Découverte par les chercheurs d'un éditeur de solutions de sécurité, une faille dans Fortnite permettait de prendre la main sur le compte d'un joueur, et d'accéder ses données confidentielles. Corrigée depuis par Epic Games, cette brèche permettait d'utiliser la carte bancaire enregistrée et d'écouter les parties à l'insu des joueurs.


au sommaire


    Grâce à son équipe de chercheurs, l'éditeur de systèmes de sécurité Check Point Software Technologies a découvert une faille dans le jeu vidéo Fortnite qui concernait potentiellement l'ensemble des comptes enregistrés, soit 200 millions de joueurs partout dans le monde. La version principale du jeu, baptisée Fortnite Battle RoyaleFortnite Battle Royale, consiste en un combat joueur contre joueur, avec des parties accueillant jusqu'à 100 joueurs à la fois, organisés en équipes de deux ou quatre, ou en solo. Ils doivent parcourir la carte à la recherche d'armes, d'objets et de ressources. La dernière équipe encore en vie remporte la partie.

    Les joueurs peuvent acheter des V-Bucks, l'argentargent virtuel du jeu, en dépensant de l'argent bien réel après avoir enregistré les informations de leur carte bancaire, et le plus souvent, celle de leurs parents. Ces achats n'offrent aucun avantage stratégique, et servent principalement à obtenir des améliorations cosmétiques. Malgré cela, les comptes peuvent se revendre sur des sites spécialisés pour plusieurs centaines d'euros, les transformant en une cible de choix pour les pirates. Les arnaques les plus courantes utilisent de faux sites qui promettent aux joueurs des V-Bucks gratuits ou à prix cassés, les incitant à s'identifier et donc, à donner au site leur mot de passe.

    Un piratage en un simple clic

    La découverte de l'équipe de chercheurs israélienne est beaucoup plus sophistiquée, et consiste en une faille dans l'identification en passant par un autre sous-domaine de l'éditeur Epic Games. Le site http://ut2004stats.epicgames.com, dédié aux résultats d'Unreal Tournament 2004, contenait une faille SQL. Les chercheurs ont pu en profiter pour voler le jeton d'identification OAuth de l'utilisateur, qui lui permet de s'identifier avec un compte tiers, comme FacebookFacebook, Xbox LiveXbox Live, NintendoNintendo, GoogleGoogle ou encore PlayStation Network. Ce jeton suffit à accéder au compte du joueur sur le site. L'attaque prend la forme d'un lien, par exemple en promettant des V-Bucks en promotion. Le simple fait de cliquer sur le lien permet au pirate de voler le jeton, aucune autre action n'est nécessaire.

    La démonstration des chercheurs montre qu'ils ont pu accéder à l'ensemble du compte, et même acheter la monnaie virtuelle avec la carte bancaire enregistrée. Cependant, l'intrusion ne se limite pas aux seules informations personnelles sur le site. En se connectant au compte, un éventuel pirate aurait pu suivre les discussions dans le jeu, notamment les discussions audio. Tout intrus aurait, non seulement, pu entendre le joueur parler, mais également des conversations d'autres personnes en fond, à proximité du microphone.

    Le piratage permettait d'utiliser la carte bancaire du joueur pour acheter de la monnaie virtuelle, mais aussi d'écouter les joueurs en pleine partie. © Epic Games 

    La faille déjà corrigée

    Epic Games a promptement réagit et répondu dans un communiqué à des confrères américains : « Nous avons été informés de ces vulnérabilités et nous les avons rapidement corrigées. Nous remercions Check Point de nous avoir alertés. Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mêmes mots de passe mais plutôt des mots de passe avec un haut niveau de sécurité et en évitant de partager leurs informations de compte avec d'autres joueurs. »

    Même corrigée avec un patch, il n'en demeure pas moins que cette brèche, non exploitée en l'état puisque découverte par des chercheurs, pourrait inciter des pirates à creuser davantage les protections du jeu pour exploiter d'autres failles. Et cette fois, ce n'est pas certain que l'éditeur en sera informé...