E-SPORT & JEUX VIDÉO

Cybersécurité des jeux vidéo & de l’Esport: la corégulation impérative du secteur

Cybersécurité des jeux vidéo & de l'Esport: la corégulation impérative du secteur

500 000 malwares détectés chaque jour contre seulement quelques-uns il y a vingt ans. Tel est la réalité de la cybersécurité aujourd’hui, Interpol évaluant ses dommages à plus de 750 milliards d’euros. 500 000 malwares détectés chaque jour contre seulement quelques-uns il y a vingt ans.

Les différents confinements liés au Covid 19 ont été propice à l’augmentation des attaques informatiques touchant notamment des activités largement prospères pendant ces périodes : les jeux de hasard en ligne, le jeu vidéo et l’eSport.

De fait, la compétition de jeu vidéo en ligne met en scène désormais des équipes professionnelles qui jouent pour des montants de plusieurs millions de dollars dans des tournois d’eSport qui se vendent à guichets fermés et sont diffusées par un large public à travers le monde sur plusieurs plateformes tel Twitch, YouTube ou Discord.

Certaines études universitaires ont annoncé le dépassement du nombre de compétitions esportives sur le sport traditionnel avant 2022.

Dans la continuité du précédent rapport publié par le groupe Trend en novembre 2019, la question de la cybercriminalité appliquée au jeu vidéo a connu une actualité récente suite à la publication du rapport « State of the Internet / Security » par le fournisseur de serveurs numériques Akamai.

Ce dernier fait état d’une augmentation ces deux dernières années des attaques informatiques ciblant le secteur des jeux vidéo, augmentation qui n’a vocation qu’à se poursuivre dans les années à venir, de nombreux forums clandestins de cybercriminels ayant déjà des sections consacrées à l’eSport.

Jeux vidéo & cybersécurité : une longue histoire

Le phénomène n’est pas récent, les éditeurs de jeux vidéo étant régulièrement victimes d’attaques informatiques depuis plusieurs années :

  • En 2011, Playstation Network est victime d’une attaque informatique aboutissant au vol de millions de données personnelles et bancaires ;
  • En 2014, XboxLive et Blizzard sont victimes de cyberattaques ;
  • La plateforme Steam en mars 2016 découvre le logiciel « Steam Stealer » capable de voler jusqu’à 77 000 comptes par mois, se focalisant sur les items en ligne et données bancaires ;
  • Fortnite est informé entre novembre 2018 et janvier 2019 des vulnérabilités compromettant les données personnes des joueurs notamment l’écoute des conservations entre joueurs et l’accès à leurs informations bancaires ;
  • Blizzard en septembre 2019, dont les serveurs du jeu World of Warcraft ont été bloqués pendant plusieurs heures.

La période de confinement a vu le nombre d’attaques informatiques contre les sociétés de jeu vidéo augmenter. En avril 2020, EA Games a vu l’ensemble de ses jeux bloqués après un gel de ses serveurs tandis que le jeu Ragnarok Online du studio Whybe Online est victime d’une tentative de piratage informatique.

Nintendo, dont le système Nintendo Network ID, liant les comptes des joueurs sur les anciennes consoles de jeu de l’entreprise, la Wii U et la 3DS est également compromis à la mème période, aboutissant au vol de données de plus de 300 000 comptes utilisateurs.

Une attaque informatique d’un genre singulier est intervenu en avril 2018 touchant les utilisateurs du titre PUBG, le ransomware installé imposant au joueur plus d’une heure de jeu pour débloquer les données verrouillées sur son ordinateur.

En matière d’eSport, des actions ont également été constaté notamment en janvier 2019 au premier Colmar Esport show, son partenaire Vialis étant victime de deux cyber-attaques endommageant le réseau internet et interrompant la compétition esportive, ou encore en février 2019, l’évènement Lyon eSport étant également ciblé par des attaques informatiques.

Joueurs, Esportifs, Diffuseurs, Editeurs : des cibles de choix des cybercriminels

Le rapport Sécurité IT 2020 de l’éditeur Splunk a mis en avant les principales menaces informatiques dont certaines touchent aujourd’hui le secteur de l’eSport.

Les moyens mis en oeuvre sont similaires à ceux déjà exploités dans d’autres secteurs industriels:

  • le phishing consistant à tromper les internautes pour récupérer leurs identifiants de connexion,
  • les systèmes type DDoS saturant les serveurs des cibles ou injections SQL pour exploiter les failles de sécurité d’une application en interagissant avec sa base de donnée,
  • les malwares transmis grâce aux moyens de communication permettant l’échange et téléchargement de documents,
  • le credential stuffing permettant de tester de manière automatisée de nombreuses bases d’identifiants dérobés sur plusieurs sites internet, processus baptisé « Old Data, New Attack ».

Il peut ètre cité le cas innovant du ransomware TeslaCrypt qui en 2016, recherchait sur les ordinateurs des extensions de fichiers intégrant le nom de titres de jeux vidéo renommés et verrouillant tous les dossiers associés.

Les cibles de ces cyberattaques sont en réalité multiples : les développeurs et éditeurs de jeux vidéo, les associations esportives, les organisateurs, influenceurs et diffuseurs d’événements esportifs, leurs sponsors et investisseurs voire tout spectateur en ligne de ce type d’évènement.

Les joueurs, amateurs ou professionnels, constituent des cibles de choix : très engagés et actifs au sein de communautés sociales, ces derniers disposent généralement d’un certain pouvoir d’achat, leurs informations bancaires souvent associés à des plateformes d’achats en ligne.

Ces dernières années ont vu une explosion des attaques focalisées sur les jeux mobiles et jeux en ligne, usant de serveurs compilant les comptes et données personnelles de leurs utilisateurs.

Les objectifs de ces attaques sont quant à eux variés : compromettre des comptes afin de dérober les informations personnelles ou des actifs du jeu à des fins de revente, la triche en manipulant les devises des jeux en ligne, la concurrence déloyale en détournant la clientèle d’un serveur ou d’un jeu ou dégradant simplement l’image des entreprises victimes, la vengeance ou chantage voire dans certains cas l’activisme.

Esport. En matière esportive, les cyberattaques trouvent des formes plus sournoises. Les ransomwares, cheats, aimbots, wallhacks sont utilisés afin de faire gagner les cashprizes ; l’installation de malwares peut ètre destiné à truquer des paris ou perturber la tenue ou l’issue d’une compétition.

A titre d’exemple, le systèmes DdoS permettant de perturber la connexion stable et de qualité des serveurs peut constituer un danger important aussi bien pour les compétitions de jeux vidéo que les systèmes de cloud gaming, perturbant l’expérience de jeu des professionnels ou des consommateurs.

Cybercriminalité esportive : Des auteurs traqués voire condamnés

Retracées jusqu’aux Etats Unis, la Russie, la Turquie ou les Pays-Bas, les auteurs de ces attaques informatiques sont pour certains connus des acteurs de la cybersécurité. L’un des plus célèbre, Winnti alias APT41, BARIUM, Blackfly, est un groupe de hackers chinois spécialisés dans l’attaque de sociétés de jeux vidéo notamment ceux opérant depuis la Corée du Sud et Taiwan.

Les éditeurs de solution de cybersécurité Kapersky, Eset ou encore FireEye dénoncent chaque année leurs attaques de ce groupe. Ces attaques ont donné lieu à plusieurs condamnations rappelant la nature pénale de ces agissements :

En 2010, par vengeance contre d’autres joueurs, un jeune roumain de 38 ans, ivre de rage contre un autre joueur de World of Warcraft déclenche une attaque informatique contre les serveurs de Blizzard, bloquant plusieurs milliers de joueur et coûtant 25 000 € à l’éditeur. Huit ans plus tard, il est extradé aux États-Unis et condamné à dix mois de prison fédérale.

À l’été 2019, un autre cybercriminel a été condamné à 27 mois de prison et 95 000 dollars de dommages et intérèts suite à des attaques menées en 2013 contre Sony Online Entertainement, League of Legends, Dota 2 ou encore le service Battle.net de Blizzard.

 

Cybersécurité & Esport : Une qualification pénale variée

La criminalité actuelle entourant le jeu vidéo est issue d’une mutation de ses victimes. Historiquement, les efforts étaient concentrés sur la contrefaçon du jeu notamment par la création de logiciels destinés à contourner les mécanismes de sécurité mis en place par les éditeurs.

Le développement de jeux accessibles en ligne, par exemple les MMO, hébergeant les comptes des joueurs, souvent mineurs, leurs gains et informations personnelles dont les coordonnées bancaires ont ainsi permis l’essor des « vols de compte de jeu vidéo » et l’ajout de nouvelles victimes aux côtés des éditeurs de jeux : les joueurs eux-mèmes.

Usurpation d’identité & autres infractions. Le développement et démocratisation de l’Internet a constitué un facteur d’amplification de l’infraction historique d’usurpation d’identité.

Ce délit encadré par l’article 226-4-1 du Code pénal punit le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération y compris lorsque cette dernière est commise sur un réseau de communication au public en ligne ».

Des infractions connexes sont venues complétées les comportements d’usurpation d’identité notamment l’usage d’un faux nom dans un acte public, l’usurpation d’état civil et, enfin, l’indication d’un faux nom afin d’obtenir un extrait du casier judiciaire d’un tiers. Judiciairement, les juridictions ont pu retenir d’autres qualifications pénales notamment escroquerie, accès frauduleux au système de traitement automatisé des données, contrefaçon.

L’Agence nationale de la sécurité des systèmes d’information et la Direction des affaires criminelles et des grâces recommandent sur ce point le dépôt de plainte en cas d’attaques ou chantages liées aux systèmes d’information afin de confier à des autorités spécialisée et compétentes l’enquète, la négociation et la protection des victimes.

Données personnelles. Souvent négligées, les conséquences de ces attaques sont pourtant considérables. Les comptes de jeu vidéo conservent un nombre de plus en plus important de données personnelles parmi lesquelles les noms, prénoms, adresse IP voire physiques, données techniques d’accès à internet, type de matériel utilisé, données de consommation de jeux vidéo, adresse email, coordonnées bancaires, et pour les jeux mobiles également la localisation, l’engagement médiatique et mème les appels téléphoniques, les contacts, etc.

Dans le cadre d’esportifs de haut niveau, les données personnelles peuvent recouvrer également les données médicales détenues par le club, les coordonnées personnelles, les informations détenues par le club sur vos supporters et abonnés, l’accès aux données liées à ses performances peuvent également constituer un handicap majeur dans sa pratique compétitive du jeu vidéo.

RGPD. La responsabilité des éditeurs, organisateurs de compétition esportives peut à ce titre ètre également recherché eu regard du RGPD et des manquements dans la protection des bases de données collectées et traitées. L’entrée en vigueur de la récente réglementation avait déjà bouleversé de nombreux éditeurs, plusieurs jeux ayant dû ètre interrompus, la mise à jour de leur système de collecte de données à grande échelle étant trop couteuse.

Si les services de police et judiciaires s’organisent pour lutter plus efficacement contre cette délinquance numérique, la généralisation des usages numériques et la sophistication des cyberattaques dans le domaine du jeu vidéo et de l’eSport obligent l’ensemble des acteurs du secteur à travailler de concert, les éditeurs de jeux vidéo ne pouvant ètre seuls aptes à garantir l’intégrité de leurs services.

Jeux vidéo & Esport : Corégulation et responsabilité des acteurs

L’écosystème du jeu vidéo et de l’eSport peuvent bénéficier de l’expérience d’autres secteurs déjà touchés et ayant développé de nombreuses ressources de protection et de prévention.Les audits d’analyse peuvent ainsi évaluer la fragilité des systèmes d’information des différentes entreprises et des titres exploités.

Les éditeurs peuvent par ailleurs consolider les mises à jour programmés de leurs jeux notamment pour les évènements esportifs et travailler avec des entreprises spécialisées dans la cyber-protection pour le perfectionnement de fonctionnalité du « mode jeu » des logiciels antivirus ou la surveillance de comportements de botnets dans les processus d’authentification et de comportement pendant le jeu.

Le contrôle des éditeurs de jeux vidéo peut ètre amélioré notamment par la mise en place d’authentification multi facteur sur les plateformes d’achat de jeux et les comptes en ligne.

C’est déjà le cas de plusieurs éditeurs, Microsoft, Blizzard et Steam ayant développé leur propre application de contrôle tandis que Ubisoft et Nintendo délèguent ces fonctionnalités à des tiers tel Google Authenticator.

D’autres mesures peuvent également ètre favorisées telles la mise en place d’une liste blanche des titres sécurisés, un contrôle plus avancé du matériel utilisé pour les compétitions esportives – supervision en temps réel des menaces et comportements inhabituels sur le réseau, des ordinateurs, programmes informatiques utilisés jusqu’aux souris et manettes également paramétrables.

Une équipe sud-américaine, Thunder Predator, a ainsi été disqualifié en 2018 d’une compétition sur le titre Dota 2 pour avoir utilisé une souris de gaming personnalisée.

Les organisateurs ont considéré que l’utilisation d’une souris programmable s’apparente au recours à un script logiciel non admis.

Dans un contexte d’une évolution des offres vers le cloud gaming, une sécurisation des serveurs cloud est également envisageable notamment par la souscription d’assurances cyber protégeant les entreprises. Enfin, compte tenu du caractère pénal de ces agissements, l’engagement de poursuites systématisées peut également constituer un moyen d’assainir les pratiques existantes.

Pour faire face à ces nouveaux enjeux, les acteurs du numérique notamment de l’eSport bénéficient par ailleurs d’un autre avantage : leurs connaissances informatiques favorisent leur réactivité et prévention vis-à-vis de ces nouvelles formes de criminalité.

Écrit par :

Publié le : 28/09/2020
Mis à jour le : 18/12/2023

PX Chomiac de Sas