L’éditeur, au premier plan actuellement avec son Cyberpunk 2077 (mais pas forcément pour de bonnes raisons), a annoncé avoir été piraté.
Le studio joue la transparence en publiant un communiqué ainsi que le message reçu des pirates. Ces derniers y annoncent avoir volé de nombreux codes source, dont ceux de Cyberpunk 2077, The Witcher 3 ou encore Gwent.
Ils indiquent également avoir récupéré tous les documents comptables, administratifs, juridiques, d’investissement ou encore de ressources humaines. Les serveurs ont été chiffrés et une rançon a été demandée.
Les pirates ont donné 48 heures au studio pour coopérer, au risque de voir tous les codes source fuiter en ligne ou être vendus, et les documents partir chez leurs « contacts dans le journalisme ».
CD Projekt Red indique n’avoir aucune intention de négocier. Ils confirment que plusieurs machines ont été chiffrées par les pirates, mais les sauvegardes sont intactes et la restauration a commencé. L’infrastructure réseau aurait également été sécurisée.
Le studio annonce prendre toutes les mesures nécessaires pour atténuer les conséquences des fuites, en contactant notamment les tiers qui pourraient être affectés.
L’enquête continue, mais la société affirme qu’aucune donnée personnelle des joueurs n’a été compromise. Toutes les autorités compétentes auraient en outre été averties.
Commentaires (16)
#1
J’espère que ça ne va pas trop les mettre dans la mouise. Quoi qu’on dise de Cyberpunk 2077, ils mettent une qualité de fou dans leurs productions, ça serait vraiment dommage qu’un tel incident ne les noient.
#2
Je ne comprend pas comment des trucs sensibles comme le code source ne sont pas sur un réseau dédié, indépendant des accès internet/bureautique/mail des gusses qui y travaillent.
#2.1
Peut être parce que les personnes qui travaillent sur le code source (des dizaines de développeurs) éditent le code des centaines de fois par jour et doivent lire les mails de leurs chef qui leur disent quoi coder, accéder aux outils de tickets qui listent les bugs, accéder aux bases de connaissances web des outils qu’ils utilisent, faire des excels de suivi, des powepoints de présentation aux autres équipes etc…
Gérer un réseau séparé pour certaines activités, c’est réservé aux environnements “très” sensible parce que ça a un coût exorbitant en complexité. On parle d’un jeu video, c’est pas sensible.
Y’a probablement du travail pour sécuriser leur IT (spoiler: c’est en cours) mais d’après leur com, ils sont loin d’être à la ramasse, ils ont des backups, des capacités de forensic, ils reconstruisent un réseau de confiance et travaillent avec les autorités en gérant un com transparente. Ca demande un gros niveau de maturité de gérer ce type d’incident comme cela. Pas de bol pour eux, c’est un coup dur, mais l’image qui en sort est plutot positive.
#2.3
Zero trust tout ça… plus besoin d’être sur le même réseau pour collaborer. Un navigateur web et ça roule. Ça protège pas d’un collègue dev direct qui lance le ransomware mais ça protège d’un collègue RH qui lance readme.docm et bypass les 45 warnings qui suivent en râlant un café à la main.
#2.2
Tiens on en parlais déjà pour stormshield.
Ça a un coût mais je crois qu’il faut mettre deux machines et deux écrans, un peu le web et l’autre uniquement pour les travaux sur les codes sources.
Pour une entreprise comme CDPR le code source est leur bien le plus précieux. Sans cela c’est une coquille vide.
#3
Gros +1.
Pour avoir déjà travaillé environnement avec réseau ségrégué, c’est la merde à utiliser, et ça ne protège pas de tout.
Pour un JV où chaque minute compte, je comprend qu’on se passe de cette solution.
Je suis d’accord, très bonne réaction et communication du studio qui reste factuel et ne cherche pas à cacher/minimiser l’attaque.
Il semblent aussi avoir pu maitriser l’attaque et réduire son iNpact sur les activités.
Ça fait beaucoup plus pro que Garmin
#4
Et du coup, ces jeux vont-ils devenir open source malgré eux ? ^^
#4.1
Non, un projet ne peut pas devenir open source malgré lui. C’est lié à sa license.
Même si le code fuite, ces projets resteront fermés et propriétaires, on a pas le droit de réutiliser ce code sans l’autorisation de son auteur.
#4.2
J’ai bien dit open source, et non libre. xD
#4.3
Le terme open source ne veut pas juste dire “source accessible”. Un code propriétaire même partagé publiquement n’est pas open source. Le mot “open” ici est tout autant axé sur la liberté que sur l’accessibilité. Il ne se détache pas vraiment du “free software” dans l’idéologie, mais est plutôt une formulation différente du même principe pour essayer de mettre l’emphase sur les libertés plutôt que sur la gratuité (qui n’est justement pas une caractéristique obligatoire des “free and open source softwares”) que l’adjectif anglais “free” pouvait laisser supposer.
Maintenant à l’inverse, le terme “open source” amène aussi les gens à limiter son application au simple faite d’être accessible (alors qu’il doit être librement accessible, c’est une nuance importante).
Si c’est juste pour dire que si les code source fuitent, cela rend le code accessible à tout le monde. Ben oui, mais quel est l’intérêt de soulever ce fait ? C’est implicite dans le fait que le code puisse fuiter.
En gros, open source et libre, c’est la même chose, il n’y a pas de différence ;)
Le code de Cyberpunk ne deviendra pas libre (et donc opensource) sans la volonté de CDP même si leur code venait à être publié publiquement.
#4.4
FOSS = FLOSS, mais FOSS ≠ OSS.
Un programme peut être open source sans être libre.
#4.5
FOSS != OSS sur tous les points en effet mais pas du point de vue des libertés qu’elles partagent ^^.
En opensource, tu dois pouvoir modifier et distribuer le code. Il s’agit d’un projet libre. Sans cela, ce n’est tout simplement pas open source.
La différence entre open source et free software tient plus dans le fait d’accepter ou non si le code peut être inclus dans un projet non-libre (la viralité de la licence). En open source, on ne l’impose pas du tout et leur license permettent dans une certaine mesure que l’on utilise le code dans un projet propriétaire.
On peut se chamailler longtemps sur les termes mais peu importe la définition exacte que tu donnes à open source (malgré qu’elle soit bien définie via l’Open Source Initiative, au même titre que le terme “free software” est défini par la FSF), le code de CDP ne finira jamais opensource malgré eux (pour en revenir à la cause de la discussion).
#5
Je viens de lire cet article, et j’ai aussi consulté le site https://www.areteir.com/, et le premier screenshot de la page c’est eDEX-UI 😂
#6
ca veut dire qu’il va y avoir des patchs non officiels qui vont résoudre les problèmes du jeu ?
#7
Vous auriez pu parler du piratage d’un centre de traitement des eaux aux USA qui ont été à la limite de la catastrophe avec la modification du taux d’ hydroxyde de sodium dans l’eau potable*1000
#8
“tous les documents comptables, administratifs, juridiques, d’investissement ou encore de ressources humaines”
“les documents partir chez leurs « contacts dans le journalisme »”
Je pense que c’est peut être là qu’est concentrée la pression des pirates, CD PROJEKT ayant déjà été critiqué par la presse et par ses employés sur sa politique de “crunch”. Si les documents piratés mettent l’ampleur de cette pratique en lumière, ça peut faire du mal à l’image du studio.
Pas sûr qu’ils en aient quelque chose à foutre par contre…