Nous joindre par : 0899274448*
World of Warcraft

World of Warcraft : une ligne de code pour prendre le contrôle du jeu

Un bug dans le jeu en ligne World of Warcraft permet à l’attaquant de prendre le contrôle à distance de l’interface du jeu de sa victime. Des vols d’items ou de pièces d’or sont alors possibles.

Depuis quelques semaines, des joueurs de World of Warcraft relatent sur des forums que d’autres joueurs leur demandent d’exécuter une ligne de commande dans leur fenêtre de discussion. G DATA a analysé ce cas et donne ses conclusions : Avec cette ligne de commande, un attaquant accéder à l’interface du jeu de sa victime et effectuer des actions à son insu.

Une simple manipulation

Lors d’une conversation dans l’interface du jeu avec un autre joueur (l’attaquant), exécuter la commande /run RemoveExtraSpaces=RunScript dans la fenêtre de discussion permet à ce dernier de mettre un premier pied dans l’interface du jeu de sa victime. L’attaquant peut alors utiliser d’autres commandes cachées pour agir sur l’interface de gestion du jeu du joueur ciblé.

Vol d’items

Une fois la main sur l’interface du jeu du joueur, l’attaquant peut par exemple localiser le joueur sur la carte, et, s’il va à sa rencontre, réaliser des transactions sur des items à son insu.

Ingénierie sociale

Ce type d’attaque est simple. Sa réussite réside seulement dans la capacité de l’attaquant à convaincre sa cible d’exécuter un code dans sa fenêtre de dialogue. Une difficulté toute relative tant l’attrait des joueurs pour les « cheat codes » et autres promesses de gains d’items est fort.

Réponse partielle de Blizzard

Informé du problème, Blizzard y a répondu en partie dans la pré version de l’add-on « Légion ». Dorénavant, lors de l’exécution d’un script, un message d’alerte apparait afin d’informer l’utilisateur des risques. Le joueur peut alors choisir d’autoriser ou non ce script. Une possibilité de blocage utile mais dont la réussite reste liée au degré de persuasion de l’attaquant et à la réceptivité de la victime.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.