Ce site communautaire dédié à l’eSport et concentrant notamment de nombreux profils de joueurs de Counter-Strike : Global Offensive, a été attaqué en décembre dernier. Face au refus de la société de payer la rançon exigée, d’un montant de 100 000 $, le hacker a diffusé publiquement de nombreuses informations sur les comptes des joueurs…
Environ 1,5 millions de profils Counter-Strike : Global Offensive piratés : une faille massive pour cet organisateur américain de compétitions d’e-sport, l’E-Sports Entertainment Association (ESEA), qui a vu les données de ses joueurs diffusés publiquement. De quelles données s’agit-il ? Des noms d’utilisateur, emails, messages privés, IP, numéros de téléphone mobile, messages du forum, mots de passe et questions secrètes (cryptés avec Bcrypt). En outre, d’autres données, utilisées par les joueurs pour compléter leurs profils publiques ont été piratées : boissons et nourritures préférées, spécifications matérielles de leur ordinateur, identifiants Xbox et PlayStation Network… En revanche, ESEA ne stockant pas d’informations de paiement sensibles (carte de crédit, compte bancaire, etc.), les paiements effectués sur le site Web de l’ESEA, ou par l’intermédiaire de tiers, n’ont pas été compromis.
Payer ? Pas de garantie
Si le ou les pirates ont rendus publique des informations, c’’est sans doute parce que l’ESEA a refusé de payer la rançon de près de 100 000 $ exigée. ESEA fait savoir sur son site : « Nous ne cédons pas aux demandes de rançon et le paiement d’une somme d’argent n’aurait pas fourni de garantie à nos utilisateurs quant à ce qui se passerait avec leurs données volées. L’action la plus responsable a été de partager l’incident avec les autorités et notre communauté pour que chaque individu puisse prendre des mesures pour sécuriser ses comptes. Dans le même temps, nous avons travaillé 24 heures sur 24 pour isoler le vecteur d’attaque, corriger la vulnérabilité et améliorer davantage la sécurité »
Péter Gyongyosi, responsable Produit Blindspotter chez Balabit, se satisfait de cette attitude : « […] ce piratage s’inscrit dans la tendance des attaques bien connues perpétrées par des professionnels qui recherchent des gains financiers, et le refus de l’ESEA de payer la rançon en un sens améliore la sécurité de tout le monde. L’ESEA a clairement eu la bonne réaction face à ce chantage en refusant de négocier. C’est exactement le même principe que de refuser de négocier avec terroristes : si les attaquants savent qu’ils n’ont qu’une chance infime d’extorquer de l’argent ou quoi que ce soit d’autre à leurs victimes, alors se poseront-ils la question de l’intérêt de lancer leurs attaques. »
Hormis cette attitude de bon sens, Esea a-t-il finalement quelque chose à se reprocher en matière de sécurité ? « Il semble également que l’ESEA avaient correctement mis en place les règles basiques de sécurité : les mots de passe stockés étaient cryptés, ce qui est déjà une bonne pratique de sécurité. Cela permet toujours des « attaques par dictionnaire », aussi le conseil habituel d’utiliser des gestionnaires de mots de passe pour éviter la réutilisation de mots de passe, s’applique complètement ici. En effet, le danger n’est pas uniquement de se faire dérober son compte ESEA. Cela pourrait être pire si les cybercriminels venaient à dérober tous les autres comptes personnels des victimes », relève Péter Gyongyosi. Avant d’ajouter : « Malgré tout, il y a bien eu une lacune dans l’infrastructure de sécurité de l’ESEA et la société va maintenant devoir découvrir la faille et boucher le trou par lequel le criminel est entré sur son réseau, que cela soit le fait d’un utilisateur interne malveillant, suite au vol d’un compte d’utilisateur privilégié, ou le résultat d’une simple injection SQL. Dans son FAQ en ligne, l’ESEA rappelle qu’il n’y a pas de sécurité à 100%. Nous ne pouvons être plus en phase avec cela. Et le travail d’une équipe de sécurité est plutôt aujourd’hui d’être capable de réagir vite suite à des incidents réels ou potentiels, que d’espérer prévenir toutes les attaques possibles. »
