Epic corrige un bug permettant de prendre la main sur un compte Fortnite
Le 17 janvier 2019 à 09h15
1 min
Société numérique
Société
La société de sécurité Check Point a trouvé un bon support publicitaire. Elle a découvert un problème permettant de prendre la main sur un compte Epic Games, donc Fortnite. Le jeu gratuit compterait environ 200 millions de joueurs, faisant la fortune actuelle de l'éditeur.
Pour être piégé, l'utilisateur doit cliquer sur un lien factice (envoyant vers un sous-domaine d'epicgames.com). En exploitant une faiblesse du sous-domaine, la page renvoie vers un serveur contrôlé par le pirate, avec du code vérolé. Ce code récupère le jeton d'authentification du compte Epic, qu'il envoie au pirate.
L'internaute doit bien sûr être identifié pour que le procédé fonctionne. Le jeton en question permet de lancer le client de jeu Epic. Il est généré une fois les identifiants fournis, pour maintenir l'authentification.
La faille a été rapidement comblée par Epic, qui assure n'avoir aucune preuve d'exploitation.
Le 17 janvier 2019 à 09h15
Commentaires (6)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 17/01/2019 à 09h09
La faille a été rapidement comblée par Epic, qui assure n’avoir aucune preuve d’exploitation.
Étonnant
Le 17/01/2019 à 10h58
Si le début de la faille est sur leurs serveurs web, ils ont dû faire un grep de tous les logs pour vérifier si des lignes correspondent au pattern d’exploitation.
Le 17/01/2019 à 12h20
Le 17/01/2019 à 14h10
bah c’est dit texto dans la brève : “La faille a été rapidement comblée par Epic, qui assure n’avoir aucune preuve d’exploitation” (soit qu’il n’en n’ont pas cherché, soit qu’il n’y a pas de log, soit…)
" />
(je rapproche ce genre de truc des “testé dermatologiquement” ou “testé en laboratoire” sur les produits : ok, le résultat du test c’était quoi ?)
Le 17/01/2019 à 15h54
“Avec un jeu de données que nous avons soigneusement construit pour le test, en éliminant les données que nous avons considéré comme erronée et en appliquant cet méthode statistique et sans tenir compte de la variabilité statistique dûe à la faible taille de notre jeu de donnée, c’est statistiquement probant”
Le 17/01/2019 à 19h34
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?