Vulnérabilité de Fortnite: seuls les sécurisés survivent

Vulnérabilité de Fortnite: seuls les sécurisés survivent

Au cours des deux derniers siècles, la théorie de la sélection naturelle de «La survie du plus apte» de Darwin a façonné notre vision de l’existence de l’homme sur la terre. Cependant, ces dernières années, Fortnite, le jeu en ligne extrêmement populaire joué par des millions de personnes dans le monde entier, a propulsé ce concept de survie à un tout autre niveau.

Joué dans un monde virtuel, les joueurs de Fortnite doivent tester leur endurance alors qu’ils affrontent d’autres joueurs en ligne avec des outils et des armes assurant leur sécurité et leur position de force. Cependant, au cours des dernières semaines, Check Point Research a découvert des vulnérabilités de sécurité dans le processus de connexion du jeu qui auraient pu permettre à un acteur menaçant de reprendre le compte d’un utilisateur, d’afficher les informations personnelles de son compte, d’acheter une devise virtuelle dans le jeu et d’écouter le chat dans le jeu ainsi que des conversations à la maison.

Vidéo de l’attaque:

Précédents hacks Fortnite

Créé par Epic Games, un développeur américain de jeux vidéo, Fortnite est le jeu joué par près de 80 millions de personnes dans le monde et est responsable de près de la moitié de la valeur estimée de leur entreprise entre 5 et 8 milliards de dollars. Avec une telle ascension fulgurante dans la fortune, il n’est pas surprenant que le jeu populaire ait déjà attiré l’attention des cybercriminels déterminés à tromper les joueurs sans méfiance.

Auparavant, ces escroqueries incitaient les joueurs à se connecter à de faux sites Web qui promettaient de générer la devise “V-Buck” de Fortnite, une marchandise qui ne peut généralement être acquise que par l’intermédiaire du store officiel Fortnite ou en les gagnant dans le jeu lui-même. Ces sites encouragent les joueurs à entrer leurs identifiants de connexion, ainsi que des informations personnelles telles que le nom, l’adresse et les détails de carte de crédit (généralement ceux de leurs parents) et sont diffusés via des campagnes sur les réseaux sociaux qui prétendent que les joueurs peuvent «gagner facilement de l’argent» et «gagner rapidement de l’argent».

Les recherches de l’équipe de Check Point reposaient toutefois sur une méthode beaucoup plus sophistiquée et sinistre, qui ne nécessitait pas que l’utilisateur transmette les informations de connexion. Au lieu de cela, il a tiré parti de l’utilisation de jetons d’authentification par Epic Games en conjonction avec des fournisseurs d’authentification unique tels que Facebook, Google, X-Box et d’autres, intégrés au processus de connexion de Fortnite.

Le processus habituel d’authentification fortnite

Pour qu’un utilisateur puisse se connecter à Fortnite à l’aide d’un tiers tel que Google ou Facebook, le diagramme ci-dessous illustre le processus habituel.

Diagramme: processus d’authentification de jeton habituel de Fortnite

Cependant, en raison de failles dans l’infrastructure Web d’Epic Games, les chercheurs de Check Point ont été en mesure d’identifier les vulnérabilités liées au processus d’authentification par jeton pour voler le jeton d’accès de l’utilisateur et procéder à une prise de contrôle de compte.

Comment fonctionne l’attaque

Une faille a été trouvée dans la page de connexion de Epic Games, accounts.epicgames.com. Comme ce domaine n’avait pas été validé, il était sujet à une redirection malveillante. En conséquence, l’équipe de chercheurs a redirigé le trafic vers un autre sous-domaine Epic Games, bien que non utilisé.

C’est sur ce sous-domaine, qui contient également des failles de sécurité, que l’équipe de recherche a été en mesure d’identifier une attaque XSS afin de charger un code JavaScript qui adresserait une demande secondaire au fournisseur de connexion unique, par exemple Facebook ou Google+, pour renvoyer l’authentification jeton. Le fournisseur d’authentification unique renverrait correctement le jeton à la page de connexion. Cependant, cette fois en raison de la redirection malveillante, le jeton serait renvoyé au sous-domaine manipulé où l’attaquant est capable de collecter le jeton via son code JavaScript injecté.

Pour que l’attaque réussisse, il suffit à la victime de cliquer sur le lien de phishing malveillant envoyé par l’attaquant. Pour augmenter la probabilité qu’une victime potentielle clique sur ce lien, par exemple, il pourrait être envoyé avec un attrait de crédits de jeu gratuits et prometteurs. Une fois que l’utilisateur a cliqué et que l’utilisateur n’a même pas besoin de saisir ses identifiants de connexion, son jeton d’authentification Fortnite serait immédiatement capturé par l’attaquant.

Diagramme: Le flux d’attaque pour voler le jeton de connexion d’un utilisateur et effectuer une reprise de compte.

Les dommages causés

Avec le jeton d’accès entre les mains de l’attaquant, il peut désormais se connecter au compte Fortnite de l’utilisateur et consulter toutes les données qui y sont stockées, y compris la possibilité d’acheter plus de monnaie dans le jeu aux frais de l’utilisateur. Il aurait également accès à tous les contacts dans le jeu de l’utilisateur, ainsi qu’à l’écoute et à l’enregistrement des conversations en cours de jeu.

Inutile de dire qu’avec cette invasion massive de la vie privée, les risques financiers et le potentiel de fraude sont immenses. Les utilisateurs pouvaient très bien voir d’énormes achats de monnaie dans le jeu effectués sur leurs cartes de crédit, l’attaquant canalisant cette monnaie virtuelle pour la vendre au comptant dans le monde réel. Après tout, comme mentionné ci-dessus, nous avons déjà vu des escroqueries similaires sur la popularité de Fortnite.

Clés à emporter

Il est important que les organisations dont les portails en ligne sont destinés aux clients effectuent des contrôles de validation appropriés sur les pages de connexion auxquelles elles demandent à leurs utilisateurs d’accéder. Ils doivent également effectuer des contrôles d’hygiène complets et réguliers sur l’ensemble de leur infrastructure informatique afin de s’assurer qu’ils n’ont pas laissé de sites ou de points d’accès obsolètes et inutilisés en ligne. Lorsque des attaquants sont constamment à la recherche du maillon faible de la présence en ligne de votre société, ces pages souvent inconnues et non protégées peuvent facilement servir de porte dérobée au réseau principal de votre entreprise.

Il est également vivement conseillé, comme Epic Games l’encourage également, aux utilisateurs d’activer l’authentification à deux facteurs. Ce faisant, et lorsqu’il se connecte à son compte depuis un nouveau périphérique, l’utilisateur doit entrer un code de sécurité qui est ensuite envoyé par courrier électronique au propriétaire du compte.

Pour les consommateurs, les précédentes escroqueries impliquant Fortnite incitent les joueurs à n’utiliser que le site Web officiel pour le téléchargement ou l’achat de modules complémentaires. Il est également important que les parents sensibilisent leurs enfants à la menace de fraude en ligne et les avertissent que les cybercriminels feront tout ce qui est en leur pouvoir pour accéder aux informations personnelles et financières pouvant être détenues dans le compte en ligne d’un joueur.

La solution sous-jacente, cependant, est de toujours rester vigilant lors de la réception de liens envoyés de sources inconnues. Après tout, pour que l’attaque soit réussie, de nombreuses attaques de phishing ne nécessitent aucune action de la part de l’utilisateur, si ce n’est qu’un clic sur le lien.

Avec autant de données stockées en ligne, en particulier dans le cloud, le mode d’accès à ces données doit être examiné de manière approfondie et amélioré régulièrement. Malgré les nouvelles réglementations telles que le GDPR, les violations de données via des prises de compte se produisent encore presque quotidiennement et les dommages qu’elles provoquent peuvent facilement avoir une incidence sur le fait qu’une organisation vive ou non pour combattre un autre jour.

Ainsi, dans le paysage en constante évolution de la cybermenace, il semble que les observations de Charles Darwin sonnent peut-être plus vrai aujourd’hui que jamais, car «ce n’est pas la plus forte des espèces qui survit, ni la plus intelligente, mais la plus sensible au changement.  “

Etat de la sécurité des terminaux de Forrester pour 2019: priorité à la prévention des menaces Clipper Malware trouvé masqué comme un service légitime sur Google Play Store