop on in-game chatter as well as home conversations.
He would also have access to all the user’s in-game contacts as well as listen in on and record conversations taking place during game play. »
Veuillez noter qu’il est et qu’il Ă©tait Ă  cet instant impossible d’Ă©couter et mĂŞme de façon anonyme les conversations ayant lieu durant le jeu »