Fortnite : des millions de comptes potentiellement exposés par une faille

17 janvier 2019 à 20h15
1
Fortnite couverture bannière

Une équipe de spécialistes en cybersécurité a dévoilé une nouvelle faille XXL exposant potentiellement les millions de joueurs de Fortnite. Epic Games, averti, a depuis réagi.

Une faille de sécurité a exposé plusieurs millions de comptes Fortnite, qui aurait pu permettre à un individu malhonnête de s'emparer du compte de n'importe quel joueur. C'est la société Check Point Research qui, par l'intermédiaire de ses spécialistes en cybersécurité Alon Boxiner, Eran Vaknin et Oded Vanunu, a dévoilé la nouvelle menace géante dont le titre phare d'Epic Games a été une nouvelle fois victime.

Une faille qui trouvait sa source lors du processus d'authentification

La faille permettait aux pirates de récupérer les identifiants de connexion des joueurs. Elle a permis d'utiliser le compte d'un utilisateur et d'effectuer des achats directement dans le jeu. Check Point révèle également que les hackers avaient accès aux conversations vocales, toujours depuis Fortnite.

La vulnérabilité partait du système d'authentification via une plateforme tierce comme PlayStationNetwork, Xbox Live, Nintendo, Facebook et Google+. Lorsque vous vous connectez depuis l'une d'elles, celle-ci génère un jeton (tokens) qu'elle renvoie ensuite à Epic Games, pour lui donner la possibilité d'accéder au compte.

Un seul clic suffisait à se faire déposséder de son compte

Les chercheurs de Check Point se sont rendu compte que deux sous-domaines appartenant à Epic Games pouvaient rediriger le jeton d'authentification vers un hacker, qui n'avait plus qu'à s'emparer du compte.

La supercherie consistait ensuite à inciter les joueurs à se connecter à de faux sites Web en passant par exemple par WhatsApp et un appât en leur promettant de recevoir des « V-Bucks », de la monnaie Fortnite. Une fois l'escroquerie enclenchée, ces sites poussaient les utilisateurs à fournir leurs identifiants de connexion au jeu, mais aussi des informations personnelles telles que le nom, l'adresse et les coordonnées bancaires, bien entendu.

Fortnite Video Check Point.png
Capture écran - Check Point Software Technologies, Ltd.

Epic Games a déjà déployé son correctif

Oded Vanunu a affirmé à nos confrères de BuzzFeed que les comptes protégés par l'authentification à deux facteurs étaient visiblement immunisés contre cette faille. Vanunu a rappelé que sur certains marchés online, des comptes Fortnite étaient vendus pour plusieurs milliers de dollars, avec une valeur renforcée par la présence de nombreux accessoires sur le compte.

La société de cybersécurité a informé Epic Games de la faille en amont de sa publication, ce qui a laissé le temps au développeur de réagir et de déployer un correctif, offrant une connexion sécurisée à sa gigantesque communauté. « Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mots de passe, en utilisant des mots de passe forts, et en ne partageant pas les informations de compte avec d'autres joueurs », a pour sa part déclaré un porte-parole d'Epic.


Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
0
Urleur
encore faut-il avoir fait des achats et mettre se CB, c’est pour les rouhrouh.
Voir tous les messages sur le forum

Actualités du moment

Grand débat national : le site Web est en ligne depuis le 15 janvier
Quand Trump inspire Netflix, ça donne
Informatique quantique : un essor contrarié par la difficulté à se procurer les matériaux
Slack s'offre un nouveau logo et fait son autocritique de l'ancien
AMD dément à demi-mot la faible production des Radeon VII
Les USA envisagent une inculpation pénale de Huawei, pour vol de secrets commerciaux
Car2go : le service de voitures électriques en autopartage signé Daimler débarque à Paris
Un premier leak de Android Q, successeur de Pie, fait son apparition
Orange et Groupama fondent, ensemble, une entreprise de télésurveillance
AMD défend les performances de sa Radeon VII
Haut de page