Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Pas de jeux en ligne sans audit de sécurité préalable

avril 2010 par CERT-XMCO

À quelques semaines de l’ouverture de la coupe du monde en Afrique de Sud, l’ARJEL (l’Autorité de Régulation des Jeux En Ligne) attire toutes les attentions des joueurs et des spécialistes de la sécurité informatique.

Les opérateurs de jeux devront, avant de commencer à accepter des joueurs, être homologués et subir des audits de sécurité de l’ARJEL. Autant dire que cela risque d’être la course !

Petit résumé technique du cahier des charges (encore des hypothèses de travail à cette heure) :

- Le trafic entre le joueur et la plate-forme de jeux devra transiter par un serveur appelé FRONTAL installé "en coupure" et hébergé en France avec un nom de domaine en fr. Ce frontal prendra le plus souvent la forme d’un reverse-proxy.

- Les joueurs français devront être redirigés vers de ce frontal (en fonction de leur adresse IP ou de leurs adresses postales).

- Les parties devront être enregistrées par un capteur (un mouchard informatique) : événement de jeux, adresse IP source, horodatage, signature XADES-T, ...

- Le capteur doit enregistrer l’évènement de jeu, de façon synchrone et donc bloquante. L’enregistrement sera enregistré dans le coffre uniquement lorsque le joueur reçoit la validation du site (appelé PLATE-FORME) et en confirme la réception.

- Les données du capteur seront chiffrées avec le certificat de l’ARJEL et stockées dans un coffre fort numérique ayant obtenu une certification de sécurité de premier niveau (CSPN)

- L’ARJEL pourra, et à distance, consulter le contenu du coffre.

- Le site doit vérifier l’age du joueur et s’assurer qu’il n’est pas interdit de jeux. Le site devra interroger la base de joueursur interdits de casino. Cette base sera hébergée par l’ARJEL. Plutôt qu’un Web-Service HTTP comme mode d’interrogation, l’ARJEL a choisi d’utiliser de façon détournée le protocole DNS ! Idée intéressante que de se baser sur un protocole vieux, mais surtout fiable et très fortement résilient (de par sa nature).

- La plate-forme de jeu doit être sécurisée du point de vue SSI et selon les exigences techniques qui seront dans le "Dossier des exigences techniques".

- Le logiciel de jeux devra être homologué (exempt de backdoor, verrue logicielle, générateur de nombre aléatoire...)

- La plate-forme de jeu devra avoir subi, avant ouverture, une première analyse de ses vulnérabilités techniques.

Le projet est examiné aujourd’hui lundi 12 avril, le cahier des charges définitif sera bientôt publié. En tant qu’expert, XMCO propose évidemment ses services d’audits de vulnérabilités et de tests d’intrusion aux futurs opérateurs de jeux en ligne.




Voir les articles précédents

    

Voir les articles suivants