Menu
logo

Comment prévenir le vol d'identité virtuelle et préserver le succès des applications de jeu en ligne


Alors que la popularité des jeux en ligne ne cesse de progresser, la fraude sur Internet est devenue une menace bien réelle. Le jeu en ligne pèse plusieurs milliards de dollars et est la cible d'attaques variées lancées par des fraudeurs piratant les comptes des différents utilisateurs. Les jeux en ligne massivement multijoueurs (Massively Multiplayer Online Games, MMOG), dont la popularité ne se dément pas, sont particulièrement touchés. Les MMOG sont des jeux vidéo capables de supporter des centaines de milliers de joueurs simultanés. Des millions de joueurs interagissent dans un univers virtuel, endossant le rôle de héros, amassant objets et sommes d'argent virtuels pour permettre à leurs personnages de se battre contre des démons tout aussi virtuels.

Ces millions d'utilisateurs du monde entier contribuent significativement au chiffre d'affaires de l'industrie du jeu. Ce marché lucratif est devenu la cible des cybercriminels. Dès lors, ceux-ci menacent réellement la pérennité des MMOG. Puisque le vol de compte n'est pas un mal inhérent à la conception des jeux, les développeurs exercent un contrôle limité. Mais cela ne réduit en rien l'importance de la menace et les développeurs de jeux devraient sérieusement envisager ces risques de sécurité. Le piratage de comptes représente une menace réelle susceptible de nuire à la clientèle des jeux en ligne.

Les économies virtuelles sont une source importante de motivation pécuniaire pour les pirates

Jan Valcke - Président et COO de VASCO Data SecurityLes MMOG ont introduit un nouveau phénomène : les économies virtuelles. Les joueurs peuvent accumuler des liquidités virtuelles, des pièces d'armure, des armes, de l'énergie et de l'équipement pour modifier leur apparence virtuelle. Les joueurs consacrent des heures entières à faire évoluer leurs personnages, leurs compétences, et à acquérir des équipements virtuels pour augmenter leurs capacités à combattre des démons virtuels. Certains comptes de joueurs peuvent être estimés à plusieurs milliers de dollars.

Les fraudeurs ont rapidement saisi l'importante opportunité de pirater les comptes de joueurs et subtiliser les crédits et l'équipement ayant été virtuellement acquis pour les revendre au plus offrant. Le lien entre économies virtuelles et liquidités réelles est facilement établi. Les cybercriminels ont une source importante de motivation pécuniaire avec les comptes de jeux en ligne : le retour est important alors que le risque est relativement limité.

Les éditeurs de jeux continuent de proposer de nouveaux contenus pour améliorer ou influencer le jeu. Ces éléments peuvent être téléchargés pour des sommes modiques. Davantage, l'industrie du jeu fournit encore des contenus supplémentaires, sous la forme de mises à jour ou de packs d'extension. Sécuriser les comptes des joueurs devient alors essentiel pour préserver le succès des jeux vidéo : après tout, c'est sur les joueurs que se construit ce succès.

Des menaces classiques

L'un des premiers moyens utilisés pour obtenir les mots de passe de comptes est l'hameçonnage (phishing) : les fraudeurs peuvent par exemple se faire passer pour l'éditeur du jeu et envoyer de faux courriers électroniques pour conduire les joueurs vers des sites Web malicieux où ils devront indiquer leurs nom d'utilisateur et mot de passe.

De nombreux cybercriminels utilisent en outre des outils servant à l'enregistrement des frappes au clavier (keyloggers). Ces logiciels malveillants enregistrent donc nom d'utilisateur et mot de passe tapés au clavier, avant de les transmettre au pirate via le réseau. C'est un moyen courant d'obtention de mot de passe à l'insu du joueur. Ce type de logiciel malveillant peut être dissimulé au sein d'un fichier exécutable… parfois maquillé pour prendre l'apparence d'un outil de triche.

Etant donné que la plupart des gens ont plusieurs comptes pour des services en ligne - qu'il s'agisse de jeu en ligne, de site de commerce électronique, etc. -, ils utilisent fréquemment le même couple nom d'utilisateur / mot de passe. La menace est d'autant plus grande qu'ils ont tendance à créer des mots de passe faciles à mémoriser ; le mot " password " est toujours le plus utilisé à ce jour. Grâce à des attaques par dictionnaire (dictionary attacks), les fraudeurs peuvent aisément retrouver ces mots de passe trop simples et utiliser des comptes en ligne à des fins malicieuses.

Le partage de comptes utilisateur est un danger supplémentaire. Bien que cela soit interdit par le règlement de la plupart des applications de jeu en ligne, les utilisateurs partagent souvent leurs comptes, entre membres d'une même famille ou entre amis. L'exposition au risque n'en est évidemment que plus grande.

Des mots de passe dynamiques pour mieux protéger

Les développeurs de jeux en ligne ne peuvent pas grand-chose pour protéger les informations des comptes de leurs utilisateurs ainsi que leurs actifs virtuels puisque cela ne correspond pas à leur conception du jeu. Quoique. Bien qu'ils pourraient arguer du fait que la sécurité des mots de passe relève de la responsabilité des utilisateurs, les développeurs réalisent qu'ils devraient proposer à leurs clients des moyens sécurisés de protéger leurs personnages de jeu.

L'une des façons de se protéger contre les menaces précédemment évoquées est de mettre en place un système d'authentification forte. VASCO, l'un des fournisseurs de solutions d'authentification et de sécurité sur Internet, s'est construit une solide réputation dans la sécurisation des applications de jeu en ligne. En utilisant sa technologie renommée DIGIPASS, les mots de passe statiques et fragiles peuvent être remplacés par une authentification forte à deux facteurs. Pour quelques dollars, les joueurs peuvent s'offrir sérénité et protection de leurs actifs virtuels.

L'entreprise fournit une plateforme d'authentification ouverte pouvant être intégrée à des serveurs de jeu afin de prendre en charge automatiquement le processus d'authentification. Les fournisseurs de jeux en ligne peuvent choisir de distribuer des authentificateurs matériels ou des logiciels d'authentification à leurs utilisateurs finaux. Ces équipements assurent la génération d'un mot de passe dynamique à chaque ouverture de session. Les mots de passe dynamiques permettent de contourner les faiblesses généralement associées aux mots de passe statiques. Tout d'abord, ils ne peuvent être utilisés qu'une seule fois. Ainsi, les fraudeurs ne peuvent pas les stocker en vue de traitements par lots. Qui plus est, la validité des mots de passe est fortement limitée dans le temps : les criminels doivent opérer en temps réel et l'impact lucratif du piratage de compte en est considérablement réduit. Et puisque chaque joueur reçoit un élément d'authentification unique et personnalisé, l'exposition des mots de passe liée au partage de compte est éliminée. Accessoirement, cela permet aux fournisseurs de jeux en ligne de réduire les pertes de chiffre d'affaires. Enfin, puisque le mot de passe est généré par un outil matériel ou sur une plateforme logicielle locale, il n'est pas exposé sur Internet.

Flexibilité et adoption assurée à un prix modique

La mise en oeuvre d'un système de sécurité n'est pas sans créer d'importants défis pour les développeurs de jeux. Tout d'abord, cela représente un investissement. Ensuite, la solution doit pouvoir supporter des déploiements massifs, à l'échelle de plusieurs millions d'utilisateurs. En outre, les fournisseurs de jeux vidéo en ligne doivent être sûrs que la solution sera pérenne. Enfin, les freins à l'adoption de la solution par les utilisateurs doivent être minimes - sans que la sécurité soit pour autant sacrifiée.

Les solutions d'authentification de VASCO sont conçues à partir d'une unique plateforme ouverte. Cela évite de devoir reconstruire toute une infrastructure et permet de réaliser d'importantes économies tout en gagnant en flexibilité. L'authentification DIGIPASS offre une grande élasticité. Et celle-ci a été démontrée à de nombreuses reprises. VASCO supporte actuellement des millions de joueurs en ligne qui font confiance à ses équipements et logiciels d'authentification. Le logiciel de VASCO est capable de supporter plus de 9 000 demandes d'authentification par seconde. La plateforme est taillée pour supporter de nombreux jeux et utilisateurs supplémentaires ; c'est une solution assurément pérenne.

L'adoption par les utilisateurs est un point clé pour l'authentification de masse. La technologie DIGIPASS de VASCO, qu'elle soit matérielle ou logicielle, est si simple à utiliser que les fournisseurs de jeux en ligne seront rapidement persuadés qu'il s'agit d'un parfait outil d'authentification pour leurs joueurs. Ceux-ci n'ont pas besoin d'installer de logiciels supplémentaires sur leurs ordinateurs pour en profiter - aucun mode d'emploi ou service de support spécifique n'est nécessaire. L'expérience de jeu reste la même, si ce n'est qu'elle est sécurisée.

Jan Valcke
Président et COO de VASCO Data Security depuis 2002

Publié le 29 mai 2012 par Emmanuel Forsans

Commentaires des lecteurs

Soyez le premier à commenter cette information.

Partager