Quand un bug de Counter Strike permet de prendre le contrôle d’un PC

Selon un rapport rédigé par un chercheur en sécurité et présenté à Valve en juin 2019, il existerait un bug dans le moteur du jeu Counter Strike : Global Offensive pouvant être exploité par des pirates. Valve est la compagnie qui a développé Source Engine, un système utilisé par plusieurs jeux vidéo dont CS : GO et Team Fortress 2. Ainsi, les hackers peuvent prendre le contrôle total du PC de leurs victimes juste après les avoir fait cliquer sur un lien Steam qui les invite à jouer au jeu.

Selon les explications du chercheur connu sous le nom de Florian, ce bug a déjà été réparé sur certains jeux utilisant le Source Engine, toutefois, il est toujours présent sur CS : GO.

Crédits Pixabay

Afin de faire part de ce problème à Valve, Florian a utilisé la plateforme HackerOne qui permet à la compagnie de recevoir des notifications concernant les vulnérabilités de ses produits. D’après ce que l’on a pu voir, Valve a admis qu’ils étaient lents à réagir même s’ils qualifient le bug en question de « critique ».

Le chercheur a indiqué qu’il était déçu par Valve puisque la compagnie a ignoré plusieurs de ses avertissements.

Un bug dangereux

D’après Florian, lorsqu’il a étudié le bug, il a pu coder un programme qui permet d’en tirer avantage, et son code a fonctionné la plupart du temps, avec un taux de réussite de l’ordre de 80 %. Il semblerait qu’un autre chercheur ait également détecté le même bug quelques mois après l’annonce de Florian.

Selon le chercheur en sécurité, les pirates informatiques peuvent utiliser le bug et le faire se propager de façon automatique comme un ver. Lorsqu’un hacker a réussi à infecter un joueur, celui-ci peut être utilisé comme arme pour infecter ses amis.  

Une certaine négligence de la part de Valve

Face à cette situation, Valve a quand même résolu le problème au niveau de plusieurs jeux, mais ce n’est pas encore le cas de CS : GO. Florian explique qu’il est difficile de dire dans combien de jeux le bug a existé et si des réparations ont bien eu lieu. Il a ajouté que lorsqu’ils ont rapporté que ce bug affectait tous les jeux utilisant Source Engine, il faut comprendre que tous les jeux peuvent théoriquement être affectés puisqu’il s’agit d’un bug au niveau du moteur et non pas un problème spécifique à tel ou tel jeu.

Florian a déclaré que la réaction de Valve est incompréhensible et que la situation exigeait une réaction immédiate. Il a ajouté que Valve ne se préoccupe vraiment pas de la sécurité et de l’intégrité de ses jeux.

Ce n’est pas la première fois que Valve a des problèmes de réactivité face aux problèmes rapportés sur leurs jeux. En 2018, un chercheur en sécurité a par exemple découvert un bug sur Steam qui permettait aux pirates de contrôler l’ordinateur de leurs victimes. Ce bug aurait été présent depuis 10 ans.

Mots-clés counter strike