S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Rainbow Six Siege piraté : Ubisoft a fermé ses serveurs et annulé les transactions

Tout commence ce week-end par un cadeau de Noël totalement inattendu pour certains joueurs : des crédits, des objets, des skins et des packs ont été distribués « gratuitement ». Selon BleepingComputer, pas moins de deux milliards de crédits R6 qui auraient été distribués. Actuellement, 15 000 crédits R6 sont vendus 99,99 euros.

Selon l’ancien joueur et désormais streameur KingGeorge, des joueurs ont aussi été bannis et/ou réautorisés dans le jeu. De faux messages étaient aussi affichés sur le bandeau d’information du bannissement. Bref, c’est un peu le scénario catastrophe avec une pénétration des pirates en profondeur dans les mécanismes du jeu.

La réaction officielle d’Ubisoft ne s’est pas fait attendre. Samedi 27 décembre (à 15h10 heure française), l’entreprise publiait un message sur le compte officiel de Rainbow Six Siege sur X : « Nous sommes au courant d’un incident […] Nos équipes travaillent à sa résolution ». Rapidement suivi d’un deuxième message, plus inquiétant : le jeu et sa marketplace « ont été volontairement mis hors service le temps que l’équipe se concentre sur la résolution du problème ».

Quelques heures plus tard, toujours sur X, Rainbow Six Siege répondait à la crainte de certains joueurs :

« Personne ne sera banni pour avoir dépensé les crédits reçus. Une annulation de toutes les transactions effectuées depuis 11 h (heure UTC) est en cours. L’indicateur de bannissement a été désactivé lors d’une mise à jour précédente. Les messages affichés ne sont pas de notre fait. Une vague officielle d’interdiction de R6 ShieldGuard s’est déroulée, mais n’est pas liée à cet incident. Nous travaillons d’arrache-pied pour que ce problème soit résolu et que les joueurs puissent rejouer ».

Hier après-midi, le compte officiel annonçait qu’une « restauration [était] en cours. Et, par la suite, des tests de contrôle approfondis seront effectués afin de garantir l’intégrité des comptes et l’efficacité des modifications ». Il y a quelques heures seulement, Ubisoft annonçait un « retour progressif, en ouvrant le jeu à un petit nombre de joueurs seulement ». Deux heures plus tard (ce matin à 3h12), « le jeu est ouvert à tous », mais pas la marketplace, qui reste fermée « jusqu’à nouvel ordre ».

Le retour en arrière est désormais terminé : : « Les joueurs qui ne se sont pas connectés entre le samedi 27 décembre à 10h49 UTC et le 29 décembre ne devraient voir aucun changement dans leur inventaire ». Par contre, pour ceux « qui se sont connectés après le 27 décembre à 10h49 UTC : un faible pourcentage d’entre eux pourraient temporairement perdre l’accès à certains objets leur appartenant. Des investigations et des corrections seront menées au cours des deux prochaines semaines ».

Ubisoft ne donne pas de détail sur le piratage de son jeu, mais des yeux se tournent vers une faille MongoDB massivement exploitée ces derniers jours. Nous aurons l’occasion d’y revenir dans la matinée.

Commentaires (9)

votre avatar
C'est du "MongoBleed" qui a été utilisé apparemment.

A voir si le Rollback ne génèrera pas plus de problème qu'il n'en résout. Après tout, il peut y avoir des achats légitimes qui seront annulés.


Un peu d'info ici.
votre avatar
Pour les achats réels après le piratage, ils peuvent être associés à un payement.
Si le payement (argent réel) était avant et la dépense (argent virtuel) après le piratage, il sera "restauré" avant utilisation avec le backup.
votre avatar
En fait, il semblerait plutôt que plusieurs groupes d'attaquants se marchent sur les pieds, il y aurait eu plusieurs attaques dirigées contre Ubisoft sur des services différents. Et celle sur R6 n'aurait pas de lien avec MongoBleed (mais d'autres attaques oui).

https://xcancel.com/vxunderground/status/2005283906514203123
(évidemment, prendre en compte que tant qu'il n'y a pas de confirmation officielle ce ne sont que des suppositions)
votre avatar
Je ne connais pas le jeu, mais je suppose qu'au pire, si un achat légitime est annulé, l'acheteur est remboursé de ses crédits et peut refaire l'achat.
votre avatar
C'est tout le problème des Rollback et / ou des corruptions de base.


  • Le Rollback c'est de remettre la BDD dans l'état du moment X. Il faut donc des systèmes de BDD avec ces fonctionnalités. C'est plus ou moins performant suivant quel logiciel de BDD et quel admin qui s'en occupe.

  • Le moment X n'inclue pas les transactions légitimes ultérieures à ce point dans le temps.

  • Il faut donc reprendre toutes les transactions bancaires connues entre moment X et aujourd'hui pour réinsérer les articles vendus dans la BDD (sur les comptes des joueurs).

  • - A cause de la précaution de séparer les informations bancaires (avec une société tierce par exemple) ça demande plus de travail.

  • Il faut aussi s'assurer que les BDDs avec ces informations de compte (pas les CB, l'autre) ne sont pas corrompues elles aussi (exemple une CB associées à tort avec un compte). Avant de commencer à recoller les morceaux.



Ça peut vite devenir un casse-tête et il y a toujours des oubliés dans ces dossiers.
votre avatar
Moi je voyais ça de manière plus simple, sans nécessité de fonction de rollback spécifique : avec de l'argent on achète des crédits, avec des crédits on achète des objets. Là ce sont des crédits et des objets qui ont été illégalement distribués.

Donc je ferais, dans l'ordre :

  • suppression de toutes les transactions ayant abouti à une distribution d'objet

  • suppression de toutes les transactions d'ajout de crédits sans transaction bancaire associée (sans nécessité d'en connaître les détails, juste son existence)

  • recalcul du solde en crédits et de l'inventaire en rejouant toutes les transactions restantes d'un compte joueur, soit à partir d'un état récemment sauvegardé, soit à partir de l'origine, cette dernière option pouvant être plus risquée suivant la rigueur de la comptabilité



On ne touche pas aux transactions bancaires. Un joueur qui voit son achat d'objet annulé peut le refaire avec les crédits qui lui ont été remboursés, sauf s'il l'a fait avec les crédits distribués illégalement. S'il y a eu des offres promotionnelles permettant un gain légitime de crédits ou d'objets gratuits, les prendre en compte, mais vu la période d'annulation plutôt limitée, ça ne devrait pas être difficile.

Mais il y a des suppositions de ma part :

  • pas d'achat d'objet sans passer par des crédits du point de vue de l'exploitant (même si côté joueur ça peut apparaître se faire en une seule étape), encore que ça peut être réglé par un mix de mes 2 premières étapes

  • pas de crédits ou d'objets ajoutés sans transaction en fonctionnement normal, y compris en cas de crédits ou objets légitimement offerts, ce qui permet de recalculer le solde et l'inventaire en rejouant toutes les transactions depuis le début. Sinon il faut effectivement retrouver un état d'avant pour savoir qui avait quoi et c'est effectivement le bordel.

votre avatar
Il n'y a pas eu de transaction je crois bien. Juste une modif des inventaires dans les comptes. Bon c'est de la spéculation avec mon expérience.

Dans tout les cas il y a eu compromission, et pour UBISoft :

  • Il faut reconstruire la base (question contractuelle quand même).

  • Verrouiller mieux en terme de sécurité

  • Modifier les système de manière à pouvoir a détecter mieux ou se remettre plus facilement de ce genre de chose à l'avenir (rejouer le film sans perte ou un minimum).

votre avatar
C'est pas gênant qu'il n'y ait pas eu de transaction pour modifier les inventaires, c'est même plus simple, du moment qu'il y en a en fonctionnement normal. Il suffit alors de rejouer les transactions (dans ce cas toutes légitimes) postérieures à un état correct précédent, ou toutes les transactions depuis le début façon blockchain.
votre avatar
C'est plus compliqué si tu dois séparer les données comme ne pas mettre les ID de compte avec des CB. C'est un souci de sécu. Normalement ceci doit être fait. Si l'un est compromis comme ici, les infos de CB ne circuleront pas.

Il y a deux entités qui gardent chacun une partie.

  • d'un coté Id compte (steam, EA, etc) , inventaire de jeux et données dans les jeux.

  • de l'autre la CB (normalement pas en un seul morceau et bien crypté) et un ID de compte pour recoller les morceaux. Éventuellement les transactions au nom d'UBI pour le compte X (pas la CB).



Les transactions peuvent stocké chez un 3eme si on veut. Bref c'est du taf a recoller.