Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) publie une étude sur un thème dont la popularité n’a jamais été aussi forte - la fraude dans les jeux en ligne.

L’auteur, Serguei Golavanov du laboratoire antivirus de Kaspersky Lab s’est attaché à nous donner une description détaillée des méthodes déployées pour voler les données confidentielles des joueurs et les méthodes de protection adaptées.

L’article explique entre autres pourquoi les mots de passe des jeux en ligne représentent pour le cyber-criminel une valeur bien particulière et expose les méthodes principales de vol de ces mots de passe et parmi elles – l’ingénierie sociale, l’exploitation des vulnérabilités des serveurs de jeux et l’utilisation de programmes malicieux.

L’auteur fournit des statistiques détaillées sur l’évolution du nombre de chevaux de Troie destinés aux jeux de réseau et indique les jeux en ligne qui jouissent d’une grande popularité parmi les fraudeurs en ligne.

Pour plus d’informations sur les produits Kaspersky. Merci de nous contacter au 06 32 82 90 02 ou par mail : kaspersky@micro-securite.com

 

 

L'article débute par une constatation : les jeux en ligne jouissent d’une popularité certaine et comptent des millions de joueurs. Ces joueurs errent dans de magnifiques mondes virtuels et doivent s’acquitter de tâches pour lesquels ils accumulent non plus des points comme par le passé, mais de l'argent/des valeurs virtuelles. N'importe quel utilisateur peut acheter des jeux en ligne ou les copier mais afin de pouvoir jouer, il faut, dans la majorité des cas, souscrire à un abonnement mensuel. L'argent payé sert à maintenir et à développer les serveurs du jeu et le jeu en lui-même.

De nouveaux jeux en ligne sont édités chaque année et l'armée de joueurs ne cesse d'augmenter. Outre les serveurs de jeux officiels, il est normal de voir des serveurs pirates. Ces derniers sont très populaires auprès des joueurs qui souhaitent économiser un peu d'argent ou de ceux qui disposent de très peu de ressources (comme c’est souvent le cas des étudiants ou des adolescents) : ils estiment qu'il n'est pas nécessaire de dépenser de l'argent pour un abonnement sur un serveur officiel alors qu'il est tout à fait possible de jouer au même jeu sur un serveur pirate en ne payant que la connexion Internet. Toutefois, comme le souligne l'auteur, les pirates mettent leurs serveurs à la disposition des joueurs, non pas dans le but de rendre service mais uniquement pour gagner de l'argent en vendant des valeurs virtuelles pour de l'argent comptant. De telles transactions peuvent également avoir lieu sur des serveurs officiels. Tout dépend de la politique d'administration et des particularités du jeu.

Sergueï Golovanov pose une question légitime : si les administrateurs d'un serveur vendent des biens du jeu, les joueurs eux-même peuvent-ils les vendre ? Ils les vendent, bien souvent au mépris des interdictions mises en place par les administrateurs des serveurs de jeux. Il existe des sites qui permettent d'obtenir une estimation des biens virtuels. Il va s'en dire qu'il s'agit dans la majorité des cas de transactions illicites.

N'importe quel bien dans un jeu peut avoir une valeur pécuniaire dans le monde réel. Et c'est ici qu'apparaissent les individus qui souhaitent gagner de l'argent. Leur principal objectif est de voler les biens virtuels d'autrui. Une fois que l'on dispose de certaines informations, le vol est aisé : le système d'autorisation de la majorité des serveurs de jeux repose sur la saisie d’un mot de passe qui donne au joueur une liberté d'action totale dans le jeu. L'auteur explique que bien souvent, les administrateurs des serveurs de jeux interrompent l'activité des individus mal intentionnés. Toutefois, sur les serveurs pirates (qui sont bien plus nombreux), les joueurs ne peuvent pas compter sur l'intervention des administrateurs pour résoudre les incidents.

Les adeptes des jeux en ligne sont en permanence dans le collimateur des individus mal intentionnés qui appliquent plusieurs méthodes pour voler les données confidentielles d'accès au jeu :

1. Ingénierie sociale.

Dans le jeu ou dans un forum du serveur, les joueurs sont invités à transmettre leur mot de passe à un tiers afin d'obtenir une aide dans le jeu ou bien certains bonus. Nombreux sont les joueurs naïfs qui acceptent de telles propositions afin de se faciliter la tâche dans le jeu.

Parmi les autres astuces d'ingénierie sociale employées, citons l'envoi de messages d'hameçonnage qui proviennent prétendument des administrateurs du serveur et qui demandent aux joueurs de se soumettre à « une procédure d'identification » sur une page Internet mentionnée.

Ces modes d'obtention du mot de passe ont beau être simples, ils ne sont pas efficaces dans le sens où ils ne permettent pas à l'individu mal intentionné de gagner grand chose car les joueurs les plus expérimentés (et par conséquent, les plus « riches ») ne tombent pas dans le piège.

1. Exploitation des vulnérabilités du serveur de jeu.

A l'instar de n'importe quelle application, le code du serveur de jeu contient des erreurs commises par les développeurs. Ces erreurs peuvent constituer des vulnérabilités potentielles. Grâce à celles-ci, un individu mal intentionné peut accéder aux bases de données du serveur et voler les mots de passe ou le cache (les mots de passe cryptés). Il existe une vulnérabilité au niveau d'une messagerie de jeu qui se manifeste lorsque le milieu de communication des joueurs n'est pas isolé des bases de données. L'individu mal intentionné peut de la sorte obtenir les mots de passe directement dans la messagerie instantanée.

L'auteur s'intéresse également à la méthode d'obtention du mot de passe d'un tiers en utilisant les services de récupération d'un mot de passe oublié. Il signale également que le nombre de failles et leur gravité dépend de l'état du serveur : sur les serveurs pirates, le colmatage d'une faille (pour autant que les administrateurs souhaitent résoudre le problème) prend bien plus de temps que sur un serveur légitime.

L'exploitation des vulnérabilités des serveurs de jeu est une méthode compliquée et qui demande beaucoup de travail pour l'individu mal intentionné. C'est la raison pour laquelle elle n'est pas beaucoup utilisée.

1. Utilisation de programmes malveillants.

L'article traite de ce sujet en abondance.

Les programmes malveillants développés pour le vol de mots de passe sont diffusés de toutes les manières possibles et imaginables. Qui plus est, il peut s'agir de programmes capables de voler n'importe quel mot de passe ou de programmes qui ciblent le code particulier d'un jeu en ligne.

D'après la classification de Kaspersky Lab, les programmes malveillants ont le comportement Trojan-PSW et Trojan-Spy (interception des données saisies à l'aide du clavier de la victime et transfert de celles-ci à l'individu mal intentionné) mais appartiennent également à la famille Trojan.Win32.Qhost (l'action destructrice des représentants de cette famille repose sur la modification du fichier hosts qui contient des informations sur l'équivalence statique de l'adresse de réseau du nom de serveur). Certains représentants de la famille Trojan-Spy.Win32.Delf, qui installent un serveur proxy prête-nom dans les paramètres du navigateur pour la connexion au serveur du jeu en ligne, agissent de la même manière.

L'utilisation des programmes malveillants pour le vol de mot de passe est très répandue car elle est très simple et très rentable.

Sergueï Golovanov poursuit en faisant l'historique des programmes malveillants voleurs de mots de passe. Les premiers cas de vol de mots de passe d'accès aux jeux en ligne ont été enregistrés en 1997. Au début, les individus mal intentionnés utilisaient des enregistreurs de frappes traditionnels. Le premier cheval de Troie développé pour les jeux en ligne fut Trojan-PSW.Win32.Lmir qui volait les mots de passe d'accès du jeu « Legend of Mir ». Il allait marquer l'apparition de toute une série de chevaux de Troie similaires qui s'en prenaient à d'autres jeux.

La deuxième étape du développement fut marquée par l'apparition de Trojan-PSW.Win32.OnLineGames.a qui s'intéressait à la majorité des jeux en ligne populaires. Chaque nouvelle modification de ce programme augmentait le nombre de jeux pris pour cible.

La version moderne du cheval de Troie qui vole les mots de passe d'accès aux jeux en ligne est une bibliothèque dynamique (fichier DLL) développée en langage Delphi qui s'associe automatiquement à toutes les applications lancées dans le système. Dès qu'il identifie l'exécution d'un jeu en ligne, ce programme malveillant intercepte le mot de passe saisi à l'aide du clavier, l'envoie à l'individu mal intentionné et se supprime du système.

Outre les chevaux de Troie, les vers sont également beaucoup utilisés pour voler les mots de passe d'accès aux jeux en ligne. Leur principal avantage est la capacité à infecter les fichiers exécutables et leur capacité à se copier (sur les disques de réseau, les disques amovibles ou via le courrier électronique).

Le ver polymorphe Virus.Win32.Alman et son successeur Virus.Win32.Hala.a constituent à l'heure actuelle le nec plus ultra des programmes malveillants qui s'attaquent aux jeux en ligne. En plus d'infecter les fichiers exécutables, ces programmes malveillants contiennent des fonctions de propagation dans les ressources de réseau, de dissimulation dans le système et de porte dérobée.

Les auteurs de virus pensent à protéger les programmes malveillants contre l'action des logiciels antivirus. C'est la raison pour laquelle ils utilisent des compacteurs, la technologie killav (lutte contre les logiciels de protection) et les technologies de dissimulation de l'activité (dissimulation du fonctionnement du programme malveillant pour tous les processus dans le système). Les programmes malveillants modernes développés pour les jeux en ligne utilisent une combinaison de ces trois technologies d'autodéfense.

L'auteur poursuit en présentant une attaque type d'un ver moderne contre un jeu en ligne dans le but de voler le mot de passe. Les individus mal intentionnés créent un programme qui possède une multitude de fonctions : ver de messagerie, ver de réseau, ver p2p, outil de dissimulation d'activité, programme d'infection des fichiers exécutables et vol de mots de passe. Ensuite, le ver est diffusé par courrier indésirable. L'ouverture du lien repris dans le message envoyé par les individus mal intentionnés peut avoir des conséquences désastreuses pour l'utilisateur.

S'agissant de la géographie des vols de mot de passe, Sergueï Golovanov indique que plus de 90% de l'ensemble des chevaux de Troie pour les jeux en ligne sont développés en Chine et 90% des mots de passe volés par ces chevaux de Troie appartiennent à des joueurs qui fréquentent des sites en Corée du Sud. La caractéristique du secteur russe des jeux en ligne est la popularité des jeux pour lesquels il n'existe pas de client particulier. Toutes les actions sont réalisées par les utilisateurs directement via un navigateur. Vu la multitude de ces jeux, les individus mal intentionnés ont commencé à développer principalement des attaques via hameçonnage dans lesquelles ils diffusent des messages avec des liens vers des clones de sites de jeux authentiques.

L'article reprend également des statistiques qui indiquent l'augmentation du nombre de programmes malveillants pour les jeux en ligne ainsi que les jeux « préférés » des individus mal intentionnés.

En guise de conclusion, l'auteur indique que les personnes qui aiment utiliser les biens virtuels d'autrui sont pratiquement intouchables du point de vue légal. Ce sont les créateurs de jeu, en collaboration avec les éditeurs de logiciels antivirus, qui doivent lutter contre eux. Ainsi, en 2004, Kaspersky Lab a conclu un accord avec les créateurs du jeu « Boytsovsky Club » qui empêcherait le vol de mot de passe de milliers de joueurs et la vente des biens virtuels pour des milliers de dollars, bien réels.

D'après l'auteur, ce sont les joueurs eux-mêmes qui doivent s'armer de bon sens, de prudence et du meilleur logiciel antivirus pour éviter les problèmes.

Pour plus d’informations sur les produits Kaspersky. Merci de nous contacter au 06 32 82 90 02 ou par mail : kaspersky@micro-securite.com