Epic qualifie Google « d'irresponsable » pour avoir divulgué des détails sur la faille affectant Fortnite sur Android
Après une semaine

Le , par Stéphane le calme, Chroniqueur Actualités
Fortnite est un jeu en ligne développé par Epic Games qui a été publié sous la forme de différents progiciels proposant différents modes de jeu qui partagent le même gameplay général et le même moteur de jeu. Devenu un véritable phénomène de société, le jeu est parvenu à attirer plus de 125 millions de joueurs en moins d’un an, et a généré des centaines de millions de dollars par mois.

Disponible sur plusieurs plateformes et consoles, le jeu a été lancé récemment sur Android. Seulement, pour l’installer, il faut impérativement passer par le site de l'éditeur et non pas par Google Play. En effet, Epic Games a choisi de passer par cette voie pour éviter de payer des commissions à Google.

Après avoir montré des alertes à tout utilisateur cherchant à installer Fortnite depuis Google Play, un ingénieur de Google a révélé que la première version de l’installeur d’Epic contient une vulnérabilité sévère de sécurité susceptible de mettre en danger les utilisateurs d’Android. En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).

Tim Sweeny, le fondateur d’Epic a déclaré que Google aurait dû retarder le partage de cette information :

« Nous avons demandé à Google de conserver l’information jusqu’à ce que la mise à jour soit plus largement installée. Ils ont refusé, créant un risque inutile pour les utilisateurs d'Android afin d'obtenir des points de relations publiques bon marché » , a tweeté Tim Sweeney.


Par le passé, Google a été critiqué par Microsoft pour avoir partagé les détails des vulnérabilités des produits de l’éditeur avant la disponibilité d’un correctif. L'équipe de sécurité du développeur d’Android s’est également attiré les foudres d’Apple et Samsung pour les mêmes motifs.

Pourtant, dans ce cas, certaines personnes parmi lesquelles Troy Hunt ont estimé qu’Epic était responsable de cette situation : « Les gens vont argumenter en estimant que la période est soit trop longue, soit pas assez longue, en fonction du côté dans lequel ils sont. Cependant, je suis toujours surpris qu’Epic n'ait pas mis son application sur Play Store pour commencer ».

Selon les termes de Google, Epic aurait dû lui octroyer une commission de 30% sur ses entrées sur Android. Si l’éditeur s’est refusé à mettre son application sur Google Play, il a toutefois accepté les mêmes conditions sur la boutique d'applications d'Apple, étant donné les restrictions qu’il y a sur iPhones qui empêchent des installations d’applications en provenance d’autres sources.

Selon la documentation de Google, son équipe a découvert cette faille le 15 août et en a immédiatement notifié Epic. Les détails sur la vulnérabilité n’ont pas été rendus publics jusque-là. L’éditeur de Fortnite a vite publié un correctif de l’installeur dans 48 heures et il a été déployé pour tous les utilisateurs d’Android.

Seulement, pour donner plus de temps aux utilisateurs de mettre à jour l'application, et empêcher que des hackers exploitent le bogue, Epic a demandé à Google de ne pas divulguer les détails de la vulnérabilité avant 90 jours.

Toutefois, la politique de Google stipule que les détails d’un bogue sont révélés au public 90 jours après les avoir signalé aux développeurs responsables si ceux-ci n’ont pas été traités. Cependant, dès lors qu’un correctif est disponible, les détails du bogue sont révélés au public une semaine après la date de disponibilité. Raison pour laquelle la demande d’un délai de 90 jours avant divulgation d’Epic a été rejetée (le correctif étant déjà disponible).


Si le fondateur d’Epic s’est montré reconnaissant du fait que Google ait audité le logiciel de son entreprise et l'a informée de la faille, il a estimé que l’éditeur d’Android n’a pas agi dans l'intérêt des utilisateurs en refusant de garder le sujet privé jusqu'à la mi-novembre.

« La décision d'Epic Games de contourner Google Play montre que lorsque la sécurité entre en conflit avec des intérêts commerciaux, les intérêts commerciaux gagnent souvent, mais au prix de la sécurité publique en ligne », a commenté le professeur Steven Murdoch, chercheur en sécurité à l'University College London.

« La sécurité ne résulte plus uniquement de la prise de bonnes décisions techniques, mais également du fait que les structures commerciales complexes en place fonctionnent pour et non contre une meilleure sécurité en ligne ».

En parallèle, Epic a incité les joueurs de Fortnite à activer une authentification à deux facteurs afin de réduire le risque de vol de leurs comptes. Cela contraint les joueurs à entrer un code qu’ils reçoivent sur leur téléphone ou à leur adresse électronique en plus de leur mot de passe lors de la connexion.

Source : Tim Sweeney, Troy Hunt, Epic Games

Et vous ?

Quel est votre avis sur le sujet ? Penchez-vous plutôt du côté d'Epic ou de Google ?
Les délais imposés par Google vous semblent-ils raisonnables ?
L'entreprise devrait-elle faire des exceptions ? Si oui, sur quelles critères (type d'application, portée de la faille, nombre d'utilisateurs, etc.) ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 28/08/2018 à 10:06
Citation Envoyé par Stéphane le calme Voir le message
« La décision d'Epic Games de contourner Google Play montre que lorsque la sécurité entre en conflit avec des intérêts commerciaux, les intérêts commerciaux gagnent souvent, mais au prix de la sécurité publique en ligne », a commenté le professeur Steven Murdoch, chercheur en sécurité à l'University College London.

« La sécurité ne résulte plus uniquement de la prise de bonnes décisions techniques, mais également du fait que les structures commerciales complexes en place fonctionnent pour et non contre une meilleure sécurité en ligne ».
De tels propos sont honteux de la part d'un chercheur en sécurité.

Être à la merci de "structures commerciales complexes" en situation de (quasi-)monopoles, chacune sur leur plateformes, qui peuvent ainsi censurer arbitrairement ce qui ne leur plaît pas, et qui en profitent pour racketter les développeurs d'applications, ce n'est pas vraiment ce qu'on peut appeler une "sécurité".

Dont le comportement ressemble à des techniques mafieuses, à auditer une application qui refuse de se soumettre dans le but à peine caché de porter atteinte à sa réputation, et je présume la faire rentrer dans le rang.

Sans compter derrière les potentiels problèmes de vies privées, ou de neutralité de la plateforme vis-à-vis des applications qu'elle propose.

Citation Envoyé par Stéphane le calme Voir le message
En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).
? À partir du moment où un attaquant peut faire télécharger du code arbitraire et l'exécuter, l'utilisateur est vulnérable à tout type d'attaques, pas spécialement MITM.

 
Contacter le responsable de la rubrique Accueil