"Ces failles auraient permis de détourner et d'exploiter des millions de comptes utilisateurs" : Electronic Arts évite une attaque de justesse !

Cela a faillit être "l'hécatombe", dixit SimCity : l'équipe sécuritaire Check Point a publié depuis peu un billet détaillé mettant en lumière plusieurs failles sécuritaires qui pouvaient être potentiellement exploitées à partir des jetons d'authentifications à facteur unique, depuis la plate-forme Origin.

 

 

En effet, selon le communiqué daté du 26 Juin dernier de Check Point, la vulnérabilité résultait de "l'utilisation de sous-domaines abandonnés et de l'utilisation de jetons d'authentification par EA Games en conjonction avec le mécanisme d'authentification unique OAuth (SSO) et TRUST intégré au processus de connexion d'utilisateur d'EA Games".

"La plate-forme Origin d’EA est extrêmement populaire; et si elles n'étaient pas corrigées, ces failles auraient permis aux pirates informatiques de détourner et d'exploiter des millions de comptes utilisateurs" alerte Oded Vanunu, responsable de la veille sécuritaire des solutions proposées par Check Point, évoquant ainsi l'ensemble des gamers usitant Origin (EA Games), soit quelques 300 millions de profils-utilisateurs... Forcément, il est rappelé combien les données stockées dans le cloud - et, donc, les applications ou systèmes reposant sur un service dans les nuages - constituent une proie de choix pour les cyber-attaquants qui, une fois le pot déverrouillé, n'ont plus qu'à se servir en aspirant les données et / ou en les exploitant par modification, par exemple, quand il ne s'agit pas, tout simplement, de les revendre sur l'e-marché noir.

Il est, également, rappelé que l'authentification à double-facteur doit être privilégié le plus possible (avec un code reçu par SMS par exemple ou par notification) tout en s'assurant, dans le cas des jeux en ligne ou d'applications, que l'on télécharge bien la version officielle dudit contenu (sur le site de l'éditeur et non un site intermédiaire ou douteux)... A veiller !

 

Source : Check Point - 26 Juin 2019 - EA Games (Origin) : une faille évitée de justesse, concernant l'authentification à facteur unique (jetons).