Une faille de sécurité chez Electronic Arts aurait menacé les informations et les données sensibles de près de 700 millions de comptes. L’entreprise a réagi – mais de manière un peu trop hésitante pour celui qui l’a découverte.
Les pirates auraient pu facilement accéder aux données sensibles de quelque 700 millions de comptes Electronic Arts. C’est la découverte qu’aurait faite le chercheur en sécurité Sean Kahler. Il a démontré dans un billet de blog à quel point il était facile d’usurper l’identité des joueurs.
« L’histoire commence », comme l’écrit Kahler, en lançant quelques tests avec un environnement de développement interne d’EA qu’il a “trouvé il y a quelque temps”. Selon ses propres dires, il a ainsi pu se servir de millions de comptes d’utilisateurs via une interface de programmation non protégée.
Les pirates auraient ainsi eu toute latitude pour s’en donner à cœur joie. Ils auraient pu voler des données personnelles, s’approprier des identités ou bloquer des comptes. Selon les chercheurs en sécurité, les joueurs du jeu de tir à la première personne Battlefield 2042 ont été particulièrement touchés.
« Un peu étrange », le temps que met EA à apporter des corrections
Kahler a montré sa découverte à l’entreprise de jeux vidéo. « Compte tenu de la gravité du problème, il est un peu étrange de voir le temps qu’il a fallu à EA pour publier des corrections », commente-t-il. Certes, il comprend que « c’est plus compliqué en interne, mais un patch rapide aurait été conseillé ».
Le 16 juin de cette année, il a transmis les points faibles à Electronic Arts. Le 8 juillet, le premier patch est arrivé, dix jours plus tard le deuxième. Les 6 et 10 septembre, les mises à jour trois et quatre ont suivi, et le 8 octobre, la dernière à ce jour.
Pour Kahler, « il est également décevant qu’EA n’ait pas encore lancé de programme de bug bounty ». Autrement dit, une initiative qui promet des récompenses pour l’identification et la communication de bugs. « Comme il n’y a pas de réelle incitation à signaler les failles, je connais des gens qui ont plutôt choisi de les garder pour eux », explique Kahler. Il serait « ravi qu’EA suive l’exemple du reste de l’industrie à cet égard »
