Des chercheurs en sécurité de Chek Point ont récemment repéré des vulnérabilités dans le site Web d'Epic Games qui permettait en théorie à des pirates de se connecter aux comptes Fortnite des joueurs sans avoir besoin de ne renseigner aucun mot de passe.

Fortnite

Une fois connecté ainsi à un compte, il était possible d'espionner les conversations entre les amis et d'exploiter les informations de carte de crédit renseignées par les joueurs pour réaliser des achats en jeu. Les failles ont été corrigées en urgence par Epic Games qui indique que rien n'indique à ce jour que les failles en question aient pu être exploitées.

La situation est d'autant plus préoccupante que Fortnite rassemble plus de 80 millions de joueurs. Le titre se présente comme une poule aux oeufs d'or pour Epic alors même que l'accès au mode Battle Royale est entièrement gratuit.

Et comme toujours, plus un titre ou service est populaire, plus il intéresse les hackers et autres cybercriminels. De fait, la sécurité est question primordiale quand on rassemble autant de joueurs à travers le monde. Reste que la faille en question se situait dans une URL non sécurisée du site d'Epic Games qui datait de plus de 10 ans et faisait rapport à Unreal Tournament.

La page exploitée était ouverte aux attaques cross-site Scripting (XSS) pour manipuler les tokens d'identification. Reste que la procédure était assez complexe à mettre en oeuvre et impliquait une campagne de hameçonnage pour encourager le joueur à se connecter à Fortnite.