Une vulnérabilité permet aux hackers de prendre le contrôle du compte Fortnite d'un joueur, de voler ses données et de dépenser de l'argent pour acheter des V-Bucks
Fortnite a risqué de tomber sous le coup d'une attaque de hackers et de mettre en danger les profils de millions de joueurs. L'alerte a été donnée par la société de cybersécurité Check Point, experte en solutions de cybersécurité et toujours à l'avant-garde lorsqu'il s'agit de découvrir de nouvelles failles dans les programmes ou services les plus utilisés par les utilisateurs. Heureusement, Check Point et Epic Games (le développeur de Fortnite) ont déjà pris des mesures pour corriger la vulnérabilité et sécuriser les comptes des utilisateurs.
La faille découverte par les chercheurs de Check Point permettait aux pirates non seulement de prendre possession du compte Fortnite d'un joueur, mais aussi d'obtenir toutes ses données personnelles et d'acheter de la monnaie virtuelle de jeu vidéo (V-Buck) en utilisant sa carte de crédit. En outre, le hacker pouvait également intercepter les conversations, lire les chats et écouter les bruits dans la pièce où l'utilisateur jouait à Fortnite. En bref, il s'agit d'une violation complète de la vie privée d'une personne, qui pourrait également être poursuivie.
Fortnite, comment fonctionne la vulnérabilité découverte par Check Point
Ce n'est pas la première fois que Fortnite est piraté. Il y a plusieurs mois, le jeu a été utilisé dans une campagne de phishing promettant de donner des V-Bucks (la monnaie virale de Fortnite) en échange de données personnelles. La BBC a même découvert l'existence d'un marché noir des comptes Fortnite, les pirates volant des profils à l'aide de skins rares et les revendant sur le dark web.
La brèche découverte cette fois par Check Point est beaucoup plus complexe et implique plusieurs étapes. La structure web d'Epic Games présentait trois vulnérabilités et celles-ci affectaient le processus d'authentification par jeton utilisé en conjonction avec les systèmes d'authentification unique (SSO) tels que Facebook, Google et Xbox. Pour faire simple, les vulnérabilités affectaient les processus d'authentification qui demandent l'accès à un service via un profil Facebook, Google ou Xbox.
Pour tomber dans le piège du hacker, il suffisait de cliquer sur un email de phishing envoyé par Epic Games, mais qui était en réalité envoyé par un hacker. En cliquant sur le jeton d'authentification, l'attaquant obtenait vos informations de connexion à Fortnite et disait effectivement adieu à votre profil personnel. Selon Check Point, les pirates ont pu obtenir les données des jetons en raison de deux sous-domaines d'Epic Games exposés à une redirection malveillante.
Comment défendre votre compte Fortnite contre les pirates
Comme mentionné, la vulnérabilité a été corrigée et il est désormais impossible pour les pirates de poursuivre leur travail. Toutefois, Check Point et Epic Games mettent en garde les utilisateurs contre les courriels d'hameçonnage promettant une monnaie virtuelle gratuite en échange de données personnelles ou sensibles. Pour être à l'abri des mauvaises surprises, Epic Games exhorte tous les utilisateurs à activer l'authentification à deux facteurs, le moyen le plus sûr de protéger leur compte Fortnite. Avec la vérification à deux facteurs, si un pirate informatique mettait la main sur votre mot de passe, il devrait connaître un deuxième code qui n'est qu'en votre possession. En outre, l'activation de l'authentification à deux facteurs vous offre également un émote en cadeau.
Un conseil pour les parents également : vérifiez toujours ce que vos enfants font en ligne. Ils pourraient tomber dans l'un des nombreux pièges tendus par les pirates informatiques sans s'en rendre compte. Les éduquer sur les dangers d'Internet serait un bon début.