Close
  • Français
  • English

Quand les Hackers s’en prennent aux Gamers… [par Ludovic Lecomte]

Depuis plus de deux ans, l’un des jeux en ligne les plus joués au monde, Counter Strike Global Offensive (alias CS:GO), malmène les nerfs de ses joueurs, fréquemment ciblés par des attaques de type Deni de Service Distribué (DDoS).

CS:GO est un jeu de tir à la première personne, par équipe de 5, qui consiste grosso modo pour l’équipe 1 à poser une bombe sur l’un des deux sites accessibles, et pour l’équipe 2, à empêcher la pose de la bombe ou la désamorcer dans un temps restreint le cas échéant. Les parties officielles se déroulent sur un serveur de jeux géré par l’éditeur Valve et les temps de latence sont variables en fonction de la connexion Internet du joueur et de la configuration de sa machine (en moyenne < 50 ms). Les IP des ordinateurs et du serveur de jeu sont très souvent publiques.

C’est de cette dernière observation que les problèmes commencent pour les « Gamers » (joueurs). En effet, des programmes ont été développés permettant, sur simple renseignement du nom du joueur (et donc indirectement de son adresse IP), d’envoyer vers sa machine un très grand nombre de requêtes. Cette attaque a pour effet de faire passer le temps de latence à plus de 150ms et de « paralyser » le personnage sur le champ de bataille : mouvement difficile/ralenti, découverte de l’ennemi avec plus d’une seconde de retard, saut d’image, etc. Au final, les chances de victoire sont alors fortement augmentées en figeant quelques-uns de ses adversaires.

Malheureusement, CS:GO n’est pas le seul jeu eSport impacté par ce type d’attaque. Le jeu de bataille en arène multijoueur : League of Legend (alias LoL de l’éditeur Riot) connaît également son lot de cyberattaques. L’attaque nommée « Drophack » consiste à envoyer de nombreuses requêtes vers le serveur hébergeant la partie. En cas de succès, le serveur déconnecte tous les joueurs ayant pour effet d’invalider la partie. Vous l’aurez compris, il ne convient pas cette fois-ci de prendre un avantage sur la partie à travers l’attaque de type DDoS mais uniquement de se sortir d’une partie mal engagée et d’invalider le résultat.

Un dernier exemple avec le jeu World of Warcraft (WoW) de l’éditeur Blizzard qui a subi, à de multiples reprises, de fortes attaques de type DDoS (dont une attaque majeure en août 2015). Cependant, les motivations semblaient différentes, car l’objectif était de rendre le jeu totalement inaccessible. Dans ce cas, on peut imaginer que l’éditeur ai été la cible d’une « cybermanifestation » pour marquer le désaccord de certains joueurs avec la politique de l’éditeur (forfait mensuel pour jouer au jeu WoW sur les serveurs officiels).

 

La plupart du temps, les joueurs se trouvent démunis face à ce type d’attaque et doivent se résigner à jouer à d’autres jeux ou passer à d’autres occupations. Les éditeurs de jeux, quant à eux, agissent peu en prévention face à ce type de menace. En effet, beaucoup d’éditeurs sont restés sur le risque majeur de piratage du jeu ayant un impact direct sur les ventes et chiffre d’affaires. Les modèles économiques des jeux vidéos ont pourtant fortement évolué ces dernières années, notamment avec la dématérialisation (plateforme d’achat de jeux en ligne), le Free To Play (jeu en ligne gratuit permettant la réalisation de micro-transactions : crédits, mode de jeu, personnages, etc.) et l’explosion du « Game streaming » (partage de vidéo en direct de joueurs professionnels ou amateurs). Les menaces et motivations auraient donc bien besoin d’être réévaluées.

Mais pourquoi s’en prendre aux joueurs ou au monde de l’eSport ?

Plusieurs motivations peuvent être évoquées.

Il y a tout d’abord le joueur en soif de victoire qui va effectuer une attaque sur le serveur de jeu ou les machines de ses concurrents et ainsi s’assurer de gagner le point. Il récoltera alors, pour un coût quasi nul, la reconnaissance des autres joueurs en exhibant ses statistiques dignes d’un « PGM » (ProGaMer : personne dont la profession est joueur).

Le deuxième facteur de motivation est lié à l’essor du Free To Play. En effet, les jeux proposent de plus en plus de micro-transactions réalisables à partir d’argent virtuel ou réel. Dès lors, il devient intéressant de gagner une partie pour encaisser de l’argent virtuel (ou ne pas en perdre). À défaut de moyen nécessaire pour acheter directement des crédits, personnages, mode de jeu, etc. le joueur pourra être tenté de tricher pour gagner plus d’argent virtuel et se payer les choses dont il rêve. L’appât du gain est fort, pour exemple, certaines armes de CS:GO ont une valeur réelle de plusieurs dizaines d’euros voire centaines. Cet argent virtuel pourra être utilisé pour acheter d’autres jeux sur la plateforme de jeu (Steam) ou même être retiré en argent réel, en passant par un site intermédiaire qui vous permettra de verser l’argent sur votre compte PayPal. Il y a donc tout un écosystème qui s’est créé autour des objets virtuels et des micro-transactions dans les jeux vidéos.

Enfin, les discussions au sujet de ces attaques ont fortement augmenté avec l’essor de l’eSport et la mise en place de paris “sportifs” sur les compétitions. De nombreux joueurs professionnels ont d’ailleurs témoigné en vidéo avoir été « victimes collatérales » de ce type d’attaque. Bien que nous pourrions penser que la France est bien armée notamment avec l’Autorité de Régulation des Jeux en Ligne (ARJEL), nous restons en retard face aux risques liés à l’eSport. En effet, la notion de eSport est seulement en cours d’officialisation (projet de loi pour une République numérique) et par conséquent, toute l’économie qui s’est créée autour est assez floue. Par exemple, si vous allez sur un site de pari sur les matchs CS:GO, vous pourrez miser en argent virtuel sur une compétition pour récupérer un objet « virtuel » ayant une valeur en euros importante. Il suffira de revendre l’objet sur une plateforme tierce pour récupérer l’argent via PayPal. Ces mécanismes ne sont pas nouveaux, ils peuvent être facilement comparés au trafic et blanchiment réalisé avec les monnaies virtuelles.

La médiatisation par les joueurs professionnels a permis aux éditeurs de commencer à implémenter des mesures de sécurité. Cependant, cela reste des actions en mode réactif et elles sont très peu souvent liées à une appréciation des risques à priori. De plus, les « Hackers » ont déjà pris un coup d’avance, en ciblant non plus directement les jeux, mais en privilégiant les attaques sur les applications de communication nécessaires aux joueurs (TeamSpeak, Skype, etc.). Certains joueurs, excédés d’être la cible d’attaque DDoS, ont choisi de passer par des tunnels VPN pour jouer, avec toutes éventuelles contraintes de latence que cela peut provoquer.

Pour conclure, le eSport est en pleine croissance dans le monde et les gains sont de plus en plus importants lors des tournois (jusqu’à plusieurs centaines de milliers de dollars). Il serait donc nécessaire de réaliser une analyse globale des risques liés au eSport, prenant en compte l’entièreté de l’écosystème. Cette dernière pourrait permettre la définition d’un cadre réglementaire, de bonnes pratiques de sécurisation des jeux vidéos multijoueurs en ligne et d’assurer aux joueurs de pouvoir profiter de leurs loisirs virtuels.

 

Références: