Les joueurs qui font appel au système de gestion de compte en ligne Uplay, édité par Ubisoft, sont invités à mettre à jour le client logiciel associé : les versions précédemment distribuées souffraient d'une faille de sécurité permettant d'obtenir l'exécution de code à distance depuis une simple page Web.
Voilà qui ne contribuera sans doute pas à populariser les dispositifs de gestion des droits numériques (DRM) utilisés dans l'univers du jeu vidéo. Tavis Ormandy, chercheur en sécurité chez Google, a récemment découvert l'existence d'une importante faille de sécurité au sein de l'extension pour navigateur associée au système Uplay, édité par Ubisoft et associé à nombre de ses titres phare.
Uplay se présente comme un client logiciel qui sert de point d'entrée pour l'accès aux jeux Ubisoft de l'utilisateur. La plateforme permet notamment à l'éditeur de valoriser l'achat de jeux neufs (par opposition aux jeux d'occasion) en distribuant, via des codes, l'accès à des contenus exclusifs. Lors de l'installation, l'exécutable uplay.exe s'invite également au sein du navigateur de l'utilisateur par l'intermédiaire d'une extension (plugin), autorisant le lancement d'un jeu directement depuis une page Web.
Problème : comme l'a découvert Ormandy, les versions 2.0.3 et antérieures de l'installeur Uplay ne se limitaient pas à permettre l'exécution d'un jeu depuis le navigateur. Insuffisamment sécurisé, le plugin ouvrait la voie à l'exécution de code à distance, sans vérification. Un script aboutissant au lancement de la calculatrice Windows par l'intermédiaire d'un code interprété par Uplay a par exemple été mis en ligne lundi.
L'affaire n'a pas tardé à s'ébruiter sur le Web, non sans entraîner son lot de critiques virulentes. Ubisoft a cependant rapidement réagi, en proposant dès lundi une mise à jour du client Uplay, désormais disponible en version 2.0.4. Les joueurs concernés ont donc tout intérêt à désinstaller la version installée sur leur système avant de procéder à la mise à jour. Ils peuvent également désactiver le plugin associé automatiquement à leur navigateur via le menu Extensions de ce dernier...
Alexandre Laurent
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech,...
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet.
Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
