Comment les hackers font chanter les adeptes de jeux vidéo<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Comment les hackers font chanter les adeptes de jeux vidéo
©Reuters

Tu veux revoir ton Orc lvl 99?

Comment les hackers font chanter les adeptes de jeux vidéo

Des hackers qui s'introduisent dans votre ordinateur, prennent en otage le personnage de votre jeux-vidéo favori, et demandent de l'argent en échange des précieux fichier. Voici le nouvel avatar du "ransomware", une méthode déjà bien connue des pirates informatiques.

Frédéric Mouffle et Franck DeCloquement
Frédéric Mouffle

Frédéric Mouffle

Directeur général associé du groupe ASK’M / KER-MEUR. Expert en cyber sécurité. Conférencier sur les menaces émergentes, spécialisé dans la sensibilisation auprès des entreprises.

Voir la bio »
Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Depuis déjà plusieurs années, des hackers malintentionnées gagnent de coquettes sommes d'argent grâce à une méthode appelée le "ransomware", ou la prise en otage de données. Comment cela fonctionne-t-il ? Quelle est l'ampleur du phénomène ?

Franck DeCloquement : Un « rançongiciel », ou « ransomware » en anglais, est un code malveillant d’hameçonnage -  très infectieux - qui chiffre les données du poste informatique qu’i va compromettre. Il va également cibler les partages de fichiers accessibles en écriture à l’utilisateur, dont la session est compromise. À travers une boîte de dialogue, la victime est ensuite invitée à verser une somme d’argent conséquente (un règlement effectué via Paypal ou en carte, et parfois même en Bitcoin). Autrement dit une « rançon » ; pour procéder à son « déverrouillage » ; ré-autorisant ainsi l’accès aux fonctions de la machine, et promettant le recouvrement de sa pleine utilisation… Néanmoins, il n’existe pas de moyens fiables pour récupérer la « clé » de cryptage utilisée par le code malveillant.
Il faut toutefois souligner que le recouvrement des données, après le paiement de la rançon sur un compte dédié à cette arnaque, n’est aucunement garanti… Au-delà du fait que cela encourage ce type d’attaque, le recours à un moyen de paiement par le truchement d’une carte bancaire, expose la victime de l’intrusion à des utilisations frauduleuses ultérieures de sa carte.
Les symptômes indiquant à coup sûr la présence malveillante sur une machine d’un « rançongiciel » est assez simple à détecter : l’accès au bureau de la machine infectée est complètement verrouillé, et un message enjoignant de payer une rançon, apparait alors sur l’ordinateur compromis, afin de le « déverrouiller ».
On constate deux types d’infections majeures, à base de "ransomware" :
- Le premier type d’infection connue use du patronyme usurpé d’une autorité régalienne pour agir. Par exemple, en copiant les attributs visuels (logos, présentations, mise en page, discours types, etc.) de la Gendarmerie Nationale, de la Police, de l’ANSSI (Agence Nationale de Sécurité des Système d’Information) ou encore du FBI (un grand classique), afin de mettre en scène de fausses accusations grandiloquentes « d’infractions », contrevenants aux textes de lois en vigueur.
Par exemple, en prétextant le téléchargement frauduleux par l’utilisateur, d’un logiciel piraté, le visionnage d’un film prohibée à caractère pornographie ou choquant. Et ceci, dans le but de tromper la vigilance des utilisateurs crédules, de manière à leur faire payer une « fausse amende », pour avoir « supposément » violé la loi. Les usagers devraient pourtant savoir qu’en réalité, aucune institution légale ni aucune autorité nationale de par le monde n’utilise de tels moyens « coercitifs » de blocages, pour collecter des amendes.
- La deuxième forme d’infection connue jusqu’à lors - à base de rançongiciel - affecte seulement les navigateurs Internet, tels que Google Chrome, Mozilla Firefox, Internet Explorer, etc. Ce type de rançongiciel utilise « Java script » pour bloquer les utilisateurs qui tenteraient vainement de fermer leurs navigateurs Internet.
- D’autres types d’infections sont particulièrement pernicieuses parce qu’elles bloquent non seulement le bureau de l’utilisateur cible, mais encode également ses données personnelles. Ce type de « ransomware » énonce clairement qu’il s’agit d’une infection de cette nature,  puisque il est instamment demandé à l’utilisateur déconfit, de payer une rançon pour décoder ses fichiers. Ce type de rançongiciel est assez simple à supprimer. Cependant dans le cas de « cryptolocker », il s’avère impossible de décoder les fichiers sans la clé privée « RSA ».

Quelles sont les méthodes d’attaques ?

- Franck DeCloquement : La propagation habituellement constatée repose sur une campagne d’hameçonnage. Les messages malveillants reçus ressemblent fortement à ceux que pourraient employer une autorité régalienne, ou un service de sécurité au patronyme connu, et contiennent un lien ou une pièce jointe délivrant le code malveillant. Ce code s’installe alors localement sur le poste, par différents moyens :
- L’exploitation d’une vulnérabilité sur « Adobe Flash Reader ».
- Un fichier zip protégé par « mot de passe ».
- Un exécutable masqué, « sous couverture » d’un un autre format.
Afin de déguiser l’exécutable sous un autre format, dans le lecteur de messagerie électronique, le fichier malveillant est composé de la manière suivante :
- Nom du fichier,
- Extension de document autorisé : PDF, etc…
- Au moins 62 caractères.
- Extension .exe.
Ainsi, sous cette forme « camouflée » ou « contrefaite », le client de messagerie présentera l’icône du format de document autorisé, en lieu et place de celle d’un exécutable.


Auparavant, la cible typique du "ransomware" était l'internaute visitant des sites peu sécurisés (pornographiques par exemple). Aujourd'hui l'amateur de jeux-vidéo est la nouvelle proie, de quelle façon le hacker s'y prend-il pour faire chanter le joueur de Call of Duty ou de World of Warcraft ?

- Franck DeCloquement : Habituellement, en effet, les cybers criminels utilisent les ensembles d’exploitation qui infiltrent les systèmes d’opération de l’utilisateur ; et ensuite exécutent le message bloquant ainsi le bureau. Les ensembles d’exploitation contiennent différentes exploitations, qui, si le système et le logiciel installé ne sont pas entièrement rapiécés, font en sorte que le navigateur télécharge un « ransomware ». Habituellement les ensembles d’exploitation sont implantés par des sites web malicieux ou piratés. De récentes recherches montrent en effet que les cybers criminels étendent aussi les infections de « rançongiciel » aux réseaux d’annonces qui se spécialisent dans la publicité sur les sites web pornographiques, et les campagnes d’arnaques.

En février dernier, la firme Emsisoft, spécialisée en cybersécurité, découvrait TeslaCrypt, un programme de hackingtouchant près de 40 jeux--vidéos populaires, multi-joueurs ou non. Comment cela fonctionne-t-il ? Comment le programme arrive-t-il à s'en prendre à des jeux qui ne sont pas forcément en ligne ?

- Frédéric Mouffle : La technique est la même que pour la propagation de vers et autres virus informatiques : il s’agit d’utiliser des vulnérabilités connues (flash, téléchargement caché, pièces jointes, etc.),  et de jouer sur le manque de vigilance du jeune public.
L’utilisateur ayant forcément une connexion internet, qu’il joue ou non en ligne ne change pas les conséquences. Cela se caractérise par l’envoi de Pièces jointes piégées, par un site internet mis en place pour l’occasion. Ce site attire les victimes en proposant des messages types : « retrouve toute tes statistiques de jeux sur cette page, et compare toi aux autres joueurs du monde entier… »,  ou encore : «Tu es sélectionné pour gagner un pc d’une valeur de 2500 euros ».
Ce jeune public est une cible de choix car souvent très ignorante des dangers numériques. Rien de bien nouveau si ce n’est que le script viral recherche les fichiers de sauvegarde des jeux.
Si demain, des attaquants-prédateurs souhaitaient par exemple cibler spécifiquement les infographistes ou les architectes, le script utilisé sera programmé pour chercher les extensions psd (photoshop) ou Dwg (autocad).Teslacrypt cible 185 qui sont des extensions de fichiers différentes, mais incluant même les backup itunes…

TeslaCrypt parvient également à s'en prendre à des données de jeux-vidéos qui ne sont pas stockées sur l'ordinateur personnel mais sur internet, dans le cas, par exemple, des jeux massivement multijoueurs. Comment cela est-il rendu possible ?

- Frédéric Mouffle : « Tesla crypt » ne crypte aucune données sur internet, ni même les données qui sont stocker chez les hébergeurs de serveurs de jeux, tels que « Valve » ou « EA Game »... Les fichiers visés sont ceux correspondants aux profils des joueurs (paramètres, etc..), l’autre ce sont les fichiers de sauvegarde (avancement de la partie), le tout sur le stockage local de l’ordinateur et non distant

Si un joueur voit certains de ses fichiers pris en otages par un hacker délinquant, est-ce irréversible ? Peut-il les récupérer sans payer ?

- Frédéric Mouffle : Il existe en effet des parades qui consistent à restaurer un « backup » et de supprimer le virus. Tout ceci est possible si l’utilisateur à des points de restauration ou des sauvegardes réguliers. Cependant, les fichiers non sauvegardés et cryptés par « teslacrypt » ne seront pas déchiffrables sans la « clé ». Il faut donc être très prévoyant. La perte de données peut être également matérielle (disque dur hors service…). Il faut donc avoir une bonne politique de sauvegarde, pour être à l’abri d’une perte de données définitive ou irréversible.
Les Hackers utilisent les méthodes classiques, tout en sachant que le gamer veut absolument conserver ses données de jeux. Données qui représentent parfois pour lui, plusieurs centaines d’heures de jeux… La nouveauté, réside en réalité dans les moyens de paiements, sous forme de « Bitcoint » ou via « Paypal ».

Finalement comment le joueur, ou le simple détenteur d'un ordinateur, peut-il se prémunir de toute tentative de "ransomware" ?

- Franck DeCloquement : Très schématiquement, pour protéger son ordinateur des infections de « rançongiciel », les utilisateurs devraient faire preuve d’un peu de « prophylaxie » personnelle, qui comme chacun le sait désigne dans le registre médical, ce processus « actif ou passif » ayant pour but de prévenir l'apparition, la propagation ou l'aggravation d'une infection…
La seule mesure réelle de prévention est avant tout d’informer et de sensibiliser les utilisateurs, aux risques associés aux messages électroniques. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir de messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Et en premier lieu, s’assurer que leur système d’opération et tous les logiciels installés sur leurs postes utilisateurs sont à jour. Et notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateur et greffons).
Il est nécessaire d’utilisez des programmes « antivirus » et « anti logiciel espion » légitimes. On ne le répétera donc jamais assez : Ne pas cliquez compulsivement sur des liens inconnus ou suspects, ne pas ouvrir imprudemment des pièces jointes contenues dans des emails non sourcés, ou non identifiés. Évitez de visiter des sites web à caractère pornographique. Ne pas télécharger de fichiers provenant des réseaux P2P.
Le code malveillant génère un fichier <mon document important>.encrypted. Une surveillance de l’apparition de ce type d’extension sur un ou plusieurs partages très exposés, peut alerter très tôt l’utilisateur d’une compromission éventuelle. Il est aussi possible d’Implémenter sur des postes de travail, des stratégies de restriction logicielle. Ainsi, il convient de configurer sur son poste de travail les restrictions logicielles (SRP/AppLocker sous Windows) pour empêcher l’exécution de code à partir d’une liste noire de répertoires :<profil>\AppData\Local\Temp ; <profil>\AppData\Local\Temp\* ; <profil>\AppData\Local\Temp\*\*. Ceci est d’ailleurs fortement recommandé par l’ANSSI.[1]
Il convient également de mettre à jour les logiciels anti-virus du parc informatique domestique (passerelle de messagerie, postes utilisateurs, etc.). Le code malveillant étant parfaitement « polymorphe », les éditeurs anti-virus ont besoin pour être très efficace de publier des signatures en constante mutation. Par ailleurs, il est recommandé d’envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus. Il est également vivement recommandé d’effectuer des sauvegardes régulières des systèmes et des données de son poste de travail, ou contenus sur son serveur domestique, mais aussi de vérifier qu’elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être « écrasées ». Ces sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l’entité.
- Frédéric Mouffle : C’est un comportement global à adopter et qui est régulièrement, très souvent mis en avant sous l’égide des « best practices » diffusées une peu partout. Par exemple sur le site de l’ANSSI, via les « livres blancs » et autres conférences spécialisées ayant trait au sujet.
En définitive, si un utilisateur prend la peine de s’informer et de se tenir très régulièrement au courant des dernières méthodes d’attaques, ceci ne peut que lui être bénéfique. L’expérience nous montre néanmoins que certaines personnes se font duper ou mystifier plusieurs fois de suite, malgré le fait qu’elles aient eu à subir ce type de mésaventures.
Il existe néanmoins un facteur psychologique, dans l’approche et la conception que l’on a de l’informatique en règle générale. Nous ne sommes pas tous égaux face à l’analyse d’un lien suspect ou d’une pièce jointe malicieuse... Dans le cas des joueurs en réseau, une grande majorité d’entre eux a des notions d’informatiques. Un « gamer » sais monter et démonter son PC, installer sa version Windows et ses jeux. Au regard de la dextérité de nos adolescents en la matière, certains parents peuvent croire à tord que leurs progénitures « sont fortes en informatiques », mais cela ne veux rien dire. Et les pirates et autres prédateurs en chasse sur la toile l’ont très bien compris.
La meilleure façon de ne pas se faire mystifier consiste à adopter un comportement raisonné et à bien réfléchir à ce que l’on fait. C'est-à-dire, ne pas surfer inconsidérément sur les « sites sensibles », et disposer ad-minima d’un antivirus puissant – et donc payant – de type « kaspersky ». Les solutions antivirales gratuites n’offrent en définitive que très peu de protections réelles. Adopter une politique de sauvegardes très régulières permet de s’octroyer à moindre frais « un plan B » en cas de gros soucis…

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !