IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'installeur Android du jeu populaire Fortnite a été livré avec une faille de sécurité


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut L'installeur Android du jeu populaire Fortnite a été livré avec une faille de sécurité
    L'installeur Android du jeu populaire Fortnite a été livré avec une faille de sécurité
    Une révélation hâtive de Google qui n'a pas plu à à Epic Games

    Fortnite est un jeu en ligne développé par Epic Games qui a été publié sous la forme de différents progiciels proposant différents modes de jeu qui partagent le même gameplay général et le même moteur de jeu. Devenu un véritable phénomène de société, le jeu est parvenu à attirer plus de 125 millions de joueurs en moins d’un an, et a généré des centaines de millions de dollars par mois.

    Nom : fortnite.PNG
Affichages : 17324
Taille : 834,6 Ko

    Disponible sur plusieurs plateformes et consoles, le jeu a été lancé récemment sur Android. Seulement, pour l’installer, il faut impérativement passer par le site de l'éditeur et non pas par Google Play. En effet, Epic Games a choisi de passer par cette voie pour éviter de payer des commissions à Google.

    Ce choix a poussé le géant de la recherche à avertir Epic que cette décision risque de mettre en danger la sécurité des utilisateurs, mais sans succès, impossible d’avoir le jeu à partir du store d’Android.

    Après avoir montré des alertes à tout utilisateur cherchant à installer Fortnite depuis Google Play, un ingénieur de Google a révélé que la première version de l’installeur d’Epic contient une vulnérabilité sévère de sécurité susceptible de mettre en danger les utilisateurs d’Android. En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).

    Pour que cette faille soit exploitée, la victime doit avoir une application malicieuse installée sur son appareil et susceptible d’exploiter ce type de vulnérabilité. Et vu la façon avec laquelle l’installeur de Fortnite a été écrit, il a été possible de lui prescrire l’installation de n’importe quelle application et lui accorder toutes les permissions.

    L’ironie de l’histoire, c’est que quand Google a découvert cette faille le 15 août, la firme a immédiatement notifié Epic. Les détails sur la vulnérabilité n’ont pas été rendus publics jusque-là. L’éditeur de Fortnite a vite publié un correctif de l’installeur dans 48 heures et il a été déployé pour tous les utilisateurs d’Android qui ont téléchargé l’installeur.

    Seulement, pour donner plus de temps aux utilisateurs de mettre à jour l'application, et empêcher que des hackers exploitent le bogue, Epic a demandé à Google de ne pas divulguer les détails de la vulnérabilité avant 90 jours.

    Toutefois, la politique de Google stipule qu’un bogue n’est pas divulgué dans un délai de 90 jours. Une fois cette période passée ou bien un patch a été rendu disponible, « le rapport du bogue, y compris tout commentaire ou pièce jointe, seront rendus disponibles au public. »

    Selon ses propres termes, Google a divulgué les détails sur la faille malgré la requête d’Epic, une décision qui a suscité la colère de l’éditeur du jeu, estimant que cette façon d’agir n’est qu’une forme de représailles suite à sa décision de distribuer Fortnite sans passer par les tuyaux de Google Play.

    Google a pour sa part assuré que sa priorité est de garantir la sécurité des utilisateurs d’Android, c’est la raison pour laquelle la firme a entrepris d’auditer l’installeur de Fortnite malgré le fait que l’app n’est pas listée sur Google Play.

    La question désormais est de savoir si Google va continuer à monitorer les prochaines versions de Fortnite ou bien toute autre application populaire qui ne sera pas listée sur son store, surtout que de plus en plus de développeurs sont mécontents à cause des commissions jugées exorbitantes imposées par les deux géants Apple et Google. La firme de Cupertino elle n’a pas à s'inquiéter de ce genre de scénario puisque la nature fermée d’iOS empêche l’installation d’applications en dehors de l’App Store.

    Source : issuetracker - Mashable

    Et vous ?

    Que pensez-vous de la décision de Google de divulguer les détails sur la faille ?
    Pensez-vous qu'Epic Games aurait dû lister Fortnite sur le Play Store ?

    Voir aussi

    Fortnite a généré plus de 318 millions de dollars de recette uniquement durant le mois de mai, selon les statistiques de SuperData
    Des joueurs de Fortnite, ayant installé un cheat, infectés par un malware qui installe un certificat racine auto-signé pour des MiM sur HTTPS
    Epic a lancé des poursuites contre un adolescent de 14 ans pour avoir triché sur « Fortnite : Battle Royal », sa mère est montée au créneau
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Invité
    Invité(e)
    Par défaut
    Que pensez-vous de la décision de Google de divulguer les détails sur la faille ?
    Que google va clairement descendre tout ceux qui ne se plient pas à sa volonté, comme d'habitude.

    Dommage que les smartphones/tablettes soient autant verrouillé, pourvoir installer l'OS de son choix serait vraiment le pied mais en attendant on subit les nazis de l'informatique...

  3. #3
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Octobre 2015
    Messages
    67
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Octobre 2015
    Messages : 67
    Points : 108
    Points
    108
    Par défaut
    "Pour que cette faille soit exploitée, la victime doit avoir une application malicieuse installée sur son appareil et susceptible d’exploiter ce type de vulnérabilité." Ok donc le téléphone est censé être déjà infecté.

  4. #4
    Membre éprouvé Avatar de jvallois
    Homme Profil pro
    Enseignant
    Inscrit en
    Février 2013
    Messages
    191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Aisne (Picardie)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Février 2013
    Messages : 191
    Points : 979
    Points
    979
    Par défaut
    Citation Envoyé par kopbuc Voir le message
    "Pour que cette faille soit exploitée, la victime doit avoir une application malicieuse installée sur son appareil et susceptible d’exploiter ce type de vulnérabilité." Ok donc le téléphone est censé être déjà infecté.
    « Et vu la façon avec laquelle l’installeur de Fortnite a été écrit, il a été possible de lui prescrire l’installation de n’importe quelle application et lui accorder toutes les permissions. »

    Non, l'installateur peut être utilisé pour installer l'application malicieuse.

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Libéral
    Inscrit en
    Mai 2017
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Libéral
    Secteur : Finance

    Informations forums :
    Inscription : Mai 2017
    Messages : 2
    Points : 8
    Points
    8
    Par défaut
    Représailles basiques, pour l'absence du jeu sur Play Store.
    Don't be evil, qu'ils disaient. Mais ça, c'était tellement "avant"...

  6. #6
    Membre extrêmement actif Avatar de darklinux
    Homme Profil pro
    Chef de projet en SSII
    Inscrit en
    Novembre 2005
    Messages
    570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Chef de projet en SSII
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2005
    Messages : 570
    Points : 1 023
    Points
    1 023
    Par défaut
    Citation Envoyé par Stérilux Voir le message
    Que google va clairement descendre tout ceux qui ne se plient pas à sa volonté, comme d'habitude.

    Dommage que les smartphones/tablettes soient autant verrouillé, pourvoir installer l'OS de son choix serait vraiment le pied mais en attendant on subit les nazis de l'informatique...
    Il est normal d ' avoir un minimum d 'ordre . Pourquoi vouloir installé un OS écrit avec les pieds , compilé à la pisse et très certainement bourré de malwares . pour parlé ainsi de " nazi de l ' informatique " il faut ne pas avoir vécu le règne de Microsoft.

  7. #7
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Octobre 2015
    Messages
    67
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Octobre 2015
    Messages : 67
    Points : 108
    Points
    108
    Par défaut
    Citation Envoyé par jvallois Voir le message
    « Et vu la façon avec laquelle l’installeur de Fortnite a été écrit, il a été possible de lui prescrire l’installation de n’importe quelle application et lui accorder toutes les permissions. »

    Non, l'installateur peut être utilisé pour installer l'application malicieuse.
    Oui mais justement l'appareil doit déjà être infecté pour que l'on puisse utiliser l'installateur pour installer une autre appli malicieuse sinon aucun moyen de contrôler l'installateur. Donc aucun intérêt le malware suffit déjà à faire ça.

  8. #8
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 388
    Points : 196 520
    Points
    196 520
    Par défaut Epic qualifie Google « d'irresponsable » pour avoir donné des détails sur la faille affectant Fortnite sur And
    Epic qualifie Google « d'irresponsable » pour avoir divulgué des détails sur la faille affectant Fortnite sur Android,
    une semaine après la disponibilité du correctif

    Fortnite est un jeu en ligne développé par Epic Games qui a été publié sous la forme de différents progiciels proposant différents modes de jeu qui partagent le même gameplay général et le même moteur de jeu. Devenu un véritable phénomène de société, le jeu est parvenu à attirer plus de 125 millions de joueurs en moins d’un an, et a généré des centaines de millions de dollars par mois.

    Disponible sur plusieurs plateformes et consoles, le jeu a été lancé récemment sur Android. Seulement, pour l’installer, il faut impérativement passer par le site de l'éditeur et non pas par Google Play. En effet, Epic Games a choisi de passer par cette voie pour éviter de payer des commissions à Google.

    Après avoir montré des alertes à tout utilisateur cherchant à installer Fortnite depuis Google Play, un ingénieur de Google a révélé que la première version de l’installeur d’Epic contient une vulnérabilité sévère de sécurité susceptible de mettre en danger les utilisateurs d’Android. En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).

    Tim Sweeny, le fondateur d’Epic a déclaré que Google aurait dû retarder le partage de cette information :

    « Nous avons demandé à Google de conserver l’information jusqu’à ce que la mise à jour soit plus largement installée. Ils ont refusé, créant un risque inutile pour les utilisateurs d'Android afin d'obtenir des points de relations publiques bon marché » , a tweeté Tim Sweeney.

    Nom : fortnite.png
Affichages : 13093
Taille : 603,1 Ko

    Par le passé, Google a été critiqué par Microsoft pour avoir partagé les détails des vulnérabilités des produits de l’éditeur avant la disponibilité d’un correctif. L'équipe de sécurité du développeur d’Android s’est également attiré les foudres d’Apple et Samsung pour les mêmes motifs.

    Pourtant, dans ce cas, certaines personnes parmi lesquelles Troy Hunt ont estimé qu’Epic était responsable de cette situation : « Les gens vont argumenter en estimant que la période est soit trop longue, soit pas assez longue, en fonction du côté dans lequel ils sont. Cependant, je suis toujours surpris qu’Epic n'ait pas mis son application sur Play Store pour commencer ».

    Selon les termes de Google, Epic aurait dû lui octroyer une commission de 30% sur ses entrées sur Android. Si l’éditeur s’est refusé à mettre son application sur Google Play, il a toutefois accepté les mêmes conditions sur la boutique d'applications d'Apple, étant donné les restrictions qu’il y a sur iPhones qui empêchent des installations d’applications en provenance d’autres sources.

    Selon la documentation de Google, son équipe a découvert cette faille le 15 août et en a immédiatement notifié Epic. Les détails sur la vulnérabilité n’ont pas été rendus publics jusque-là. L’éditeur de Fortnite a vite publié un correctif de l’installeur dans 48 heures et il a été déployé pour tous les utilisateurs d’Android.

    Seulement, pour donner plus de temps aux utilisateurs de mettre à jour l'application, et empêcher que des hackers exploitent le bogue, Epic a demandé à Google de ne pas divulguer les détails de la vulnérabilité avant 90 jours.

    Toutefois, la politique de Google stipule que les détails d’un bogue sont révélés au public 90 jours après les avoir signalé aux développeurs responsables si ceux-ci n’ont pas été traités. Cependant, dès lors qu’un correctif est disponible, les détails du bogue sont révélés au public une semaine après la date de disponibilité. Raison pour laquelle la demande d’un délai de 90 jours avant divulgation d’Epic a été rejetée (le correctif étant déjà disponible).

    Nom : Epic_1.png
Affichages : 5275
Taille : 108,2 Ko

    Si le fondateur d’Epic s’est montré reconnaissant du fait que Google ait audité le logiciel de son entreprise et l'a informée de la faille, il a estimé que l’éditeur d’Android n’a pas agi dans l'intérêt des utilisateurs en refusant de garder le sujet privé jusqu'à la mi-novembre.

    « La décision d'Epic Games de contourner Google Play montre que lorsque la sécurité entre en conflit avec des intérêts commerciaux, les intérêts commerciaux gagnent souvent, mais au prix de la sécurité publique en ligne », a commenté le professeur Steven Murdoch, chercheur en sécurité à l'University College London.

    « La sécurité ne résulte plus uniquement de la prise de bonnes décisions techniques, mais également du fait que les structures commerciales complexes en place fonctionnent pour et non contre une meilleure sécurité en ligne ».

    En parallèle, Epic a incité les joueurs de Fortnite à activer une authentification à deux facteurs afin de réduire le risque de vol de leurs comptes. Cela contraint les joueurs à entrer un code qu’ils reçoivent sur leur téléphone ou à leur adresse électronique en plus de leur mot de passe lors de la connexion.

    Source : Tim Sweeney, Troy Hunt, Epic Games

    Et vous ?

    Quel est votre avis sur le sujet ? Penchez-vous plutôt du côté d'Epic ou de Google ?
    Les délais imposés par Google vous semblent-ils raisonnables ?
    L'entreprise devrait-elle faire des exceptions ? Si oui, sur quelles critères (type d'application, portée de la faille, nombre d'utilisateurs, etc.) ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  9. #9
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    « La décision d'Epic Games de contourner Google Play montre que lorsque la sécurité entre en conflit avec des intérêts commerciaux, les intérêts commerciaux gagnent souvent, mais au prix de la sécurité publique en ligne », a commenté le professeur Steven Murdoch, chercheur en sécurité à l'University College London.

    « La sécurité ne résulte plus uniquement de la prise de bonnes décisions techniques, mais également du fait que les structures commerciales complexes en place fonctionnent pour et non contre une meilleure sécurité en ligne ».
    De tels propos sont honteux de la part d'un chercheur en sécurité.

    Être à la merci de "structures commerciales complexes" en situation de (quasi-)monopoles, chacune sur leur plateformes, qui peuvent ainsi censurer arbitrairement ce qui ne leur plaît pas, et qui en profitent pour racketter les développeurs d'applications, ce n'est pas vraiment ce qu'on peut appeler une "sécurité".

    Dont le comportement ressemble à des techniques mafieuses, à auditer une application qui refuse de se soumettre dans le but à peine caché de porter atteinte à sa réputation, et je présume la faire rentrer dans le rang.


    Sans compter derrière les potentiels problèmes de vies privées, ou de neutralité de la plateforme vis-à-vis des applications qu'elle propose.

    Citation Envoyé par Stéphane le calme Voir le message
    En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).
    ? À partir du moment où un attaquant peut faire télécharger du code arbitraire et l'exécuter, l'utilisateur est vulnérable à tout type d'attaques, pas spécialement MITM.

Discussions similaires

  1. Réponses: 5
    Dernier message: 11/04/2019, 22h51
  2. Réponses: 2
    Dernier message: 12/09/2017, 20h01
  3. Réponses: 5
    Dernier message: 04/07/2016, 11h38
  4. Réponses: 4
    Dernier message: 04/06/2013, 18h22
  5. application android de jeu de promosport
    Par NINASYRINE dans le forum Android
    Réponses: 2
    Dernier message: 01/04/2013, 18h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo