BLOG | BUREAU DU CTO

Le « credential stuffing » cible de plus en plus les jeux vidéo

Miniature de Lori MacVittie
Lori MacVittie
Publié le 09 novembre 2020

Le secteur des jeux vidéo est en plein essor. Et pas seulement en plein essor, mais en plein boom.

Contraints de rester à l'intérieur, une clientèle large et très diversifiée a permis au marché du jeu vidéo « aux États-Unis d'augmenter de 37 % d'une année sur l'autre pour atteindre 3,3 milliards de dollars, selon le cabinet d'études de marché NPD Group. » (Source : Quartz

Cela alimente un modèle économique de plus en plus populaire et rentable appelé « free to play ». Le jeu est gratuit et offre la possibilité d'acheter des actifs numériques dans le jeu via des microtransactions. Candy Crush, si vous vous en souvenez, a été l’un des premiers à faire de ce modèle une réalité. Selon Gamestop , « la série de jeux mobiles Candy Crush a collectivement généré plus de 1,5 milliard de dollars de revenus grâce aux microtransactions en 2018 sur iOS et Android. Cela représente une somme stupéfiante de 4,2 millions de dollars américains dépensés en moyenne par jour .

J'avoue que je contribue à cette augmentation, car l'ensemble de notre foyer dépense aujourd'hui son budget « divertissement » sur des ressources de jeu. Pas nécessairement des jeux, juste des ressources de jeu. Considérez cette capture d’écran. Il s'agit d'environ 22 $ d'actifs numériques dans le jeu qui n'ont aucun impact sur le jeu lui-même. Ils ne peuvent être utilisés nulle part ailleurs. La plupart des joueurs possèdent des dizaines, voire des centaines de costumes, d'émoticônes et d'autres produits cosmétiques numériques. Le coût s’accumule rapidement.

Jeu vidéo de bourrage d'identifiants

Ce modèle est de plus en plus rentable. En 2019, le jeu de bataille royale populaire d'Epic Games, Fortnite, « a généré des revenus de 1,8 milliard de dollars, selon les données rapportées par SuperData Research, une société Nielsen ». (Source : Investopedia ) Son modèle économique repose entièrement sur les microtransactions.

Les microtransactions sont bien sûr soutenues par des cartes de crédit et des processeurs de paiement comme PayPal. C'est le Les attaquants cherchent en réalité à obtenir des informations en accédant aux comptes de jeu.

Ce qui rend les données récentes analysées par Atlas VPN à la fois logiques et terrifiantes. Après tout, « suivre l’argent » est une expression tout aussi applicable à la compréhension des motivations des attaquants que celles des politiciens. L'entreprise a constaté que « les pirates informatiques ont attaqué les joueurs un nombre stupéfiant de 9,83 milliards de fois entre juillet 2018 et juin 2020 ». En d'autres termes, les joueurs sont touchés par environ 14 millions d'attaques par jour, soit 584 000 attaques par heure. » (Source : Buzz sur la sécurité de l'information )

Les joueurs ne sont pas inconscients de l’impact potentiel. Une enquête sur les inquiétudes des joueurs menée au cours de l'été 2020 a révélé qu'ils craignaient surtout que leurs informations de carte de crédit (49,1 %) soient piratées. (Source: Blog Atlas VPN) Il convient de noter que « l’accès à leur compte » et « la perte des actifs du jeu » n’étaient pas loin derrière. L’essor du jeu compétitif et du streaming de jeux comme source de revenus signifie que ces préoccupations ne sont pas aussi superficielles qu’on pourrait le penser.

Ces comptes sont précieux pour les attaquants, il n’est donc pas surprenant de constater des attaques aussi importantes à leur encontre. Étant donné que ces comptes, comme ceux d’autres secteurs, peuvent être utilisés sur plusieurs plateformes (site Web, console, téléphones mobiles) pour y accéder, ils constituent une cible lucrative avec de multiples vecteurs d’attaque pour ceux qui sont suffisamment avisés pour les traquer.

Et si le compte ne contient pas de données financières, ils peuvent toujours vendre le compte numérique sur le marché des comptes de jeux illicites.

Oui. C'est une chose qui existe. Cela va à l'encontre de la politique et des conditions de service de toutes les sociétés de jeux, mais cela arrive. Fréquemment.

Le bourrage d’identifiants est une véritable menace pour tous les secteurs ayant une présence numérique, y compris celui des jeux vidéo. Alors que nous nous tournons de plus en plus vers une économie non seulement numérique, mais vers une économie numérique avant tout , cette menace doit être abordée.

C’est pourquoi il est important de continuer à améliorer la technologie utilisée pour détecter et contrecarrer la fraude et les abus . Chaque secteur peut bénéficier de la mise en place de la meilleure protection possible contre les attaques de vol d’identifiants.