En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Le lanceur Uplay d'Ubisoft victime d'une faille de sécurité importante

Un ingénieur en sécurité de Google a trouvé un trou béant dans la sécurité du lanceur de jeux d'Ubisoft. L'éditeur français vient de déployer un patch pour parer à la menace.

laisser un avis
Les soucis liés aux DRM continuent pour Ubisoft. Tout est parti d’un court message de Tavis Ormandy, ingénieur en sécurité au sein de Google, sur Full Disclosure, une mailing list spécialisée dans la sécurité informatique. Hacker dans l’âme, T. Ormandy explique qu’il a acheté Assassin’s Creed Revelation durant ses vacances et qu’il s’est penché durant l’installation sur le lanceur Uplay, un programme que fournit Ubisoft avec tous ses nouveaux jeux, qui fait à la fois office de DRM et de plate-forme sociale. « J’ai noté que la procédure d’installation crée un plug-in associé au lanceur Uplay, ce qui permet à des sites Web d’avoir accès [à la machine] », écrit-il. 
agrandir la photo
En clair, une fois qu’Uplay est installé sur votre machine, il serait facile pour un pirate d’y exécuter du code en confectionnant une page Web « pourrie » dont les commandes néfastes seraient activées par le plug-in d’Ubisoft. T. Ormandy publie d’ailleurs avec son message un exemple de programme permettant d’exploiter cette faille et de lancer la calculatrice Windows depuis un site Web. 

Un correctif déjà disponible

Nous avons contacté Ubisoft pour connaître son point de vue sur la question. Un porte-parole de la firme a contesté le terme de « rootkit » qui circule sur le Web à propos de cette faille, qui, bien que béante, n’en a effectivement pas tous les traits. Il nous a par ailleurs précisé qu’un patch a été d’ores et déjà déployé pour parer à l'exploitation de cette faille par un pirate.
Ubisoft et les DRM, c’est une longue histoire. L’éditeur a déjà subi les foudres de la Toile à plusieurs reprises, notamment à cause d’une gestion très stricte des droits numériques sur PC. En 2010, la colère avait aussi grondé. La protection d’Assassin’s Creed 2 exigeait une connexion permanente à Internet... mais, devant le succès du jeu, les serveurs d’authentification n’avaient pas tenu. Résultat : des centaines de clients ne pouvaient tout simplement pas lancer le titre ! L’histoire s'est d’ailleurs répétée : Blizzard a connu le même genre de soucis avec Diablo III, jeu qui lui aussi réclame une connexion permanente à Internet.
Ubisoft a toutefois corrigé en partie le tir avec une nouvelle version de Uplay, qui ne nécessite pas de connexion permanente à Internet, seulement une authentification lors du premier lancement. Mais son ancien système de DRM a encore une fois posé problème en février dernier, en rendant certains jeux inaccessibles à l’occasion d’un changement de datacenter...
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
Power! #31 spécial E3 : visite des stands comme si vous y étiez
E3 2014 : best of des nouveautés (vidéo du jour)
L’antivirus : 25 ans déjà
E3 2014 : Ubisoft annonce du lourd ! (vidéo)
iOS 8 : Apple met la sécurité au cœur de ses annonces
Quand la sécurité devient éco-responsable
Piratage : Ebay, Orange, Target... A qui le tour ? (vidéo du jour)
BYOD 2014 : quelles avancées après 4 ans de buzz ?
IOC : le nouvel or noir des cyberdéfenseurs
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs