La plate-forme de jeu d’Electronic Arts, EA Origin, a frisé la correctionnelle. Alertée par deux sociétés de sécurité elle a pu combler une faille de sécurité critique, à priori à temps.
EA Origin, la plateforme de jeu en ligne d’Electronic Arts, a été alertée par deux sociétés de cybersécurité israéliennes, Check Point et CyberInt, de l’existence d’une faille critique sur le service. EA Origin qui permet de jouer entre autres, à FIFA, Battlefield ou APEX est utilisé par des millions d’utilisateurs, qui auraient donc pu être exposés si la faille n’avait pas été corrigée à temps.
Check Point et CyberInt ont déclaré que cette vulnérabilité aurait pu permettre à des personnes malveillantes d’accéder aux informations personnelles de chaque membre du service et de prendre le contrôle de leur compte. C’est d’autant plus dommageable qu’EA Origin contient des données critiques telles que les informations de paiement de ses utilisateurs. En effet, contrairement à Steam, la plateforme d’Electronic Arts propose un abonnement (24,99€ par an ou 3,99€ par mois) pour mettre en relation les joueurs et leur permettre de jouer à une centaine de titres. Les deux sociétés israéliennes ont révélé qu’il était possible d’accéder au système en exploitant une suite de vulnérabilités et en détournant à la fois le système de jetons d’EA et celui d’authentification Single Sign-On (SSO).
Une faille corrigée à temps
Une fois la faille communiquée, et corrigée par EA, CyberInt et Check Point ont publié une vidéo sur Youtube expliquant le procédé qui avait été utilisé. L’opération se révèle assez complexe puisqu’elle nécessite les réussites successives d’un phising, d’un détournement de compte et la mise en place d’un sous domaine piraté.
https://youtu.be/AspvqZ555T0
De son côté EA a également réagi : « à la suite du rapport de CyberInt et Check Point, nous avons engagé notre processus de réponse en matière de sécurité des produits pour remédier aux problèmes signalés », a déclaré Adrian Stone, directeur de la sécurité des jeux et des plateformes chez Electronic Arts. Le communiqué de l’éditeur encourage ses utilisateurs à utiliser autant que possible l’authentification à deux facteurs pour limiter les risques.
Source : ArsTechnica