Pourquoi utiliser des techniques complexes quand il suffit de soudoyer la bonne personne ? C’est ce qu’a prouvé un hacker, qui est parvenu à accéder aux fonctionnalités de support client de la plateforme de création de jeux en ligne Roblox. L’individu a raconté son aventure à Vice : il a eu accès aux données personnelles des joueurs, pouvait changer leur mot de passe, modifier leur double authentification, bannir les joueurs, ou encore créditer des « Robux », la monnaie virtuelle du jeu… Sa technique ? Contacter un employé de l’entreprise, et acheter les accès aux fonctionnalités contre des pots-de-vin.
Roblox a récemment dépassé Minecraft en nombre de joueurs réguliers // Source : Roblox – YouTube
Moins connu que Minecraft, Roblox suit le même principe et revendique 100 millions de joueurs mensuels sur PC, Xbox One et mobile. Le jeu — qui permet de créer une multitude de mini-jeux — est particulièrement populaire auprès des enfants, et plus généralement des mineurs : les données personnelles auxquelles le hacker a accédé sont donc particulièrement sensibles.
Le pirate aurait pu revendre des comptes, faire du chantage, mettre en place du phishing pour lancer d’autres attaques, ou encore revendre les objets en jeu. Ces objets peuvent d’ailleurs avoir une grande valeur en monnaie réelle…
L’humain, maillon faible de la chaîne de sécurité
Dans sa démonstration le hacker a contacté Linkmon99, un youtubeur suivi par plus de 400 000 abonnés, connu pour le nombre d’objets rares qu’il possède sur le jeu. Le pirate lui a envoyé un email en expliquant qu’il connaissait son adresse email, que le créateur n’utilise pourtant que pour son compte Roblox. Le hacker s’en est arrêté là, mais il aurait pu tenter de pirater le célèbre compte et de revendre pour de grandes sommes les objets en jeu.
Le manipulateur espérait obtenir une prime
Avant de partager ses méfaits à Vice, le pirate a tenté de signaler la faille sur la plateforme de bug bounty HackerOne, où Roblox dispose d’un espace. Il espérait gagner quelques centaines voire milliers d’euros en échange de sa trouvaille. Seulement, sa demande de prime a été refusée, les modérateurs jugeant comme malveillante sa démarche. Et pour cause : le bug bounty, qui sert à rémunérer les hackers en fonction des vulnérabilités qu’ils trouvent s’inscrit dans un cadre défini par l’entreprise, et si les chercheurs sortent de ce cadre, ils s’aventurent sur un terrain illégal, qui peut mener à des poursuites de la part de l’entreprise.
« Nous avons immédiatement pris en main la situation et prévenu individuellement le très petit nombre de clients touchés », a commenté Roblox. L’entreprise a également confirmé que le hack avait été permis par une manipulation et non une erreur technique. Cet exemple est une nouvelle preuve que les humains sont les principales sources de fuites des systèmes informatiques.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
