Uplay : Ubisoft corrige une faille dans son système de DRM

31 juillet 2012 à 10h51
0
Les joueurs qui font appel au système de gestion de compte en ligne Uplay, édité par Ubisoft, sont invités à mettre à jour le client logiciel associé : les versions précédemment distribuées souffraient d'une faille de sécurité permettant d'obtenir l'exécution de code à distance depuis une simple page Web.

Voilà qui ne contribuera sans doute pas à populariser les dispositifs de gestion des droits numériques (DRM) utilisés dans l'univers du jeu vidéo. Tavis Ormandy, chercheur en sécurité chez Google, a récemment découvert l'existence d'une importante faille de sécurité au sein de l'extension pour navigateur associée au système Uplay, édité par Ubisoft et associé à nombre de ses titres phare.

Uplay se présente comme un client logiciel qui sert de point d'entrée pour l'accès aux jeux Ubisoft de l'utilisateur. La plateforme permet notamment à l'éditeur de valoriser l'achat de jeux neufs (par opposition aux jeux d'occasion) en distribuant, via des codes, l'accès à des contenus exclusifs. Lors de l'installation, l'exécutable uplay.exe s'invite également au sein du navigateur de l'utilisateur par l'intermédiaire d'une extension (plugin), autorisant le lancement d'un jeu directement depuis une page Web.

01CC000005333350-photo-uplay-ubisoft.jpg

Problème : comme l'a découvert Ormandy, les versions 2.0.3 et antérieures de l'installeur Uplay ne se limitaient pas à permettre l'exécution d'un jeu depuis le navigateur. Insuffisamment sécurisé, le plugin ouvrait la voie à l'exécution de code à distance, sans vérification. Un script aboutissant au lancement de la calculatrice Windows par l'intermédiaire d'un code interprété par Uplay a par exemple été mis en ligne lundi.

L'affaire n'a pas tardé à s'ébruiter sur le Web, non sans entraîner son lot de critiques virulentes. Ubisoft a cependant rapidement réagi, en proposant dès lundi une mise à jour du client Uplay, désormais disponible en version 2.0.4. Les joueurs concernés ont donc tout intérêt à désinstaller la version installée sur leur système avant de procéder à la mise à jour. Ils peuvent également désactiver le plugin associé automatiquement à leur navigateur via le menu Extensions de ce dernier...
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

R.Stallman : Steam sur Linux va à l'encontre du logiciel libre
Facebook en bourse : UBS demande des comptes
Twitter : 500 millions de comptes, dont un tiers réellement actifs
4G : l’Arcep lance sa consultation pour la réutilisation des fréquences
Facebook met à jour l'affichage des photos
GFI rachète la division business solutions de Thales
The Internet Map dresse la carte de 350.000 sites Web
Apple imposerait des restrictions sur les applications de mesure de trafic
Les vidéo-bulles de Google+ s'invitent au sein de Gmail
Apple contre Samsung : le procès géant commence ce soir
Haut de page