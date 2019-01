Les chercheurs de la firme de sécurité Check Point Software Technologies, basée à San Carlos, aux États-Unis, et à Tel Aviv, en Israël, ont révélé mercredi la découverte en fin d'année dernière d'une importante brèche de sécurité dans le très populaire jeu vidéo «Fortnite», qui compte quelque 80 millions de joueurs actifs mensuels dans le monde.

La faille, qui a rapidement été colmatée par l'éditeur Epic Games sans faire apparemment de victimes, pouvait permettre à des hackers de prendre le contrôle total de n'importe quel compte de joueur, de ses données et de son option de paiement par monnaie virtuelle, pour effectuer des achats frauduleux. La brèche pouvait aussi permettre d'écouter les conversations vocales dans le jeu et dans l'environnement proche du joueur.

La faille était liée à des sous-domaines vulnérables de l'infrastructure web d'Epic Games. Les hackers pouvaient détourner à leur avantage le processus d'authentification par jeton (token) fonctionnant avec le système «single sign-on» (SSO), qui permet de se connecter avec un compte Facebook, Google ou Xbox. Il leur suffisait d'envoyer un lien d'hameçonnage à la victime afin de subtiliser son jeton d'authentification sans qu'elle ait à se connecter avec ses identifiants.

«Avec les failles que nous avons récemment recensées dans les plates-formes utilisées par le fabricant de drones DJI, on voit à quel point les applications cloud sont vulnérables aux attaques. Ces plates-formes sont de plus en plus ciblées par les pirates informatiques en raison de l'énorme quantité de données sensibles qu'elles contiennent», explique Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point. Pour se protéger contre ce type de faille, l'entreprise de sécurité recommande d'utiliser l'authentification à deux facteurs.

Par le passé, «Fortnite» a déjà été victime d'une faille de sécurité, notamment en août dernier dans l'application qui permettait de télécharger la version Android du jeu.

(L'essentiel/man)