Après la sortie du jeu pour smartphones dans la réalité augmentée de
Pokémon Go en juillet de l'année dernière, c'est devenu un phénomène international. Le jeu a motivé les joueurs à quitter la maison et à marcher dans les rues à la recherche de monstres. Une semaine après la sortie, le nombre d'utilisateurs de
Pokémon Go en 24 heures était supérieur à celui des utilisateurs actifs de Twitter.
Cependant, tout le monde ne pouvait pas lancer le jeu: la popularité folle de
Pokémon Go a attiré plus de joueurs que les serveurs du développeur d'applications Niantic ne pouvaient en supporter. "Probablement, la demande pour le jeu s'est avérée trop importante", a
suggéré l'une des sources , évoquant les blocages et les problèmes d'accès au serveur des joueurs du monde entier.
Cependant, la vérité était un peu différente.
Presque après le lancement du jeu, les pirates ont commencé à créer des armées de bots - des golems numériques, jouant à la place des utilisateurs, élevant Pokemon et assiégeant les pokestops pour gagner la compétition. Le jeune hacker français Maxim Griot raconte: «Nous avons découvert des variables cachées qui contrôlaient le« niveau de perfection »du Pokémon. Par conséquent, nos robots pourraient attraper les versions les plus avancées de tous les Pokémon. »
Armés de ces informations, les pirates ont pu utiliser des stratégies pour une expérience plus rapide que les joueurs en direct. «Nous pourrions atteindre des niveaux théoriquement impossibles pour l'utilisateur moyen», explique Griot.
Les pirates intrépides
Pokémon Go ont rapidement trouvé un moyen de tromper non seulement la probabilité, mais aussi la géographie. Les joueurs ordinaires pour chasser les monstres "endémiques" devaient physiquement visiter les endroits appropriés. Les hackers peuvent se déplacer n'importe où sur la carte où des créatures rares ont été capturées.
Alors que les médias de jeu traditionnels et spécialisés répètent l'histoire de la congestion des serveurs en raison de leur incroyable popularité parmi les joueurs, Griot, maintenant
ingénieur anti-triche chez
Bethesda Softworks , connaît la vérité:
les serveurs
Pokémon Go ont été submergés par des vagues de robots, pas d'humains. Fin août, Niantic a commencé à menacer discrètement les créateurs de robots accessibles
au public .
Ces dernières années, l'utilisation de robots de triche est devenue la malédiction de nombreux jeux vidéo en ligne. Fondamentalement, ce type de tricherie est courant dans les MMO, par exemple, dans
World of Warcraft . Les joueurs courts ou ennuyés utilisent des robots pour broyer des monstres - fermez automatiquement des points d'expérience pour améliorer leur personnage.
Les joueurs vivants sont déjà habitués à partager des mondes virtuels avec des bots, poursuivant mécaniquement et monotone leurs objectifs. Cependant, après avoir dépassé un certain nombre de bots, l'écosystème du jeu peut se bloquer.
«Surpassant les joueurs en direct dans la collecte de toutes les ressources disponibles, les bots peuvent rendre le monde injouable», explique Griot. «Cela peut tuer un match. Le grand nombre de robots jouant au jeu est plus dommageable pour l'éditeur que presque toutes les formes d'attaques de pirates informatiques. »
Les bots ne sont qu'une des façons dont les pirates peuvent déséquilibrer un jeu pour en profiter. Souvent, les pirates peuvent donner des avantages surhumains aux joueurs FPS; ils créent et vendent des tricheurs qui permettent à des utilisateurs sans scrupules d'
entrer automatiquement dans la tête ou de voir et de tirer à travers des objets.
Il peut être incroyablement facile pour un pirate expérimenté d'insérer le code souhaité dans un jeu exécutable, leur donnant (ou les personnes à qui ils ont vendu la triche) un avantage injuste sur les autres joueurs. Souvent, le trafic réseau pendant le jeu n'est pas crypté, afin de ne pas réduire sa vitesse. Sans cryptage, un attaquant peut modifier le trafic réseau transmis entre le jeu et le serveur. Si aucune vérification supplémentaire n'est effectuée côté serveur, le cheat possède des clés pour l'ensemble du monde virtuel.
«L'un des vecteurs d'attaque de pirates les plus populaires est l'ingénierie inverse», explique Griot, qui a appris à programmer à l'âge de quatorze ans. Après avoir déménagé de France à Los Angeles, il a commencé à pirater des jeux en ligne afin qu'ils fonctionnent sur des serveurs privés sans payer d'abonnement mensuel.
Alors qu'il était étudiant, il a même gagné de l'argent en publiant rapidement des jeux populaires sur des serveurs privés, en demandant des contributions volontaires. «La façon la plus simple de tromper un jeu est de comprendre comment fonctionne le client et comment le serveur réagit», dit-il. "Après avoir compris les données, les pirates informatiques écrivent simplement des bots ou contournent le mécanisme de défense côté client."
Ian Reynolds est l'un des principaux consultants britanniques en matière de sécurité en ligne. Dans le passé, il a effectué des tests de sécurité sur le réseau royal de Buckingham Palace. À son avis, les menaces de piratage pour les développeurs de jeux sont beaucoup plus importantes que les épidémies de robots ou de tricheurs. «De nombreux jeux modernes sont capables de traiter des informations financières pour acheter du contenu supplémentaire. Ces informations sont un objectif principal pour les communautés criminelles », dit-il.
Par exemple, en 2011, Sony a subi la plus grande cyberattaque à l'époque. Les noms, adresses, dates de naissance, adresses e-mail et informations d'enregistrement d'environ 77 millions de personnes de différentes parties du monde ont été volées au PSN.
"Si un attaquant est en mesure de modifier le code source du jeu, il pourra injecter du code malveillant dans le jeu, ce qui, lors d'un paiement, redirigera l'utilisateur vers une fausse page pour saisir les informations de carte de crédit."
En 2016, la plupart des attaques étaient motivées financièrement. Les plus courantes étaient les attaques DDoS, qui désactivent le serveur avec un flux de trafic artificiel. Souvent, de telles attaques ont été commises pendant les vacances scolaires, lorsque les soi-disant "script-kiddies" s'ennuyaient et voulaient donner un petit coup de pied en ligne. Mais de plus en plus souvent, les attaques DDoS sont utilisées comme moyen d'extorquer une rançon aux organisations pour les serveurs désactivés.
«Pour les revenus d'entreprises comme Sony ou Microsoft, ces types d'attaques ont un effet catastrophique», explique Reindolds. «De nombreux jeux utilisent un modèle d'abonnement ou du contenu acheté. Par conséquent, la panne de serveurs très rapidement peut créer un énorme déficit de profit, car les joueurs ne pourront pas faire d'achats. Les développeurs subissent également des pertes importantes lors du retour de fonds sur les cartes de crédit des utilisateurs: les joueurs en profitent pour ne pas avoir accès aux services pour lesquels ils ont payé. »
Il n'y a pas si longtemps, un type d'attaque malveillante plus personnelle contre les développeurs de jeux est apparu. En 2014, Phil Fish, fondateur de Polytron et créateur de Fès, est devenu la cible des hackers et des poursuivants. Ses données personnelles ont été publiées et les serveurs de l'entreprise ont été piratés. Des pirates ont volé et publié des courriels, des mots de passe, des informations bancaires et d'autres informations sur Fish, forçant le développeur canadien à changer de lieu de résidence.
«Les développeurs devraient être encouragés à masquer les comptes de médias sociaux et les forums en ligne afin que le moins possible de leurs informations personnelles soient accessibles au public», déclare Reynolds. «Moins le public divulgue d'informations sur une personne en particulier, moins il est probable que la collecte d'informations auprès de sources ouvertes fournisse à l'attaquant des informations utiles pour poursuivre l'attaque de
doxing .» Pour la sécurité des développeurs de jeux, l'authentification à deux facteurs et l'utilisation de mots de passe différents dans différents comptes sont essentielles, surtout s'ils soupçonnent qu'ils pourraient être la cible d'une attaque.
L'attaque contre Fish devait devenir une menace et lui faire peur. D'autres développeurs,
par exemple Valve , sont ensuite piratés pour obtenir des informations exclusives sur les futurs projets. «L'une des plus grandes menaces qui pèsent aujourd'hui sur les entreprises concerne les exploits côté client», explique Reynolds, qui teste souvent de manière indépendante la sécurité des bureaux de l'entreprise.
Par exemple, il pénétrait parfois dans les fumoirs d'organisations, habillé en forme de courrier et portant une grande boîte. Le calcul était basé sur le fait que quelqu'un lui ouvrirait la porte, lui permettant de contourner le système de sécurité. Une fois dans le bâtiment, Reynolds a commencé à chercher une salle de conférence vide pour accéder au réseau afin d'attaquer le domaine Windows ou l'infrastructure environnante.
«Jusqu'à présent, la méthode d'attaque la plus populaire est les liens ou fichiers malveillants dans les e-mails, qui permettent de percer le périmètre de sécurité de l'entreprise et d'accéder au réseau interne», dit-il.
«J'ai travaillé dans plusieurs studios dans lesquels un employé sans méfiance a cliqué sur un lien malveillant dans un e-mail, ce qui a conduit à la compromission de son poste de travail. L'attaquant a eu un accès complet au référentiel de code utilisé par l'équipe de développement. »
Des attaques de cette ampleur affectent grandement les éditeurs de logiciels. Le travail de plusieurs mois peut être perdu en quelques secondes si le code source est volé et publié en ligne. Il est également possible que l'attaquant insère du code malveillant dans le code source du jeu qui affectera directement l'utilisateur final.
«Dans la plupart des cas, les antivirus, et parfois le système d'exploitation lui-même, bloquent le code malveillant sur la machine de l'utilisateur final. Mais le code inséré dans le jeu peut entraîner la fuite d'informations importantes. Des attaques comme «l'homme au milieu» recueillent des données précieuses pour les communautés criminelles. »
Malgré le fait que de plus en plus d'entreprises sont conscientes des risques posés par les pirates de jeux vidéo organisés et leurs créateurs, Griot, qui a été des deux côtés du front, estime que les tricheurs et les voleurs ont un avantage. "Les hackers gagnent la bataille maintenant", dit-il.
«Les sociétés de jeux refusent d'investir dans les technologies de sécurité. Il est possible d'éviter une situation où des millions de dollars en coûts de jeu sont gaspillés en raison d'un bot bon marché ou d'un piratage. Les créateurs de jeux en ligne doivent prendre soin de la sécurité à l'avance, et pas quelques mois avant la sortie du jeu. "