0899379170 code service 92829 *
World of Warcraft

World of Warcraft : une ligne de code pour prendre le contrôle du jeu

Un bug dans le jeu en ligne World of Warcraft permet à l’attaquant de prendre le contrôle à distance de l’interface du jeu de sa victime. Des vols d’items ou de pièces d’or sont alors possibles.

Depuis quelques semaines, des joueurs de World of Warcraft relatent sur des forums que d’autres joueurs leur demandent d’exécuter une ligne de commande dans leur fenêtre de discussion. G DATA a analysé ce cas et donne ses conclusions : Avec cette ligne de commande, un attaquant accéder à l’interface du jeu de sa victime et effectuer des actions à son insu.

Une simple manipulation

Lors d’une conversation dans l’interface du jeu avec un autre joueur (l’attaquant), exécuter la commande /run RemoveExtraSpaces=RunScript dans la fenêtre de discussion permet à ce dernier de mettre un premier pied dans l’interface du jeu de sa victime. L’attaquant peut alors utiliser d’autres commandes cachées pour agir sur l’interface de gestion du jeu du joueur ciblé.

Vol d’items

Une fois la main sur l’interface du jeu du joueur, l’attaquant peut par exemple localiser le joueur sur la carte, et, s’il va à sa rencontre, réaliser des transactions sur des items à son insu.

Ingénierie sociale

Ce type d’attaque est simple. Sa réussite réside seulement dans la capacité de l’attaquant à convaincre sa cible d’exécuter un code dans sa fenêtre de dialogue. Une difficulté toute relative tant l’attrait des joueurs pour les « cheat codes » et autres promesses de gains d’items est fort.

Réponse partielle de Blizzard

Informé du problème, Blizzard y a répondu en partie dans la pré version de l’add-on « Légion ». Dorénavant, lors de l’exécution d’un script, un message d’alerte apparait afin d’informer l’utilisateur des risques. Le joueur peut alors choisir d’autoriser ou non ce script. Une possibilité de blocage utile mais dont la réussite reste liée au degré de persuasion de l’attaquant et à la réceptivité de la victime.

Au sujet de l'auteur

Damien Bancal – Fondateur de ZATAZ – Journaliste – Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel “Amstar & CPC”. Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l’Echo des Savanes, Le Canard Enchaîné, France 3, …). Auteurs et coauteurs de 6 livres dont “Pirates & hackers sur Internet” (Ed. Desmart) ; “Hacker, le 5ème pouvoir” (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l’Anti-Intrusion des Systèmes Informatiques (CDAISI) de l’Université de Valenciennes ; pour l’Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.

Articles connexes

Laisser un commentaire

*