{"id":810,"date":"2013-04-11T14:00:52","date_gmt":"2013-04-11T14:00:52","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=810"},"modified":"2020-02-26T15:39:08","modified_gmt":"2020-02-26T15:39:08","slug":"un-jeu-sans-regles","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/un-jeu-sans-regles\/810\/","title":{"rendered":"Un jeu sans r\u00e8gles"},"content":{"rendered":"

Les analystes de Kaspersky Lab m\u00e8nent actuellement des recherches sur une s\u00e9rie d\u2019attaques cibl\u00e9es contre les d\u00e9veloppeurs de jeux vid\u00e9o. Il s\u2019av\u00e8re que des cybercriminels volent de la monnaie utilisable dans les jeux, des codes sources et des certificats num\u00e9riques. Dans ce post, vous apprendrez tout ce que les joueurs en ligne (et les d\u00e9veloppeurs) doivent savoir.<\/p>\n

Les attaques APT (de l\u2019anglais Advanced Persistent Threat) ne ciblent pas seulement les agences gouvernementales et militaires; les cybercriminels sont tout aussi capables de passer leur temps et de d\u00e9penser leur argent \u00e0 pirater une compagnie ordinaire, du moment qu\u2019ils peuvent en tirer des b\u00e9n\u00e9fices. Ce fait a \u00e9t\u00e9 clairement d\u00e9montr\u00e9 dans les r\u00e9sultats d\u2019une \u00e9tude men\u00e9e<\/a> par les experts de Kaspersky Lab pendant un an, qui a d\u00e9couvert l\u2019existence d\u2019un groupe criminel qui passait son temps \u00e0 espionner les d\u00e9veloppeurs de jeux vid\u00e9o.<\/p>\n

Bien que les cybercriminels ciblent exclusivement les ordinateurs de compagnies de jeux vid\u00e9o, les premi\u00e8res infections ont \u00e9t\u00e9 identifi\u00e9es sur les ordinateurs de joueurs ordinaires. Une erreur des pirates a fait qu\u2019un cheval de Troie s\u2019est retrouv\u00e9 sur un serveur de mise \u00e0 jour et a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur les ordinateurs des joueurs,\u00a0 o\u00f9 certains utilisateurs consciencieux l\u2019ont d\u00e9tect\u00e9. Le cheval de Troie a imm\u00e9diatement attir\u00e9 l\u2019attention des analystes de malwares car il s\u2019agit d\u2019un outil d\u2019administration \u00e0 distance au complet qui permettait aux pirates d\u2019obtenir un contr\u00f4le total des ordinateurs de leurs victimes. En outre, il incluait un certificat de licence authentique et valide de fa\u00e7on \u00e0 pouvoir s\u2019installer sans que l\u2019ordinateur ne le notifie \u00e0 la victime.<\/p>\n

Une enqu\u00eate sur la mani\u00e8re dont ce fichier r\u00e9ussissait \u00e0 p\u00e9n\u00e9trer dans un serveur de mise \u00e0 jour a r\u00e9v\u00e9l\u00e9 tout un r\u00e9seau de cyber-espionnage comme on en voit dans les grosses productions hollywoodiennes. Premi\u00e8rement, des messages d\u2019hame\u00e7onnage \u00e9taient utilis\u00e9s pour infecter les ordinateurs de certains employ\u00e9s de compagnies de jeux vid\u00e9o. Apr\u00e8s avoir r\u00e9ussi \u00e0 infecter un ordinateur, le cheval de Troie, Winnti, t\u00e9l\u00e9chargeait une multitude de modules d\u2019administration \u00e0 distance \u00e0 partir de serveurs C&C, et envoyait un rapport informant les pirates de la situation. Un des cybercriminels \u00e9tablissait ensuite une connexion manuelle \u00e0 l\u2019ordinateur, \u00e9valuait la situation et d\u00e9cidait s\u2019il \u00e9tait int\u00e9ressant de continuer \u00e0 surveiller l\u2019ordinateur ou pas. Si le pirate d\u00e9cidait de ne pas poursuivre la surveillance de l\u2019appareil, toute trace du logiciel espion \u00e9tait alors supprim\u00e9e de l\u2019ordinateur. S\u2019ils d\u00e9cidaient du contraire, les cybercriminels collectaient tout ce qu\u2019ils pouvaient. La priorit\u00e9 \u00e9tait donn\u00e9e aux codes sources des jeux vid\u00e9o et aux certificats de licence. Une fois en possession des codes sources, les criminels pouvaient ensuite se consacrer \u00e0 la recherche de vuln\u00e9rabilit\u00e9s dans les serveurs de jeux et \u00e0 la cr\u00e9ation de m\u00e9canismes pour cr\u00e9er des biens virtuels ou lancer des serveurs de jeux alternatifs pirat\u00e9s pour en vendre l\u2019acc\u00e8s \u00e0 bas prix. Pour ce qui est des certificats de licence, ils \u00e9taient utilis\u00e9s pour cr\u00e9er des nouveaux malwares et probablement vendus \u00e0 d\u2019autres cybercriminels, les certificats vol\u00e9s ayant \u00e9t\u00e9 retrouv\u00e9s plus tard dans d\u2019autres r\u00e9seaux criminels et utilis\u00e9s dans des affaires de cyber-espionnage politique.<\/p>\n

L\u2019industrie du jeu vid\u00e9o est r\u00e9ellement internationale : les compagnies les plus importantes poss\u00e8dent de vastes r\u00e9seaux de bureaux partout \u00e0 travers le monde, et un certain nombre de d\u00e9veloppeurs coop\u00e8rent ensemble afin de faciliter la localisation et la commercialisation des jeux en acc\u00e9dant aux r\u00e9seaux corporatifs des uns et des autres. Un seul r\u00e9seau infect\u00e9 est donc suffisant aux cybercriminels pour qu\u2019ils puissent infecter d\u2019autres compagnies. Bien qu\u2019il soit encore difficile d\u2019\u00e9valuer l\u2019ampleur du probl\u00e8me, il est maintenant clair que des douzaines de compagnies ont \u00e9t\u00e9 attaqu\u00e9es en Russie, en Allemagne, aux Etats-Unis, en Chine, en Cor\u00e9e du Sud et dans d\u2019autres pays.<\/p>\n

Bien que le groupe criminel ciblait les d\u00e9veloppeurs de jeux vid\u00e9o, les joueurs en subiront \u00e9galement les cons\u00e9quences \u2013 pour diverses raisons. Premi\u00e8rement, la monnaie utilis\u00e9e dans les jeux ainsi que les objets qui ne sont pas pris en compte par les d\u00e9veloppeurs cr\u00e9ent un d\u00e9s\u00e9quilibre dans le monde du jeu vid\u00e9o, dans lequel tous les param\u00e8tres, y compris ceux de l\u2019argent, sont calcul\u00e9s minutieusement. Deuxi\u00e8mement, les entreprises dont le travail de plusieurs ann\u00e9es a \u00e9t\u00e9 vol\u00e9 par les cybercriminels, ne pourront peut-\u00eatre pas amortir leurs co\u00fbts de d\u00e9veloppement, leurs utilisateurs jouant sur des serveurs pirat\u00e9s. Ce qui pourrait, au bout du compte, avoir un impact \u00e9norme sur le financement du jeu vid\u00e9o en question. Troisi\u00e8mement, les cybercriminels peuvent utiliser des serveurs de mise \u00e0 jour compromis pour distribuer leur malware \u00e0 tous les joueurs. Nous n\u2019avons pas de preuves indiquant que le groupe Winnti infecte les joueurs d\u00e9lib\u00e9r\u00e9ment en infectant certaines compagnies, mais nous ne pouvons pas \u00e9carter cette hypoth\u00e8se non plus \u2013 les cybercriminels pourraient \u00eatre pay\u00e9s par un tiers pour effectuer cette t\u00e2che.<\/p>\n

Afin d\u2019\u00e9viter cette menace, vous pouvez prendre certaines pr\u00e9cautions :<\/p>\n