Cette semaine, nous avons appris que des pirates adolescents ont fait fortune en revendant des comptes volés pour le jeu en ligne populaire Fortnite.
Des joueurs ont signalé des comptes fortnite volés depuis un certain temps, mais la semaine passée, la véritable ampleur de ce problème de “piratage Fortnite” a été révélée. La BBC a interviewé un adolescent slovène qui a déclaré avoir gagné 16 000 £ (environ 17 500€) au cours des sept derniers mois.
Les attaquants accèdent aux comptes Fortnite à l’aide d’une technique appelée “bourrage d’identifiants” (credential stuffing). Ils recherchent des listes de noms d’utilisateurs/adresses électroniques exposés et de mots de passe obtenus à partir des piratages d’autres services et postés en ligne. Ils essaient ensuite d’utiliser ces identifiants pour se connecter au site de Fortnite. Lorsque l’un de ces identifiants fonctionne, c’est que le joueur légitime Fortnite a réutilisé son mot de passe sur un autre service.
Un voleur de compte qui réussit ne sait pas à l’avance ce qu’il obtiendra. Il peut s’agir d’un compte débutant sans valeur ou bien d’un compte contenant des objets électroniques plus précieux.
Créé par Epic Games, Fortnite est un jeu vidéo “phénomène”, dont le bénéfice est estimé à plusieurs centaines de millions de dollars. Il en existe différentes versions, mais la plus populaire est Battle Royale, qui oppose 100 joueurs les uns contre les autres dans un cercle de jeu décroissant. Le dernier joueur debout gagne.
Les joueurs peuvent gagner ou acheter la monnaie interne du jeu, appelée V-Bucks. Ils peuvent ensuite utiliser cette devise pour acheter des accessoires de jeu tels que des modèles de personnage, des skins pour leurs sacs à dos et leurs armes, et des emotes (tels que des danses à effectuer par leurs personnages).
Certains de ces objets sont extrêmement rares et valent beaucoup d’argent dans le monde réel. Ainsi, des intrus qui volent des comptes Fortnite contenant des objets de valeur peuvent les revendre et réaliser une très belle plus-value, se chiffrant parfois en des centaines d’euros.
Les utilisateurs/joueurs peuvent nettement compliquer le vol de leurs comptes Fortnite pour d’éventuels cybercriminels en activant l’authentification à deux facteurs (2FA), prise en charge par Fortnite à l’aide d’une application d’authentification portable ou par courrier électronique. Fortnite offre aux joueurs des avantages à ceux qui activent le 2FA, comme des emplacements pour sac à dos et un Troll Stash Llama, avec un emote gratuit. Pourtant, beaucoup de joueurs n’ont toujours pas encore saisi cette opportunité.
Lorsqu’un pirate vole un compte, il peut y avoir une fenêtre temporelle permettant à la victime de réinitialiser son mot de passe, mais le pirate en question peut très bien le changer en premier. Si le pirate active le 2FA, il empêchera alors l’utilisateur d’accéder à son compte !
Cependant, même les utilisateurs qui activent le 2FA peuvent toujours être vulnérables s’ils utilisent l’option 2FA basée sur la messagerie. S’ils réutilisent les mêmes mots de passe sur leurs comptes Fortnite et de messagerie, les attaquants pourraient également voler leurs comptes de messagerie et intercepter toute communication du système de sécurité du jeu.
Ce n’est pas la première fois que des comptes de jeux sont volés et revendus en ligne. En 2017, Riot Games, qui commercialise League of Legends, est allé devant les tribunaux pour empêcher une personne qui exploitait un site web de revente de comptes volés. En 2014, le Guardian a mentionné que des cybercriminels volaient également des comptes du service de jeu en ligne Steam, à l’aide de botnets, puis qu’ils les revendaient en ligne.
Plusieurs vols de mots de passe sur des forums de jeux ont également eu lieu, notamment une violation du forum Epic Games en 2016. Les vols de comptes de forum peuvent laisser les joueurs accéder à leur compte de jeu en ligne s’ils utilisent les mêmes identifiants de connexion, et ce bien qu’Epic protège ses mots de passe par salage avec des données supplémentaires, les rendant ainsi beaucoup plus difficiles à craquer.
En conclusion, si vous n’avez pas activé la fonctionnalité 2FA, vous devez le faire maintenant, et pas seulement pour Fortnite, mais pour tout service en ligne qui le prend en charge. Utilisez des mots de passe complexes et un gestionnaire de mots de passe, et ne réutilisez jamais vos mots de passe. Si vous avez réutilisé des mots de passe, changez les maintenant !
30% de réduction sur Sophos Home Premium
Sophos veut que vos vacances se déroulent sans stress. Cela signifie pas d’identifiants volés, de ransomwares, de piratages, d’espionnages ou de malwares. C’est pourquoi Sophos propose une réduction de 30% sur Sophos Home Premium. Avec Sophos Home sécurisant jusqu’à 10 Mac ou PC au sein de votre famille, vous pouvez protéger tout le monde.
Et j’espère que vous pourrez profiter des délices de Noël sans avoir à transformer en informaticien pour aider votre grand-mère qui a eu son compte Fortnite piraté pour la cinquième fois ce mois-ci !
Billet inspiré de Fortnite hackers making a fortune from reselling stolen accounts, sur Sophos nakedsecurity.