Les défaitistes avaient raison, la sortie de la version Android du jeu à succès Fortnite, en contournant Google Play Store constituait véritablement un risque pour la sécurité.
L’éditeur Epic Games a lancé le 9 août dernier des invitations pour télécharger la version bêta de Fortnite pour Android sur son site web. Quelques jours plus tard, un expert sécurité de Google, sous le nom d’Edward, a publié des informations concernant une vulnérabilité dans le programme d’installation, qui aurait pu rendre possible une attaque, récemment surnommée, “Man-in-the-disk” (MITD).
Il s’agissait d’une mauvaise nouvelle pour plusieurs raisons, la première étant que quiconque l’exploitait pouvait facilement mettre en place son propre malware à la place du fichier APK (Fortnite Android Package) sur les appareils Samsung (le partenaire de lancement exclusif du jeu), sans que l’utilisateur ne s’en aperçoive.
Une éventualité alarmante, bien sûr, et c’est pourquoi Epic a corrigé le tir en changeant le lieu de stockage du downloader, en passant d’un espace public à un espace privé, et ce le jour même où la mauvaise nouvelle est tombée, à savoir le 16 août.
Mais Epic a dû faire face à un deuxième problème, Google a déclaré qu’il rendrait la faille publique une semaine plus tard, le 23 août, conformément à sa politique de divulgation réputée sévère.
Evidemment, Epic n’était pas content, affirmant qu’un tel délai ne permettrait pas à tous les utilisateurs Samsung de la première heure et à ses utilisateurs Samsung bêta de recevoir une mise à jour.
Tim Sweeney, CEO et fondateur d’Epic, le lendemain du jour où Google a rendu public la faille, a tweeté :
Nous avons demandé à Google de mettre en suspens la divulgation jusqu’à ce que la mise à jour soit plus largement installée. Ils ont refusé, créant un risque inutile pour les utilisateurs Android afin d’obtenir facilement des bons points en matière de communication.
Bien sûr, si Epic avait mis Fortnite pour Android à disposition sur le Play Store au lieu de l’offrir sous la forme d’applications sideloadées au niveau des serveurs d’Epic, cette vulnérabilité n’aurait peut-être jamais existé !
Trouver une faille dans un jeu semble assez grave, mais trouver une faille béante dans le logiciel conçu pour télécharger le jeu en question, et ce hors du Play Store semble encore pire, même si la faille a été facilement corrigée.
Les utilisateurs de Fortnite se moquent complétement de l’endroit où récupérer l’application Android, mais ce n’est pas le cas d’Epic et Google.
Comme cela a été largement débattu au cours des semaines qui ont précédé la publication de l’application, héberger Fortnite pour Android sur Google Play obligerait à céder 30% de la valeur du produit, pour avoir ce privilège.
Étant donné que Fortnite pour iOS d’Apple aurait rapporté 27 millions de dollars (environ 23 millions d’euros) par mois, héberger l’APK sur les serveurs d’Epic semblait être un excellent moyen de réduire le nombre d’intermédiaires !
Les cyniques feront remarquer que le modèle commercial Android de Google dépend au moins en partie de cette réduction, et que perdre le jeu le plus phénoménal du moment au détriment d’un téléchargement direct ne se digère pas aussi facilement !
Quoi qu’il en soit, le sideloading comporte de gros risques, en particulier sur les versions d’Android antérieures à Android 8.0 (Oreo), qui permettent toujours aux utilisateurs de télécharger à partir de “sources inconnues” de manière globale, plutôt qu’application par application.
Les applications malveillantes peuvent exploiter ce paramètre pour s’installer, y compris les applications Fortnite pour Android complètement fausses du type de celles qui ont circulé plus tôt cet été.
Que la décision de Google de divulguer la faille, après une semaine, soit justifiée ou non, il est difficile d’affirmer que le modèle de distribution d’Epic est bon pour la sécurité à long terme de ses utilisateurs.
Billet inspiré de Google created “unnecessary risk” for Fortnite users, claims Epic boss, sur Sophos nakedsecurity.