Fortnite : des millions de comptes potentiellement exposés par une faille

Alexandre Boero
Chargé de l'actualité de Clubic
17 janvier 2019 à 20h15
1
Fortnite couverture bannière

Une équipe de spécialistes en cybersécurité a dévoilé une nouvelle faille XXL exposant potentiellement les millions de joueurs de Fortnite. Epic Games, averti, a depuis réagi.

Une faille de sécurité a exposé plusieurs millions de comptes Fortnite, qui aurait pu permettre à un individu malhonnête de s'emparer du compte de n'importe quel joueur. C'est la société Check Point Research qui, par l'intermédiaire de ses spécialistes en cybersécurité Alon Boxiner, Eran Vaknin et Oded Vanunu, a dévoilé la nouvelle menace géante dont le titre phare d'Epic Games a été une nouvelle fois victime.

Une faille qui trouvait sa source lors du processus d'authentification

La faille permettait aux pirates de récupérer les identifiants de connexion des joueurs. Elle a permis d'utiliser le compte d'un utilisateur et d'effectuer des achats directement dans le jeu. Check Point révèle également que les hackers avaient accès aux conversations vocales, toujours depuis Fortnite.

La vulnérabilité partait du système d'authentification via une plateforme tierce comme PlayStationNetwork, Xbox Live, Nintendo, Facebook et Google+. Lorsque vous vous connectez depuis l'une d'elles, celle-ci génère un jeton (tokens) qu'elle renvoie ensuite à Epic Games, pour lui donner la possibilité d'accéder au compte.

Un seul clic suffisait à se faire déposséder de son compte

Les chercheurs de Check Point se sont rendu compte que deux sous-domaines appartenant à Epic Games pouvaient rediriger le jeton d'authentification vers un hacker, qui n'avait plus qu'à s'emparer du compte.

La supercherie consistait ensuite à inciter les joueurs à se connecter à de faux sites Web en passant par exemple par WhatsApp et un appât en leur promettant de recevoir des « V-Bucks », de la monnaie Fortnite. Une fois l'escroquerie enclenchée, ces sites poussaient les utilisateurs à fournir leurs identifiants de connexion au jeu, mais aussi des informations personnelles telles que le nom, l'adresse et les coordonnées bancaires, bien entendu.

Fortnite Video Check Point.png
Capture écran - Check Point Software Technologies, Ltd.

Epic Games a déjà déployé son correctif

Oded Vanunu a affirmé à nos confrères de BuzzFeed que les comptes protégés par l'authentification à deux facteurs étaient visiblement immunisés contre cette faille. Vanunu a rappelé que sur certains marchés online, des comptes Fortnite étaient vendus pour plusieurs milliers de dollars, avec une valeur renforcée par la présence de nombreux accessoires sur le compte.

La société de cybersécurité a informé Epic Games de la faille en amont de sa publication, ce qui a laissé le temps au développeur de réagir et de déployer un correctif, offrant une connexion sécurisée à sa gigantesque communauté. « Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mots de passe, en utilisant des mots de passe forts, et en ne partageant pas les informations de compte avec d'autres joueurs », a pour sa part déclaré un porte-parole d'Epic.


Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page