Les chercheurs ont découvert une brèche dans le site d'Epic Games, l'éditeur du jeu particulièrement populaire Fortnite notamment. La faille aurait pu permettre à des pirates d'accéder sans problème aux comptes des utilisateurs. Il leur aurait alors été possible d'acheter de l'argent 'in-game' virtuel avec les données de cartes de crédit de joueurs.

Fortnite dispose actuellement de quasiment 80 millions de joueurs dans le monde entier et a dans le passé déjà été la cible de hackers. De précédentes tentatives d'hameçonnage (phishing) avaient pour but d'inciter les joueurs à laisser leurs données sur des sites web factices, avec la promesse qu'ils pourraient ensuite empocher de la monnaie virtuelle pour le jeu, ce qu'on appelle les V-bucks. Cette nouvelle faille aurait cependant pu être exploitée, sans que le joueur ne fournisse lui-même ses détails de login.

A ce que l'on dit chez Check Point, il s'agit de brèches dans l'infrastructure web d'Epic Games. Il en résulte que les chercheurs ont pu utiliser le système d'authentification basé sur des jetons (tokens) en combinaison avec des systèmes 'single sign-on' tels Facebook, Google et Xbox, pour se présenter sous une fausse identité en vue de voler des joueurs et prendre le contrôle de leurs comptes. Selon Check Point, deux sous-domaines d'Epic Games étaient tout spécialement vulnérables aux faux 'redirects' qui pouvaient être utilisés pour intercepter des jetons.

"Ce site web, c'est là où vous vous connectez, où se trouvent votre identité en ligne et votre monnaie virtuelle", précise Christof Jacques, security engineer chez Check Point, à Data News. "Si vous concevez un tel site web, vous devez veiller à ce que des facteurs externes ne puissent 'rediriger' vers un autre domaine. C'est ce qu'on n'a pas fait dans ce cas, ce qui nous a permis de dévier du trafic vers un autre site web. Et là, nous sommes parvenus à faire tourner des scripts pour intercepter des jetons ou en abuser."

'Single sign-on'

La faille concerne spécifiquement les systèmes 'single sign-on' permettant par exemple de se connecter avec Facebook ou Google. Avec ce genre de système, on se connecte sur un autre site web, qui transfère alors un jeton avec votre authentification à Epic Games.

"Ce type de 'login token' est votre sésame d'entrée. L'accès provient dans ce cas de Facebook ou de Google. Ce n'est pas un problème en soi, mais il convient alors de traiter correctement le jeton lors de son retour", ajoute encore Jacques."Dans ce cas, nous avons pu l'intercepter, ce qui nous a permis d'accéder au compte."

Epic Games héberge non seulement le jeu populaire Fortnite, mais aussi un magasin de jeux en ligne. Une fois connectés au compte, les éventuels pirates auraient pu utiliser les données de cartes de crédit pour acquérir de la monnaie 'in-game' virtuelle ou acheter d'autres jeux .

Fortnite a colmaté la brèche sécuritaire immédiatement après en avoir été informée par Check Point et, à ce qu'on sache, aucune victime n'est à déplorer. Il est recommandé aux utilisateurs qui veulent se protéger eux-mêmes contre ce type de faille, de recourir à l'authentification à deux facteurs, selon l'entreprise de sécurité.