Cinq questions sur le piratage d'ESEA, un site dédié à l'e-sport
Au mois de décembre, la ligue ESEA (E-Sports Entertainment Association) a été victime d'une intrusion sur sa plateforme.Qu'est-ce qui s'est passé ?
https://twitter.com/ESEA/status/817936212354797568
Quelles données ont été volées ?
Les auteurs de l'intrusion ont pu mettre la main sur la date d'inscription, la ville, la région, la dernière date de connexion, l'identifiant, le prénom, le nom, l'empreinte du mot de passe (avec la fonction de hachage bcrypt), l'adresse e-mail, la date de naissance, le code postal, le numéro de téléphone, l'adresse du site web personnel, l'identifiant Steam, l'identifiant Xbox et l'identifiant PSN.
Le site Leaked Source fait savoir que la base de données qui a été copiée regroupe au total les comptes de très exactement 1 503 707 membres. Bien sûr, tout le monde n'est pas logé à la même enseigne. Certains profils sont de fait plus compromis que d'autres, parce qu'ils sont plus détaillés. C'est le cas de ceux qui avaient inscrit leur identifiant Steam, Xbox et ou PSN sur ESEA.
Comment savoir si mes informations ont été subtilisées ?
Dans un message publié le 8 janvier, ESEA explique avoir informé sa communauté le 30 décembre sur une possible intrusion dans son infrastructure. ESEA se montre très prudent dans la façon de présenter les choses, notant par exemple que les données dont il est question n'ont pas été confirmées comme provenant de son service. Cela dit, cela ne l'empêche pas d'annoncer en même temps le renforcement de sa sécurité.
Il existe des sites web comme Leaked Source et Have I been pwned ? qui permettent de tester son e-mail. Ces deux espaces sont considérés comme sérieux ; il ne s'agit pas d'un piège pour récupérer discrètement votre adresse de courrier électronique. Have I been pwned ? ne semble pas encore avoir à disposition la base de données d'ESEA, contrairement à Leaked Source.
Que dois-je faire pour me protéger ?
Le premier réflexe à avoir est de renouveler le mot de passe que vous utilisez sur ESEA, si vous êtes inscrit sur ce service. Comme d'habitude, il est recommandé d'opter pour un mot de passe (ou une phrase de passe) unique, assez long, mélangeant toutes sortes de caractères n'étant pas compréhensible ou faisant référence à ce que vous êtes (il ne faut par exemple utiliser sa date de naissance dans le mot de passe).
Si le mot de passe que vous utilisiez sur ESEA est le même que vous employez ailleurs, il est judicieux de mettre à jour les comptes concernés. Profitez-en pour établir un mot de passe (ou une phrase de passe) unique par plateforme. Surveillez aussi avec attention les activités sur vos comptes Steam, Xbox Live ou PSN, surtout si vous les avez associés à votre profil ESEA. Des tentatives de phishing pourraient survenir.
Qui a commis ce piratage ?
C'est pour l'instant l'une des grandes inconnues. Ce que l'on sait pour l'heure, c'est que l'opération qui a visé ESEA avait pour but de lui soutirer de l'argent. Le site CSO indique que le ou les assaillants ont demandé une rançon de 50 000 dollars pour ne pas divulguer les informations sensibles qui ont été subtilisées et pour indiquer à la plateforme de quelle façon corriger la faille qui a été exploitée pour ce larcin numérique.
De toute évidence, ESEA n'a pas cédé aux exigences de celui ou ceux qui ont commis ce casse -- ce qui est l'attitude à avoir, même si c'est au prix d'une fuite de données. Le site évite ainsi de prêter le flanc à de futures attaques qui auraient pu être motivées par le fait qu'ESEA paie quand il est en difficulté. Et de toute façon, même si ESEA avait payé, la fuite aurait peut-être eu lieu quand même.