Pour enchérir sur les données volées de CD Projekt, il faut débourser 3 800 euros
CD Projekt avait pris les devants dès le mardi 9 février. Publiquement, l'éditeur de The Witcher 3 et Cyberpunk : 2077 a expliqué qu'il était victime d'un rançongiciel, et qu'il ne paierait pas la rançon demandée par les cybercriminels.
Dès le lendemain, des messages ont commencé à apparaître sur les forums de ventes de données. Sur le plus populaire d'entre eux, un utilisateur prétendait mettre à la vente les codes sources, mais sa publication n'était pas suffisamment étayée, ce qui laisse entendre qu'il essayait simplement d'arnaquer des acheteurs crédules. En même temps, sur le forum 4chan un autre individu publiait gratuitement des fichiers appartenant prétendument à Gwen, le jeu de cartes issu de l'univers de The Witcher. Nous n'avons pas pu vérifier son contenu, puisque la publication a rapidement été supprimée.
Après ces premiers pétards mouillés, l'entreprise de cybersécurité Kela a finalement identifié une offre de vente plus crédible, présentée sur un forum russe. Elle a détaillé au Bleeping Computer et à The Verge le 10 février les raisons qui lui font croire que la vente est légitime, et non une arnaque.
3 000 euros pour participer aux enchères
Pour commencer, les vendeurs ont organisé une enchère en bonne et due forme : pour gagner le droit de faire des offres, les acheteurs potentiels doivent faire un dépôt de 0,1 bitcoin (soit tout de même près de 3 800 euros au cours actuel). Ce droit d'entrée leur donne aussi accès à un échantillon de données, censé prouver que les cybercriminels possèdent réellement le contenu qu'ils vendent. Il récupèreront s'ils ne gagnent pas les enchères.
Kela a pu consulter cet échantillon, qui présente une liste de dossiers contenant supposément le code source du moteur graphique de CD Projekt. En plus des données du moteur graphique, le lot mis aux enchères contiendrait aussi celles de The Witcher 3, de l'épisode Thronebreaker du même univers, et du récent Cyberpunk 2077. Pour couronner le tout, un des dossiers contiendrait des documents internes, mais les malfaiteurs n'en ont pas donné le détail. En chiffres, le volume de données est impressionnant : 480 651 fichiers et 47 369 dossiers, pour un poids total de 207 Go.
D'après Kela, les enchères commenceraient à un 1 million de dollars (dans un premier temps, la rumeur évoquait un prix bien plus faible de 1 000 euros), et le vainqueur serait le seul à obtenir l’accès aux données. Si un cybercriminel souhaite s'offrir le lot sans discussion, il peut débourser plus de 7 millions de dollars. Et bien sûr, tous les paiements se font en cryptomonnaies.
Ce prix d'entrée est particulièrement élevé par rapport aux standards du marché. Et même si une entreprise experte souligne la crédibilité de l'enchère, c'est encore trop tôt pour confirmer que les cybercriminels disposent effectivement des données qu'ils prétendent avoir. Un chercheur d'Emisoft a expliqué sur Twitter que le gang à l'origine de l'attaque (et donc vraisemblablement de la vente) est Hello Kitty (oui, comme le célèbre anime japonais). Peu actif, ce groupe a pour particularité de laisser des notes de rançon personnalisées, signe qu'il observe ses victimes de l'intérieur avant de déployer son malware.
Dans son communiqué, CD Projekt expliquait qu'aucune de ses données clients -- joueurs comme acheteurs -- n'ont été compromises. Ou du moins, qu’il n'en trouvait pas la trace à ce stade de l'enquête interne. Mais ce n'est pas la première fois que l'éditeur a ce genre de soucis : en mars 2016, il avait laissé s'échapper les données de 1 871 000 joueurs, dont leurs emails et leurs mots de passe (qui n'étaient pas en clair, mais déchiffrables).