Saviez-vous qu’en 2021, plus de 40% des joueurs de jeux vidéo ont été victimes de piratage ou de triche, ce qui représente des millions de personnes à l'échelle mondiale, révélant ainsi les failles de sécurité de leurs univers virtuels préférés ? Comment ces pirates opèrent-ils dans l'ombre ? Quelles sont leurs motivations obscures derrière leurs actions ? C'est ce que nous allons explorer ensemble. I - Les motivations des hackers Afin de se rendre compte de l’étendue de la cybersécurité dans le jeu vidéo, il est important de comprendre ce qui pousse les hackers à s’intéresser au domaine. En 2020, l'industrie du jeu vidéo représente un chiffre d'affaires marchand de 3,5 milliards d'euros, selon les données publiées par le ministère de la culture, en France seulement. Suite à la pandémie mondiale, qui a poussé de nombreuses nations au confinement, beaucoup de foyers se sont tournés vers les jeux vidéoludiques pour combler leurs journées. L’industrie du jeu vidéo a connu un véritable bond en avant, d’après les sources de Newzoo, le marché mondial des jeux a atteint 184,0 milliards de dollars de revenus en 2023. Il est aussi important de comprendre dans quels domaines et comment les hackers peuvent profiter de ce boom économique pour s’en mettre plein les poches, et quelles failles peuvent être exploitées par ces derniers. En effet, les pirates informatiques disposent de différentes stratégies et motivations pour s’attaquer au monde du jeux vidéo. L’une des manières les plus lucratives est la génération illégale de biens et de ressources virtuels (argent dans le jeu, objet rare, customisation de personnages ou d’objets) afin de les revendre à d’autres joueurs contre de l’argent, lui, bien réel. Effectivement, beaucoup de joueurs sont prêts à payer avec leur argent personnel pour acquérir des ressources difficilement obtenables dans un jeu. C’est ce qui s’est passé en 2013, sur le fameux jeu de simulation de foot « FIFA ». Un groupe de jeunes Américains a réussi à empocher des millions de dollars en générant d'innombrables « FIFA Coins », pièces du célèbre jeu « FIFA » d'EA SPORTS, avant d'être rattrapés par la justice. Anthony Clark, développeur de 23 ans et ses trois amis trouvent une faille qui permet de générer des sommes considérables de « FIFA Coins ». En concevant une application capable de faire croire aux serveurs de l’éditeur qu’un match était terminé, le groupe d’amis pouvait percevoir en retour une pièce de récompense. Grâce à l’automatisation de ce processus, des Coins pouvait être générés en boucle et en très grande quantité, et revendu à des joueurs du monde entier. Grâce à cette astuce, ils ont réussi à recueillir plus de 16 millions de dollars. Cependant le FBI, s’apercevant du comportement suspect de ces activités, surtout au niveau bancaire, a décidé de les signaler à la société éditrice du jeu, Electronic Arts. Jugés pour ces faits, les quatre amis ont plaidé coupable et furent déposséder de l’argent volé, leur permettant d’éviter la prison. Une grande partie de personnes malveillantes ont recourt au social engineering (pratique de manipulation psychologique à des fins d'escroquerie, e.g. phishing) pour abuser les joueurs. En effet, le monde du jeu vidéo se tourne vers des utilisateurs de plus en plus jeunes et ces derniers sont des cibles facilement manipulables par les pirates. Un des jeux à la mode chez les jeunes adolescents et même chez les enfants est « Roblox ». Dans ce jeu, comme dans tant d’autres, vous pouvez acheter du contenu supplémentaire grâce à votre argent réel. Pour cet exemple précis, vous pouvez acheter sur la boutique du jeu des « Robux », de l’argent du jeu, qui permet ensuite d’acheter des objets ou des cosmétiques. Les enfants, dotés d’une notion de l’argent très éloignée de celle de l’adulte, supplient alors leurs parents voire leurs grands-parents pour ne serait-ce qu’acheter 10€ de Robux. La finalité est qu’une grande partie des enfants ont accès à la carte de crédit de leurs parents, de manière physique ou même souvent virtuellement rattachée à leur compte de joueur. Et c’est là qu’interviennent les hackers. Avec des techniques d’ingénierie sociale très basiques, ces derniers abusent de la crédulité des enfants. Une des techniques les plus utilisées est la création d’un faux site Roblox où des « Robux », monnaie du jeu, sont proposés gratuitement. Les enfants se connectent sur le site, et sont amenés à entrer les informations de la carte bancaire de leur parents, pensant que la transaction va être remboursée comme stipulé sur les explications du site internet. Une fois qu’un hackeur accède à un de ces comptes ayant une carte bleue rattachée, il est souvent déjà trop tard. Aussi, il existe un jeu qui est très connu pour ses arnaques de plus en plus poussées, développé par l’éditeur Ankama et venant directement de France : il s’agit de DOFUS ! Souvent, l’arnaque se limite à dépouiller un compte ou un personnage de tout son argent et de ses objets rares ; une perte qui peut très vite atteindre un équivalent de plusieurs milliers d’euros. Cependant, l’arnaque peut aller plus loin, en volant des coordonnées bancaires ou des mots de passe, qui peuvent être utilisés par la victime sur d’autres applications et ainsi la voler sur d’autres plateformes, et même mettre en péril son anonymat sur les réseaux sociaux. Restons dans la thématique de création de faux site web pour découvrir une nouvelle arnaque, cette fois-ci destinée aux plus âgés ayant pour passion la compétition dans les jeux vidéo. De nombreux adolescents et jeunes adultes adorent les jeux vidéo pour le sentiment de rivalité et de concurrence ; en 2024, on a tous déjà entendu parler d’eSport. Avec cet aspect compétitif, une grande partie des jeux ont un système de classement, où le but est donc d’atteindre le rang le plus haut. Pour cela, un grand nombre de joueurs est prêt à payer. Il existe donc des systèmes de boosting, où des joueurs plus expérimentés vous proposent de jouer avec vous ou directement sur votre compte pour vous permettre de monter d’un rang contre une rémunération. Or, qui dit rémunération en distanciel dit payement en ligne. De faux site de boosting sont donc créés, afin de récupérer les numéros de cartes de crédit enregistré, rediriger les payements (CB, PayPal), accéder aux comptes des joueurs… sans ne jamais proposer de service en retour. Une autre grande raison pour laquelle les hackers s’intéressent aux jeux vidéo est le crack. Un crack est une version piratée d'un logiciel, permettant de l'utiliser sans acheter de licence ou le logiciel en lui-même. Les hackers spécialisés dans ce domaine sont appelés des crackers. Avant les années 2000, les premiers cracks pouvaient être réalisés par n’importe quelle personne ayant un minimum de connaissances informatiques, et l’envie de découvrir ce domaine. Cependant à cette époque, réalisés encore en faible nombre, ces cracks n’affectaient pas encore le marché financier du jeu vidéo. Lors de la démocratisation d’Internet, lorsque chaque foyer commença à disposer d’un ordinateur, les cracks se répandirent de plus en plus. On nota l’apparition de torrents, donnant accès aux cracks au plus grand nombre, et plaçant les crackers dans une position idéalisée de « Robin des bois » : Voler aux riches, les grands éditeurs de jeux vidéo, pour donner aux pauvres, les personnes ne pouvant se permettre l’achat d’un jeu vidéo. C’est donc à partir de cette époque que le crack a commencé à avoir un réel impact financier, obligeant les éditeurs à réagir : logiciel anti-piratage, nouvelles lois juridiques, traque sans relâche des crackers. Ces entraves ont donc complexifié lourdement la tâche aux crackers : la réalisation des cracks est plus compliquée, et les sanctions juridiques sont désormais bien réelles, ce qui vouera même les plus grands groupes de crackers à disparaître petit à petit. Il faudra alors quelques années avant qu’un autre groupe se forme et change le monde du crack : CODEX. Ces derniers arrivent alors à déjouer les logiciels anti-piratage les plus perfectionnés ; ce qui était insurmontable pour leurs prédécesseurs, est désormais un jeu d’enfant pour CODEX. Alors toutes les plus grandes licences de jeux vidéo sont crackées. Mais c’est en 2018 que CODEX réalise son plus grand coup de génie : ils distribuent à tout le monde et gratuitement tout le catalogue de jeux du Microsoft Store. Et ça ne s’arrête pas là, car CODEX crackera chacun des jeux sortis par la suite ; citez-moi n’importe quel jeu solo que vous connaissez, et je peux vous assurer que ce dernier aura été cracké par CODEX pour permettre aux personnes lambda de pouvoir y jouer gratuitement. Actuellement, tout nouveau jeu solo, ayant un minimum de popularité, car il faut bien qu’il y ait un intérêt à le pirater, peut se faire cracker en quelques jours. Peu importe le niveau de développement de son logiciel anti-piratage, car même un aussi performant que celui d’Hogwarts Legacy n’empêche pas l’apparition d’une version crackée le mois qui suit. Le dernier aspect intéressant des jeux vidéo pour les hackers, se trouve être le plus actuel bien qu’il ait toujours existé, et ce depuis la nuit des temps : la triche ! L’apparition de la triche dans les jeux vidéo a commencé avec le développement des cheat codes (codes de triche), dans les jeux solos uniquement. Cette manière de tricher est presque « légale » car il s’agit d’éléments directement implémentés par les développeurs eux-mêmes. Grâce à une série de manipulation à exécuter en jeu ou une ligne de commande, les joueurs peuvent avoir accès à des capacités ou atouts plus ou moins avantageux (argent infini, invulnérabilité, passer un niveau, voler…). Cependant, la partie la plus intéressante de la triche, et celle qui demande le plus de capacité technique se trouve dans les jeux multijoueur. Il existe beaucoup de manières différentes de tricher dans un jeu en ligne : - La triche god mode : cela consiste à avoir des privilèges qui ne sont pas atteignables dans le jeu (débrider sa voiture pour qu’elle aille plus vite que les autres, pouvoir voler, passer à travers les murs…) - Les farming bots : dans de nombreux jeux, surtout les MMO (Massively Multiplayer Online Game), notre puissance dépend de la récolte de ressources, ce qui demande beaucoup de temps d’exécution. Le principe de farming bot est de coder des robots qui jouent en autonomie pour collecter des ressources de manière optimisée, continue et indépendante. Ensuite le joueur récupère ces ressources, sans efforts, lui donnant un avantage conséquent. - Les wallhacks : c’est un programme qui permet à un joueur de voir à travers les murs. Très connu dans les FPS (jeu de tir) compétitifs, il communique des informations sur les positions ennemies. - Le bug exploit : il s’agit d’abuser de l’utilisation d’un bug ou d’un défaut de conception pour gagner un avantage d’une façon non prévue par les développeurs (duplication d’objet…). - Le ghosting : c’est le fait qu’une personne tierce espionne en temps réel l’équipe ennemie pour communiquer des informations que les joueurs ne sont pas censés avoir en temps normal. - Le DDoS : c’est un type de cyberattaque qui consiste à submerger un site web, un serveur ou une ressource réseau avec du trafic malveillant en abondance. Dans les jeux vidéo, cette attaque est utilisée dans le cadre où deux équipes s’affrontent pour faire « laguer » l’équipe ennemie, c’est-à-dire que l’envoi de paquet en trop grand nombre entraîne une latence dans les actions des joueurs (au niveau réseau et donc dans le jeu). La catégorie la plus importante, les mécaniques de jeu. Ce sont des « scripts » qui permettent de faire des actions qui sont réalisables dans le jeu mais à un tel point de perfection que cela ne peut être réalisé par un humain, on y retrouve : Le bunny hoping : c’est le fait de sauter à la frame parfaite (à la milliseconde près) en boucle et d’avancer latéralement pour se déplacer plus rapidement. Cette mécanique est réalisable manuellement mais beaucoup de scripts aident à maîtriser cette mécanique à la perfection et donnent donc un avantage certain aux utilisateurs. L’aimbot : il apparaît dans les jeux de tir et permet de viser tout seul les ennemies. C’est comme avoir une visée parfaite en tout temps. Très popularisé sur les jeux compétitifs, c’est l’un des cheats les plus connus et utilisé. Le scripting : cela regroupe toutes les méthodes de triches permettant de jouer encore mieux qu’un pro, comme esquiver tous les sorts des ennemies, toucher tous les siens… II – Comment les hackers agissent Maintenant que nous avons compris pourquoi les jeux vidéo sont une cible de choix pour les hackers, nous allons voir comment s’y prennent-ils. Pour cela nous allons nous concentrer sur les enjeux actuels qui posent beaucoup plus de problèmes, c’est-à-dire la triche dans les jeux en ligne. Pour pouvoir altérer le jeu alors que celui-ci est hébergé sur un serveur, les hackers ont recours à plusieurs moyens ingénieux : - Modification du code : Le jeu est analysé via reverse-engineering pour comprendre quel segment de code exécute quelle fonction. Modifier ce segment altère le fonctionnement du jeu, technique appelé "Exploit". Par exemple, comprendre comment le jeu retire des pièces d'or lors d'un achat permettrait de modifier le jeu pour que le joueur gagne des pièces à chaque achat. - Manipulation des données en mémoire : Le jeu stocke diverses données en mémoire, telles que la vie du joueur, ses munitions, son argent, etc. En identifiant où se situent ces valeurs dans la mémoire, il est possible de les modifier. Par exemple, un joueur qui est supposé avoir 30 balles dans son chargeur, en modifiant la valeur dans sa mémoire pour que même si le joueur tire, son chargeur reste à 30 balles, cela donnera au joueur des munitions illimitées. C'est surtout ce fonctionnement qui est ciblé par les logiciels anti-triche dans les jeux en ligne. - Modification du système d’exploitation : Au lieu de modifier le jeu directement, cette méthode altère le fonctionnement du système d'exploitation. Par exemple, en modifiant le pilote de la carte graphique, les objets normalement cachés peuvent être rendus visibles, permettant de voir à travers les murs (wallhack). - Interception et altération des paquets : Lorsqu'un joueur agit dans un jeu multijoueur, le jeu envoie un paquet réseau au serveur décrivant l'action. Ce paquet est ensuite transmis à tous les joueurs. En interceptant et modifiant ces paquets, un joueur peut faire apparaître une action différente pour les autres joueurs. III – Les remédiations des éditeurs de jeux vidéo Heureusement, les éditeurs de jeux vidéo ont conscience de la gêne qu’occasionnent les tricheurs et mettent en œuvre des moyens pour les contrer. Ainsi, on trouve dans la grande majorité des jeux en ligne des logiciels antitriche comme Easy Anti-Cheat, VAC (Valve Anti-Cheat), RIOT Vanguard… À l’instar des logiciels anti-virus, les anti-cheats utilisent un mélange de deux méthodes, sur la base de signatures et d’analyse de comportement. La base de signatures consiste à détecter les fichiers sur votre ordinateur considérés comme corrompus en les comparants à une base de signatures. En effet, les anti-cheat ont le droit à des accès en profondeur dans votre ordinateur. Tout fichier, ressource qui est considéré comme pouvant être à la base d’un outil tiers menant à la triche est alors détecté. Pour savoir quels fichiers sont considérés comme tel, le logiciel s’appuie sur une base de signature, il s’agit d’une bibliothèque de fichiers et ressources qui pourraient aider une personne à tricher. En comparant les fichiers de votre ordinateur à ceux de la librairie, le logiciel anti-cheat sait donc si vous utilisez un cheat. La base de signature est mise à jour régulièrement car les hackers trouvent toujours de nouveaux moyens pour contourner les signatures déjà existantes. C’est pour cela que les logiciels anti-cheat s’appuient aussi sur de l’analyse comportementale. Il s’agit d’étudier le comportement des logs ainsi que du personnage qu’incarne le joueur, par exemple est-ce qu’un personnage saute plus haut que les autres joueurs, se déplace plus vite, ou au niveau serveur, y a-t-il des tentatives de connexions infructueuses en boucle à un compte, à une ressource, à une instance, etc. Pour cela les logiciels utilisent désormais l’IA (Intelligence Artificielle) qui cerne le comportement des joueurs malveillants afin d’intervenir plus rapidement dans la détection comportementale. Malheureusement, les anti-cheats, comme toutes solutions miracles, ont en réalité des défauts. Focalisons-nous sur l’une de ces solutions ; Riot Vanguard, qui est le logiciel anti-triche développé par RIOT GAMES, éditeur des bien connus « League of Legends » et « Valorant ». Pour comprendre quels sont les inconvénients d’un logiciel anti-triche, comme Riot Vanguard, il est important de comprendre sa nature et son fonctionnement. Riot Vanguard représente un dispositif de sécurité sur mesure conçu pour préserver l'intégrité compétitive de « Valorant » en contrant les tricheurs. Développé par Riot Games, il figure parmi les solutions antitriche les plus performantes dans l'univers étendu des jeux compétitifs. Sa particularité réside dans son caractère plus intrusif. En effet, il fonctionne avec un « mode kernel », qui s’active dès le démarrage de Windows, et lui permet de bénéficier d'un accès au niveau du noyau du système, soit un accès constant au cœur de l’ordinateur des joueurs afin de repérer et d’arrêter les programmes suspects. C’est ce qui le distingue des autres logiciels de lutte contre la triche, mais qui, en contrepartie, pose des problèmes. Riot Vanguard est un système de lutte contre la triche qui s'appuie sur l'intelligence artificielle et utilise un pilote au niveau du noyau pour prévenir la triche dans VALORANT. Ce client fonctionne en arrière-plan en permanence, même lorsque le jeu n'est pas en cours d'exécution. Lorsqu'on évoque l'antitriche VALORANT, Riot Vanguard, le terme "kernel" revient souvent, d'où l'importance de comprendre sa signification. En termes simples, le mode Kernel, ou Kernel Level Access, est un niveau de privilège dans les systèmes informatiques qui octroie un accès total et sans restriction au système et à ses ressources. Cela implique que le mode noyau peut accéder non seulement aux logiciels en cours d'exécution sur un système, mais aussi à son matériel et à sa mémoire. Ce mode est indispensable pour de nombreuses opérations de bas niveau dans un système d'exploitation. Vous le voyez venir, cela pose de nombreux problèmes pour les joueurs, qui craignent que Riot Games ne collecte leurs données personnelles et sensibles. Ils craignent aussi qu’un tel accès avec des utilisations de technologies telles que l’IA, ne ralentisse les performances de leur ordinateur. Certains joueurs l’ont même accusé d’être un logiciel espion chinois, car Riot Games est détenu par Tencent, géant chinois de l’industrie du jeu vidéo. Riot Games assure que « La protection de votre vie privée fait partie de nos engagements en matière de sécurité. Riot Vanguard a été conçu en gardant constamment à l’esprit la position de Riot Games sur la protection de vos données privées et nous avons travaillé avec notre équipe d’experts juridiques pour garantir la compatibilité du logiciel avec les lois sur la protection des données de chaque région. ». Actuellement, aucun rapport ne montre de Riot Vanguard aurait violé les politiques de confidentialité de Riot Games pour recueillir des données personnelles sensibles auprès de ses joueurs. Concernant les performances, Riot Games reconnaît que Riot Vanguard peut avoir un impact sur les performances des systèmes, bien que l'ampleur de cet impact puisse varier d'un système à l'autre. Ils conseillent aux joueurs de vérifier régulièrement les mises à jour de Vanguard, car celles-ci peuvent inclure des améliorations de performances et des corrections de bugs qui peuvent réduire l'impact sur les performances. Riot Games s’efforce de faire en sorte que leur programme utilise le moins de ressources possible et prend en compte, de manière sérieuse, tout retour fait par les joueurs. Mais cela n’empêche pas les joueurs de se plaindre, notamment sur les réseaux sociaux, des nombreux bugs que le logiciel entraîne. Globalement, la triche est prise très à cœur par les éditeurs de jeux vidéo, dans le but d’offrir la meilleure expérience possible pour leurs joueurs. On retrouve dans la très grande majorité des jeux, la fonctionnalité de signalement, qui permet à un joueur de signaler un autre si son comportement n’est pas conforme (triche, insulte, abandon de parties…). Le comportement d’un joueur signalé plusieurs fois est donc analysé et s’il est jugé comme néfaste pour l’expérience des autres joueurs, une sanction est prise. La sanction dépend beaucoup du jeu et de ses règles, mais cela peut s’incarner par l’interdiction d’utiliser la messagerie du jeu, l’exclusion d’un joueur des parties classées pendant une certaine durée de temps, l’exclusion totale du jeu pendant une période donnée, jusqu’au bannissement total d’une personne sur un jeu. IV – Quelques conseils pour nos amis joueurs Pour conclure cet article, voici quelques conseils que tout joueur, et pas seulement, devrait appliquer pour sécuriser son compte, et ses données : - Utiliser des mots de passe forts (16 caractères, mélangeant : majuscules, minuscules, chiffres, caractères spéciaux). - Utiliser des mots de passe unique pour vos différents comptes (étant donné que cela peut être compliqué à retenir, l’utilisation d’un gestionnaire de mot de passe est recommandée). - L’utilisation d’un MFA (Multi-Factor Authentication), qui permet non pas de se connecter avec un simple mot de passe, mais avec une combinaison de minimum deux facteurs d’authentification différents. Ces derniers permettent de nous identifier en tant que personne en se référant à ces 3 catégories de facteurs : ce que je sais (e.g. un mot de passe), ce que je possède (e.g. un téléphone portable) et ce que je suis (e.g. une empreinte digitale). Un MFA vous permettra donc de vous connecter à l’aide de votre mot de passe habituel couplé avec l’envoie un code par SMS sur votre mobile, à renseigner lors de la connexion. Cette option est souvent délaissée par les utilisateurs, qui parfois ne sont même pas au courant que la plateforme d’authentification le permet, mais qui pourtant est présente dans la majorité des cas, pensez à regarder dans les options. - Soyez vigilants aux fraudes, aux tentatives d’arnaque, que ce soit par des sites contrefaits, des mails de phishing ou des combinaisons en jeu. N’oubliez pas, ce qui paraît trop beau est souvent une arnaque ! - Ne divulguez pas d’informations personnelles sur les jeux vidéo, l’usurpation d’identité est à prendre au sérieux, notamment depuis le développement de l’IA qui pousse cette technique de plus en plus loin. - Gardez vos logiciels à jour, pas seulement les jeux vidéo en eux-mêmes, mais aussi vos systèmes d’exploitation, pilotes graphiques, navigateurs web, antivirus, antimalware… - Lors de l'achat de jeux, d'extensions ou d'autres contenus en ligne, il est crucial de privilégier les sites sécurisés et de confiance. Optez pour des plateformes de distribution officielles ou des revendeurs réputés pour éviter les risques liés aux faux sites ou aux vendeurs peu scrupuleux. - Vérifiez régulièrement vos relevés bancaires, surtout si votre carte de crédit est liée à un compte. Pour les parents, supervisez toutes les transactions effectuées par vos enfants et ne leur laissez pas votre carte de crédit sans surveillance. En conclusion, cet article met en lumière les multiples facettes de la cybersécurité dans l'univers des jeux vidéo. En comprenant les motivations des hackers, les méthodes qu'ils emploient pour tricher et contourner les dispositifs de sécurité, ainsi que le fonctionnement des logiciels antitriche, nous sommes mieux équipés pour appréhender les défis posés par cette menace omniprésente. En sensibilisant les joueurs aux risques et en les informant sur les mesures de protection disponibles, nous pouvons contribuer à renforcer la sécurité dans le monde virtuel du gaming. En fin de compte, la cybersécurité dans les jeux vidéo nécessite une collaboration entre les joueurs, les développeurs et les entreprises spécialisées afin de garantir une expérience de jeu sûre et équitable pour tous. Viken WAGNER Sources: Les jeux vidéo les plus hack + bait fortnite : https://www.numerama.com/cyberguerre/1287618-vous-jouez-a-minecraft-ou-roblox-vous-etes-une-cible-privilegiee-des-hackers.html Coins fifa : https://fr.euronews.com/next/2022/07/09/des-temoins-nous-racontent-lune-des-plus-importantes-fraudes-au-jeu-video-au-monde Triche jeux vidéo : https://www.tomshardware.fr/diapo-les-15-pires-techniques-de-triche-dans-les-jeux-video/ Les crackers : https://www.youtube.com/watch?v=wmrHEuOoWhE&ab_channel=Dashcode Fonctionnement technique triche multi : https://fr.wikipedia.org/wiki/Cheat#:~:text=Le%20terme%20anglais%20cheat%20(la,appel%C3%A9e%20cheater%20(ou%20tricheur). Riot Vanguard : https://www.gamechampions.com/fr/blog/valorant-anti-cheat-vanguard/ https://support-valorant.riotgames.com/hc/fr/articles/360046160933-Qu-est-ce-que-Riot-Vanguard https://www.lemonde.fr/pixels/article/2023/04/01/le-monde-du-jeu-video-en-ligne-intensifie-sa-lutte-contre-la-triche_6167909_4408996.html Chiffres JV (infographie) : https://www.orangecyberdefense.com/fr/insights/blog/cyberdefense/securite-des-jeux-video-en-ligne-chiffres-cles#:~:text=Akamai%2C%20dans%20son%20rapport%20Web,de%20jeux%20vid%C3%A9o%20en%20ligne. https://afjv.com/news/10656_les-jeux-video-cibles-privilegiees-des-cyberattaques-pendant-la-pandemie.htm https://afjv.com/news/10355_le-gaming-et-les-cyberattaques-etat-des-lieux-et-solutions.htm https://research.nccgroup.com/2020/05/29/game-security/ https://www.forbes.com/sites/nelsongranados/2018/04/30/report-cheating-is-becoming-a-big-problem-in-online-gaming/

Un concept pas toujours compris de tous... Nous vous l'expliquons en quelques lignes. Pour aller plus loin sur le Zero Trust : Qu’est-ce que le modèle Zero Trust ? | Oracle France anssi-guide-recommandations_securite_architecture_systeme_journalisation.pdf Zero Trust Network Access vs ZTAA vs ZTA - Cyolo

1- Que sont les données de santé ? Les données de santé sont des données à caractère personnel considérées comme particulièrement sensibles par le RGPD (article 9). Elles englobent les informations de personnes physiques ou morales collectées ou utilisées à des fins médicales (activités de prévention, de diagnostic, de soins ou de suivi médico-social). Les applications mobiles nécessitant un hébergement de données à caractère personnel doivent respecter ces dispositions lorsque les données ont été recueillies à des fins médicales (hors applications dites de « bien-être »). A noter : l’activité d’hébergement n’est pas caractérisée dans le cas où les personnes morales ou physiques confieraient des données pour une courte période, à un prestataire pour que celui-ci effectue un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. 2- L’hébergement de données de santé : analyse de quelques cas En 2021, la CNIL a défini un objectif prioritaire de protection des données et a ainsi contrôlé des sociétés organisant un hébergement de données de santé afin de s’assurer qu’elles soient légalement recueillies et suffisamment protégées. Cette priorité est d’autant plus compréhensible lorsque les hôpitaux et laboratoires se voient de plus en plus victimes de cyberattaques. Le sujet de la souveraineté des données a particulièrement été mis en lumière cette année notamment à travers trois affaires : Doctolib a fait l’objet d’une controverse quand l’entreprise a été choisie par le ministère des Solidarités et de la Santé pour être l’intermédiaire principal dans le cadre de la vaccination contre la Covid-19 alors que la plateforme était hébergée chez Amazon. Or, contrairement au RGPD, le droit américain n’assure pas un niveau de protection des données personnelles aussi élevé. Le Conseil d’Etat a considéré que Doctolib avait pris des mesures suffisantes pour protéger les données de santé et a notamment relevé que : les données collectées par Doctolib ne comprenaient pas de données de santé mais portaient uniquement sur l’identification des personnes et la prise de rendez-vous ; le contrat avec Amazon prévoyait la contestation de toute demande d’accès par une autorité étrangère ne respectant pas la règlementation européenne ; Doctolib a également mis en place un dispositif de sécurisation des données hébergées par Amazon reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers. La Plateforme des données de santé (PDS) -- « Health Data Hub », créée en 2019 pour faciliter le partage et la recherche des données de santé issues de sources très variées, était destinée à être hébergée par Microsoft. La Cour de justice de l’Union européenne (CJUE) a jugé en 2020 que le système de « Privacy Shield » américain ne permettait pas de garantir la protection des données à caractère personnel exigée par le RGPD. Le Conseil d’Etat a reconnu le risque que des données de santé puissent être divulguées aux Etats-Unis du fait de la soumission de Microsoft au droit américain et a demandé une mise en place de garanties supplémentaires. Alors que le gouvernement s’était engagé à recourir à une autre solution technique en 2022, il a annulé en janvier la demande d’autorisation du Health Data Hub auprès de la CNIL, pour utiliser les données d’une quarantaine de bases (notamment celles du système national des données de santé), mettant le projet à l’arrêt. Selon plusieurs médias, dont Le Monde et SiecleDigital, la demande a été annulée pour empêcher toute polémique sur la souveraineté des données à l’approche des élections. Francetest Le 27 janvier 2022, la CNIL a clôturé la mise en demeure de la société Francetest qui traitait des données pour le compte de pharmacies à l’occasion de dépistage à la Covid-19. A la suite d’un signalement anonyme le 27 aout 2021, la CNIL a procédé à des contrôles en ligne et dans les locaux de la société. Elle a constaté qu’une base de données contenant des données d’identification, de contact le numéro de sécurité social et les résultats du test était exposée. De plus, la CNIL a constaté que les données de santé étaient hébergées chez un prestataire ne disposant pas d’un agrément HDS ainsi que plusieurs manquements à la sécurité (processus d’authentification pas suffisamment robustes, faiblesse des procédés cryptologiques, journalisation des activités des serveurs lacunaire). En octobre 2021, la CNIL a mis en demeure Francetest de se mettre en conformité. 3- Les certifications HDS : comment ça marche ? En raison de leur sensibilité, les législateurs européens et nationaux ont tenu à protéger particulièrement les données de santé et à instaurer une certification pour leurs hébergeurs. Cette obligation exclut les organismes d’assurance maladie obligatoire et complémentaire, les organismes de recherche dans le domaine de la santé, les associations d’activités sportives pour les personnes handicapées. Le décret du 26 février 2018 indique la procédure de certification. Deux types de certifications HDS sont possibles : le certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée ; le certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle. La certification est délivrée par un organisme accrédité pour une durée de trois ans (avec audit de surveillance chaque année) après un audit documentaire et un audit sur site. L’organisme accrédité vérifiera que l’organisme demandeur respecte les mesures prescrites par le référentiel de certification. Le socle commun aux deux certifications rassemble les éléments suivants : norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » dans son intégralité instaurant un système général de management de la sécurité de l’information en identifiant les risques liés à la sécurité pour élaborer une politique de sécurité. norme ISO 20000 « système de gestion de la qualité des services » relative à la planification, conception et implémentation de nouveaux services ou de services modifiés, à la continuité des services et à la gestion de la disponibilité. norme ISO 27018 « Protection des données à caractère personnel » qui rejoint le RGPD sur la protection des droits des personnes, les responsabilités de l’hébergeur, la transparence, la sécurité des données. exigences spécifiques à l’hébergement de données de santé telles que des exigences supplémentaires de sécurité, de confidentialité et de traçabilité. La certification passe donc par des mesures techniques mais également des mesures organisationnelles pour assurer un traitement sécurisé et transparent des données de santé. En octobre 2021, la CNIL a publié un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts dans le domaine de la santé. Le référentiel s’adresse aux organismes souhaitant constituer un entrepôt de données de santé dans le cadre de l’exercice d’une mission d’intérêt public. Ainsi, les hébergeurs de santé peuvent vérifier que le traitement est bien conforme aux exigences du référentiel qui définit les modalités de déclaration à la CNIL, les finalités et bases légales des traitements, les données pouvant être utilisées, les durées de conservation, les modalités d’accès à ces données, les informations obligatoires aux personnes concernées, les droits des personnes, la sécurité des données, l’organisation de la sous-traitance, des transferts et des analyses d’impact nécessaires. Actinuance vous accompagne dans la protection de vos données de santé : Se former avec Actinuance Nos offres de conseil

Actinuance Consulting, spécialisée en gestion des risques et cybersécurité s'agrandit en fusionnant avec UDASC, cabinet spécialisé en Business Intelligence et Big Data et partenaire Actinuance de longue date. " Cette fusion nous permettra de répondre à la majorité des problématiques de nos clients respectifs et de proposer des solutions transverses sécurité et data" Nidhal Chouk, Président et associé Risques Actinuance Consulting

Le 24 septembre 2020, le « digital financial package » a été adopté par la Commission européenne afin de rendre le secteur financier européen plus compétitif. Plusieurs projets de règlementation ont été proposés et en particulier le projet de règlement sur la résilience opérationnelle numérique des acteurs financiers (ou règlement DORA). Le Règlement ayant pour objectif de renforcer la cybersécurité de l’ensemble du secteur financier, il a vocation à s’appliquer à l’ensemble des acteurs financiers et notamment aux : établissement de crédit et de paiement entreprises et gestionnaires de fonds d’investissements plateformes de négociations, les sociétés de gestions prestataires de services de communication de données entreprises et intermédiaires d’assurance et de réassurance institutions de retraite professionnelles prestataires de services de financement participatif les tiers prestataires de services informatiques commissaire aux compte, cabinets d’audit, etc.. Le Règlement s’organise autour de quatre axes : 1er Axe : Gouvernance et gestion des risques L’organe de direction sera responsable de la gestion des risques informatiques. Cette responsabilité se décline en une série d’exigences spécifiques telles que : L’attribution de rôles et de responsabilités clairs pour toutes les fonctions liées à l’informatique Un engagement continu dans le contrôle du suivi de la gestion des risques informatiques, dans les processus d’approbation et de contrôle Une répartition appropriée des investissements et des formations dans le domaine informatique. De fait, afin de mieux gérer les risques informatiques, les acteurs financiers devront mettre en place : Une cartographie des risques Des mécanismes de détection des activités anormales (seuils d’alerte, critères de déclanchement des processus de détection des incidents, mise en place d’un SOC) Des politiques de sauvegarde, de méthodes de récupération et de politiques de continuité d’activité Une stratégie de réponse aux incidents et de rétablissement afin de garantir la continuité des activités et définir des mesures et plan de communication en cas de crise Des programmes de sensibilisation et de formation Le cadre de gouvernance de résilience numérique devra être testé et audité, puis révisé au moins une fois par an. 2ème Axe : La notification des incidents Les acteurs financiers auront l’obligation de notifier les incidents de sécurité auprès d’un guichet unique. Cette obligation nécessite de mettre en place au sein des organismes une procédure de notification des incidents. Les utilisateurs et clients touchés par les incidents devront également être informés des mesures prises pour atténuer les effets négatifs de cet incident. 3eme Axe : les tests de résilience Le Règlement prévoit des exigences en matière de tests de résilience opérationnelle numérique en fonction de la taille, de l’activité et du profil de risque des entités financières. Renforcement de la sécurité des systèmes : tests de résilience opérationnelle numérique (évaluation, tests) au moins une fois par an tests d’intrusion avancés fondés sur la menace tous les trois ans Le Règlement énonce également les exigences applicables aux testeurs et à la reconnaissance des résultats des tests d’intrusion fondés sur la menace dans l’ensemble de l’Union européenne pour les entités financières exerçant leur activité dans plusieurs États membres. 4eme axe : Les relations avec des tiers Prérequis à la conclusion de contrats sur la fourniture et l’utilisation de services informatiques : Identification et évaluation des risques Vérification des qualités requises du tiers prestataires tout au long du processus de sélection et d’évaluation Respect par le fournisseur d’exigences adéquates et actualisées en matière de sécurité de l’information Ce contrôle des prestataires et sous-traitants devra être également être assuré régulièrement tout au long de la relation commerciale. De fait, les acteurs financiers devront choisir leur prestataires et sous-traitants : En prenant en compte la criticité ou l’importance du service, du processus ou de la fonction en question En prenant en compte les risques potentiels sur la continuité et la qualité des services et activités financiers au niveau individuel et au niveau du groupe Par ailleurs, le Règlement impose la rédaction d’un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services informatiques fournis par des tiers prestataires des services informatiques. Les entités financières devront communiquer au moins une fois par an aux entités compétentes des informations sur le nombre de nouveaux accords relatifs à l’utilisation de services informatiques, les catégories de tiers prestataires de services informatiques, le type d’accords contractuels et les services fournis. Le Règlement est actuellement en relecture auprès des autorités compétentes françaises pour discussion sur des points opérationnels, notamment la parution et l’application des guides explicatifs. Le Règlement devrait être adopté courant 2022.

N'hésitez pas à poser vos questions en commentaire ou à nous contacter pour plus d'informations !

Données chiffrés, cryptage, chiffrement de bout-en-bout, HTTPS… Autant de termes familiers omniprésents aujourd’hui, mais dont on ne sait pas toujours à quoi ils correspondent en réalité. Pourquoi tant d’importance accordée au chiffrement ? Mais avant tout, qu’est-ce que la cryptographie ? La cryptographie est une science, visant à assurer la confidentialité des échanges. Il faut pour cela : S’assurer de l’identité de ceux qui discutent (si je veux parler à Alice, il ne faut pas que quelqu’un d’autre puisse se faire passer pour Alice), S’assurer que personne d’autre ne pourra lire cette conversation secrète (mon message ne doit pas pouvoir être intercepté et déchiffré). A noter : en cybersécurité, d’autres facteurs entrent en ligne de compte, comme l’intégrité du message (il ne doit pas pouvoir être altéré, ou plutôt je dois pouvoir détecter s’il a été altéré ou non), ou encore la disponibilité. Motivations Sans la cryptographie, tout Internet serait public. Autrement dit, on ne pourrait par exemple pas effectuer de paiement sur internet ni accéder à ses mails sans divulguer ses informations personnelles (mot de passe, numéro de CB…). De même, vos communications seraient compréhensibles par tous. C’est donc la cryptographie qui vous permet d’assurer la confidentialité sur internet, d’utiliser différents services (tout ce qui nécessite mot de passe, identifiant…) et de manière plus générale, d’assurer la confidentialité sur tous les canaux de communication et de stockage (ondes radiotéléphoniques, communications filaires, serveurs, etc.). Histoire Depuis la nuit des temps, vouloir envoyer un message secret a été une préoccupation, notamment pour les usages militaires et politiques. Ainsi, le « chiffre de César » est sans doute le chiffrement ancien le plus connu (il consiste à décaler l’alphabet utilisé). Mais beaucoup de chiffrements de toutes époques (de la Grèce Antique à nos jours, en passant par le Moyen-Âge), et de tous lieux restent aujourd’hui des mystères impossibles à déchiffrer. Plus récemment, c’est au XXème siècle que l’usage des techniques de cryptographie est devenue un standard, principalement pendant les guerres mondiales (notamment Enigma, utilisé par les Allemands pendant la 2nde guerre). L’arrivée des communications par les ondes a rendu l’usage de la cryptographie indispensable, d’abord pour des usages militaires, puis à destination du grand public. Comment chiffrer un message aujourd’hui ? Qu’est-ce que la cryptographie concrètement ? Primitives Intéressons-nous dans un premier temps à chiffrer un mot. Ou un nombre. On utilise généralement une « clef », dont on suppose qu’elle ne sera pas connue du public (nous reviendrons sur ce point). Par exemple, pour chiffrer un nombre x, je peux convenir que tous les nombres seront multipliés par 193. 193 est la clef : on a besoin de connaître ce nombre pour utiliser mon système de chiffrement. Autrement, il est inintelligible. Une primitive cryptographique est un ensemble de fonctions, dont l’une, « chiffrement » prend en entrée un texte à chiffrer, éventuellement une clef, et renvoie le texte chiffré. L’autre, « déchiffrement », prend en entrée un texte chiffré, éventuellement une clef, et renvoie le texte déchiffré. Protocoles Mais cela ne suffit pas. Les primitives sont la partie « mathématique » du problème. Mais si Bob dit à Alice « utilisons 193 comme clef », n’importe qui peut les espionner. Ou encore, sur internet, sans même s’échanger la clef, on peut usurper l’identité d’un destinataire. Par exemple, Amazon m’envoie un remboursement. Un pirate peut se faire passer pour moi, usurper mon identité, et poursuivre la conversation avec Amazon au lieu de moi. Pour cela, des protocoles sont mis en place. Ces protocoles cryptographiques assurent différentes propriétés, comme l’authenticité des destinataires, ou encore la confidentialité du contenu. Par exemple, TLS est un de ces protocoles. Une combinaison « primitive – protocole » est appelé crypto-système. C’est en réalité ce crypto-système qui permet d’envoyer et de recevoir des messages chiffrés. Systèmes symétriques et asymétriques Sans rentrer dans les détails, on peut noter l’existence de deux familles principales de crypto-systèmes : les crypto-systèmes symétriques et asymétriques. Les crypto-systèmes symétriques utilisent la même clef pour chiffrer et déchiffrer les messages. Par exemple, « multiplier les nombres par 193 » est un chiffrement symétrique : si on connaît la clef, on peut chiffrer et déchiffrer un message. Ces systèmes sont généralement peu coûteux (en termes de temps, de mémoire, etc.), mais plus difficile à sécuriser d’un point de vue protocole. Les crypto-systèmes asymétriques n’utilisent pas ce principe. Chaque utilisateur dispose d’une paire de clef : une privée, utilisée pour le déchiffrement (seul moi peut déchiffrer), et une publique, utilisée pour le chiffrement (tout le monde peut m’envoyer un message chiffré). Ces systèmes sont plus chers, et utilisent des opérations à sens unique. Par exemple, multiplier des nombres premiers entre eux est une opération à sens unique. En effet, faire 17*29 (=493) est facile. Mais factoriser, à partir de 493, retrouver la seule décomposition entière (i.e. retrouver 17 et 29), est difficile. La cryptographie asymétrique se base sur ce genre de problème à sens unique. Pour aller plus loin : problèmes à base de logarithme discret, courbes elliptiques. Attaques Les attaques sont très nombreuses en cryptographie, en utilisant des méthodes très diverses. Des problèmes tels que la difficulté à générer un nombre aléatoire, ou bien prédire la répercussion d’une perturbation lors du chiffrement (variation du texte à chiffrer), ou encore les attaques par canaux auxiliaires (sur le matériel, indépendamment des crypto-méthodes), sont des sujets très étudiés et très actuels. Une faille dans un crypto-système peut avoir d’immenses répercussions, notamment sur Internet (comme la perte de la confidentialité de tous les échanges, par exemple). Qui fait quoi ? Les utilisateurs : tout le monde utilise sans le savoir la cryptographie. Les chercheurs : face à des problématiques très actuelles (méthodes sur le point d’être dépassées par la puissance du matériel informatique, mise en service industrielle des systèmes quantiques, etc.), de nouvelles méthodes font l’objet d’études car les standards doivent en permanence s’adapter. Les Etats, les grandes entreprises, développent fortement leurs systèmes de cryptographie, stimulant cette recherche. Les éditeurs, les concepteurs de langage informatique, de logiciels, etc. actualisent leurs méthodes et solutions en fonction des failles trouvées. Quant à nous, nous devons savoir à quoi correspondent les termes utilisés. "Chiffré avec telle méthode" ne signifie pas forcément que vos échange sont sûrs. Et même si vous utilisez un crypto-système "sûr" (RSA, par exemple), gardez à l'esprit que c'est la méthode qui est sûre, à partir d'une certaine taille de clef, sous certaines conditions, dans une certaine limite ; par exemple, votre message ne sera pas très sûr si vous vous contentez d'une clef (mot de passe) faible. Enfin, rappelons que la cryptographie n'est qu'un maillon de la chaîne. La force de la chaîne est la force du maillon le plus faible : si vous envoyez un message chiffré de manière sûre d'un point de vue cryptographique, vous devez tout autant prêter attention au reste de la chaîne (de l'ordinateur potentiellement infecté à vos voisins qui regardent votre écran)., Coup de projecteur La cryptographie est un éternel « match de tennis » depuis des millénaires, opposant cryptographie (chiffrement) et cryptanalyse (attaque), qui ne sont qu’une et même science. Les standards actuels ne seront plus en mesure de répondre aux problématiques actuelles d’ici quelques années (puissances de calculs, systèmes quantiques, etc.), peut-être moins. La recherche, très active dans ce domaine, propose des embryons de piste (comme la cryptographie post-quantique), qui doivent continuer de se développer pour permettre de déployer de nouveaux standards. Sans crypto-systèmes fiables, c’est l’utilisation d’Internet tout entier, de votre téléphone, de votre CB sans contact, qui prendra fin. Ambroise BAUDOT Ouvrage de référence : Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, 2000 Introduction de l'ANSSI : https://www.ssi.gouv.fr/particulier/bonnes-pratiques/crypto-le-webdoc/crypto-sensu/ Pour aller plus loin, exemple de cryptographie post-quantique : Oded Regev. Lattice-based cryptography. In Advances in cryptology (CRYPTO)

N'hésitez pas à poser vos questions en commentaire ou à nous contacter pour plus d'informations !

Attaques DDOS, Ransomware, Fuites de données. Ces termes sont de plus en plus employés aujourd'hui pour parler de cybersécurité. Si l'on entend régulièrement parler dans la presse de diverses attaques, leurs conséquences exactes restent souvent floues. A juste titre d'ailleurs, car comment évaluer la gravité d'une attaque de manière quantitative ? Actinuance a créé un modèle de quantification du risque de cybersécurité en termes de pertes financières pour une entreprise. Dans notre livre blanc, nous vous proposons d'appliquer ce modèle à la cyber assurance pour décrypter leur offres et leur limites. Bonne lecture ! N'hésitez pas à nous contacter ou à commenter ce post. Merci !