Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les jeux vidéo de plus en plus ciblés par le vol d’identifiants

avril 2021 par Arnaud Lemaire, Directeur Technique F5 France

Le secteur des jeux vidéo est en plein essor : forcée de rester chez elle, une clientèle de plus en plus importante s’est tournée vers le jeu vidéo comme loisir principal. Le marché, déjà important, a explosé : + 37 % d’une année sur l’autre, selon le cabinet d’études de marché NPD Group. Au total, le marché des jeux vidéo pesait 151 milliards de dollars en 2019, selon une étude de Grand View Research en 2020.

Tous les indicateurs sont au vert pour que le marché du jeu vidéo poursuive son envol, entre des blockbusters très attendus en 2021 (toutes plateformes confondues) et la sortie d’une nouvelle génération de consoles de jeu chez les deux principaux fabricants.

Une part importante de ce succès peut être attribué à un modèle particulier de distribution des jeux : le modèle «  free to play  » (F2P). Le jeu est alors gratuit, mais il offre la possibilité d’acheter des biens numériques afin d’améliorer le confort ou la personnalisation du jeu, par le biais de micro-transactions allant de quelques centimes à quelques euros. Ces achats ont souvent lieu dans l’univers du jeu ou sur une boutique en ligne gérée par l’éditeur.

L’un des premiers titres à adopter ce modèle a été le célèbre Candy Crush, et cela lui a permis de générer 1,5 milliard de dollars en 2018 sur les smartphones iOS Android. Cela représente tout de même 4,2 millions de dollars dépensés chaque jour par les joueurs à travers le monde  !

Au fil du temps, le modèle s’est étendu, et désormais, quel que soit leur jeu, il n’est pas rare que les joueurs possèdent des dizaines de costumes virtuels pour leurs personnages, de décorations pour leurs armes virtuelles, d’émotes (ou de danses  !) et d’autres produits de beauté numériques. Les coûts s’accumulent rapidement.

Et ce modèle est de plus en plus rentable. En 2019, Fortnite, le jeu de Battle Royale d’Epic Games, a ainsi rapporté 1,8 milliard de dollars, selon SuperData Research, une société de Nielsen. Son modèle commercial est entièrement basé sur les microtransactions.

Toutes ces transactions se font par carte bancaire ou via des services de paiement tels Paypal, et c’est là que les pirates s’intéressent au modèle : en dérobant l’accès aux jeux, ils mettent non seulement la main sur des centaines de dollars d’achats virtuels qu’ils pourront peut-être revendre, mais surtout, ils peuvent alors exploiter les moyens de paiement qui y sont associés.

Suivez l’argent  !

Ces chiffres vertigineux rendent à la fois logiques et terrifiants les résultats d’une étude récente menée par Atlas VPN. «  Suivre la trace de l’argent  » a toujours été un excellent principe d’investigation, et c’est exactement ce qu’a fait Atlas VPN. La société a découvert que les joueurs étudiés ont subi 9,83 milliards de tentatives de détournement de leur compte entre juillet 2018 et juin 2020. En d’autres termes, 14 millions d’attaques par jour ou 584 000 attaques par heure…

Les joueurs n’ignorent évidemment pas l’impact potentiel de ces attaques. Une autre enquête d’Atlas menée durant l’été 2020, concernant les principales préoccupations des joueurs, a révélé que la plus forte crainte concernant un éventuel vol de leur compte portait sur les informations relatives à leur carte de crédit (49,1 %). Toutefois, la perte d’actifs achetés dans le jeu n’était pas loin derrière…

Et au-delà des seuls aspects d’achat d’actifs virtuels ou de vol de carte bancaire, avec l’essor des jeux compétitifs et du streaming de jeu vidéo comme source de revenus, certains joueurs pourraient même se retrouver coupés de leur source de revenus s’ils ne peuvent plus accéder à leur compte de jeu vidéo  !

Bref, les comptes de jeu vidéo sont autant précieux pour les joueurs que pour les criminels, et il n’est donc pas surprenant de constater que ces derniers déploient autant d’efforts pour se les approprier. D’autant que même si le compte compromis ne comporte pas de données financières, les pirates peuvent toujours le revendre tel quel à d’autres joueurs, qui seront ravis de bénéficier ainsi de son équipement durement acquis par le propriétaire légitime, sans avoir à travailler dans le jeu pour l’obtenir. Ils pourront tout simplement vider ses coffres et transférer ses trésors à leur propre personnage. Cela est certes contraire aux conditions d’utilisation de la plupart des jeux, mais cela arrive fréquemment.

Des techniques de vol bien connues

Mais comment les pirates parviennent-ils à s’emparer des comptes des joueurs  ? Dans la plupart des cas, ceux-ci peuvent être accédés sur de multiples plateformes (site web, console, téléphones portables), ce qui multiplie les vecteurs d’attaque (la compromission d’une plateforme permettant l’accès via toutes les autres).

L’une des techniques très utilisées actuellement est le bourrage d’identifiants («  credential stuffing  » en anglais), qui consiste à essayer en masse les identifiants dérobés sur un site web mal protégé sur de nombreux autres services, eux mieux protégés, dans l’espoir qu’une victime ait réutilisé les mêmes.

Le credential stuffing est une menace majeure dans tous les secteurs numériques (tant la réutilisation des mots de passe est hélas courante), mais elle frappe bien sûr tout autant les comptes de jeu vidéo, où nombre d’utilisateurs se connectent avec la même adresse email que tous leurs autres services, et le même mot de passe.

La détection de ce type d’attaque est certes complexe : elle repose sur l’Intelligence Artificielle afin d’ingérer et d’analyser de grandes quantités de données en un minimum de temps. Il est ensuite nécessaire de corréler les données sur l’ensemble du flux et des services supervisés, afin de prévenir la fraude à la vitesse même où elle se produit.

Mais l’enjeu doit être à la hauteur des promesses du marché du jeu vidéo : si l’évolution actuelle se poursuit, ce marché pèsera à terme plusieurs centaines de milliards de dollars, offrira des centaines de milliers d’emplois, et attirera évidemment les cybercriminels les plus doués. Les défenses devront alors être capables de suivre. La bonne nouvelle, c’est que, pour ce qui est du bourrage d’identifiant, l’ensemble des acteurs du web sont aujourd’hui concernés  !




Voir les articles précédents

    

Voir les articles suivants