Ubisoft piraté : les données personnelles des utilisateurs exposées
Nouveau piratage massif dans l'industrie vidéo. Les identifiants des comptes utilisateurs des services d'Ubisoft sont en danger, mais pas leurs données bancaires.
Ubisoft vient d'admettre avoir été victime d'un piratage massif. "La sécurité d'un de nos sites Internet a été compromise", annonce l'éditeur français de jeux vidéo aux utilisateurs de son service UPlay, sur le forum qui lui est dédié.
Noms d'utilisateurs, adresses e-mail et mots de passe chiffrés ont été "illégalement consultés depuis notre base de données de comptes". Ubisoft affirme que les données bancaires, c'est-à-dire celles des cartes de crédit des utilisateurs, ont été protégées. "Aucune information de paiement n'est en effet stockée chez Ubisoft" . Autrement dit, ajoute l'éditeur, "ces informations bancaires ne sont pas concernées par cette intrusion". Pour mémoire, isoler les informations bancaires est une bonne pratique qui est aussi l'un des critères pour obtenir la certification PCI DSS.
Quant aux mots de passe, ils n'étaient pas stockés en clair, mais bien chiffrés, cependant, ils peuvent toujours avoir été craqués,admet Ubisoft, "surtout s'ils étaient peu complexes". Les utilisateurs sont donc invités à les changer.
Ubisoft affirme que l'attaque ne s'est pas faite "depuis les services UPlay" et que l'intrusion a visé "d'autres services en ligne". Pour des raisons de sécurité, le géant des jeux vidéo ne souhaite pas donner plus de détails techniques sur cette intrusion, mais c'est souvent des injections de type SQL qui sont utilisées par les pirates pour aspirer de nombreuses données confidentielles.
Le cas marquant de Sony
C'est loin d'être la première fois que l'industrie du jeu vidéo est la cible des piratages, les poids lourds du secteur comme Steam et Sony en ont précédemment été victimes. L'industrie de la sécurité informatique garde d'ailleurs bien en tête les piratages à répétition visant Sony en 2011, ayant impliqué les pirates LulzSec. D'ailleurs la plupart d'entre eux ont aujourd'hui été appréhendés par la Justice, et admis certains piratages, mais le plus gros incident, qui avait mis à genoux le Sony PlayStation Network et les données de 70 millions de ses clients n'a pas été revendiqué ou expliqué.
Il est cependant possible que tous ces piratages soient des actes militants. Dernièrement, les décisions prises par les éditeurs d'imposer, en vue de contrôler les droits numériques des jeux, une connexion internet aux joueurs ont été vivement critiquées par ces derniers. Les serveurs UPlay servaient d'ailleurs justement aussi à la gestion des droits numériques.