Sur le Web tout va très vite. Sur Reddit, c’est encore pire. Il y a deux jours, Theonlybond, un membre de cette communauté de discussions, mettait en ligne un post qui criait au loup. Selon lui, les serveurs du système anti-triche de Valve, VAC, collectaient les DNS de tous les sites Web visités par un utilisateur. Voire tous les sites vers lesquels une requête (pour une image, par exemple) aurait été effectuée depuis un logiciel, entre autres, sans que la personne y soit allée. Theonlybond indiquait également que le hash utilisé pour chiffrer les données n’était pas forcément très sûr et pourrait permettre aux équipes de Valve de connaître les habitudes de surf des utilisateurs de la plate-forme communautaire de jeux en ligne.
Sans surprise, la paranoïa dans les commentaires en regard du post a atteint une altitude stratosphérique en quelques minutes.
La réponse courte?
Voilà sans doute pourquoi Gabe Newell, cofondateur de Valve et membre actif sur Reddit, pour parler de voitures de course surtout, a pris la peine de répondre à la communauté avec un long post et une petite FAQ, en trois points.
La version longue : la confiance
Et c’est justement sur la question de la confiance que Gabe Newell construit sa position sur la triche dans le jeu vidéo et la politique mise en place par Valve. « La confiance est une part essentielle d’une communauté de jeu multijoueurs – la confiance dans le développeur, la confiance dans le système et la confiance dans les autres joueurs. », écrit-il en introduction de son post. Il continue en expliquant que les tricheurs font plus perdre aux autres joueurs qu’ils ne gagnent eux-mêmes. Et qu’il y a une véritable économie autour de la triche. Des joueurs étant prêts à payer pour pouvoir tricher… C’est pour cela que Valve est généralement discret sur sa politique de lutte contre la triche, qui repose soit sur des logiciels, soit sur du social engineering. « Cette fois va être une exception », explique toutefois Gabe Newell.
Payer pour tricher
Il décrit ensuite comme les développeurs de solutions de cheat sont confrontés à un problème, s’assurer que les tricheurs ont bien payé pour bénéficier de leurs logiciels. Pour cela, ces développeurs ont créé un système de contrôle par DRM, avec un système anticheat qui s’activent si l’utilisateur n’est pas reconnu comme étant un « client valide ». Pour cela, le logiciel de triche envoie une requête à un serveur qui lui retourne une autorisation ou un refus. C’est cette communication que VAC recherche dans le cache DNS. Si le résultat de la vérification est positif, il est à nouveau vérifié. Si le joueur est reconnu « fautif », il est ensuite marqué pour un futur bannissement. « Moins d’un dixième de pourcent des clients (logiciels, NDLR) ont déclenché, la seconde vérification. En conséquence de quoi, 570 tricheurs ont été bannis. », affirme Gabe Newell.
Une solution déjà dépassée
Mais ce qui est intéressant, c’est que dans ce « jeu de chat et de la souris », la vérification du cache DNS des joueurs n’est plus utilisée, « elle ne l’a été que pendant 13 jours » car les « fournisseurs de cheat ont trouvé un moyen de la contourner en manipulant le cache DNS sur les clients (logiciels) de leurs utilisateurs ».
Quel est le but de Valve alors ? Faire en sorte que le développement de logiciels de triche soit trop coûteux pour être intéressant ! Mais il demeure un point sur lequel Valve ne peut pas agir, pas autrement qu’en communiquant, en tout cas.
Il est ainsi amusant de voir comment Gabe Newell retourne l’attaque faite contre Valve via le post sur Reddit. « Il y a également un aspect social engineering dans la triche, qui consiste à saper la confiance que les gens ont dans le système. » Il enfonce alors le clou de manière très explicite : « Si « Valve agit mal – regardez, ils suivent tous les sites Web que vous visitez » est une idée qui rencontre un écho, alors c’est pour le plus grand bénéfice des tricheurs et des créateurs de triches. »
La confiance toujours et encore
Cependant, Gabe Newell reconnaît que VAC est « un bout de logiciel plutôt effrayant, parce qu’il essaie de rester impénétrable […] et qu’il est sournois ». Mais le cofondateur de Valve remet les choses en perspective et finit sur une considération économique, tout en mettant un terme à l’exception à la règle du silence autour du système Valve Anti Cheat. « Pour la plupart des développeurs de cheat, le social engineering doit être un moyen moins coûteux d’attaquer le système que de continuer le bras de fer autour du code, ce qui signifie qu’il y aura de plus en plus de posts sur Reddit qui tenteront de projeter un éclairage inquiétant sur VAC ». Etre débarrassé des tricheurs vaut-il une petite surveillance ou en tout cas la mise en place de forces opaques ? Chacun doit trancher, et c’est d’ailleurs la conclusion de Gabe Newell : aux utilisateurs de « se faire leur propre avis et de savoir si oui ou non, [Valve] est digne de confiance ».
A lire aussi :
Valve annonce 75 millions d’utilisateurs actifs et modifie son Steam Controller – 16/01/2014
CES 2014 : Valve dévoile ses premiers partenaires pour ses Steam Machines – 06/01/2014
Sources :
Le post incriminant Valve
La réponse de Gabe Newell
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
