Protégez-vous : la sécurisation des jeux s'apparente à une véritable bataille
Analyse des données par Camila Cabrera Camacho
Copie modifiée par Maria Vlasak
Nous remercions tout particulièrement Chris Finch, Alan Evans, Dan Greer, Ken Eaton et Todd Loewenstein pour leur expertise
Les jeux vidéo constituent sans doute le secteur le plus influent de notre époque. Avec 2,58 milliards de joueurs dans le monde et une estimation s'élevant à 184,4 milliards de dollars, ce secteur colossal ne connaîtra jamais de ralentissement, la dépendance à la technologie s'intensifiant à chaque nouvelle génération. Dans cette série de billets de blog en trois parties, nous allons explorer le monde merveilleux des jeux vidéo sous différents points de vue.
Dans ce premier billet, nous nous concentrerons sur les défis sécuritaires en passant en revue les statistiques des 18 derniers mois (de janvier 2023 à juin 2024).
Dans notre deuxième billet, nous passerons en 3D et discuterons des personnes qui se cachent derrière les jeux vidéo (de chaque côté de l'écran).
☁️ Dans notre troisième et dernier billet, nous clôturerons cette série avec une présentation technique des jeux vidéo distribués dans le cloud.
Les pros de la sécurité doivent faire un choix
L'un des aspects les plus intéressants du secteur des jeux vidéo est sa position unique en termes de sécurité. En effet, les joueurs comme les développeurs font face à des cybermines à chaque tournant. Le joueur standard est plus averti sur le plan technologique que la plupart des spécialistes des autres secteurs, ce qui signifie qu'une « menace interne » dans le secteur des jeux vidéo peut provenir de l'intérieur du réseau ou de l'intérieur de votre réalité digitale.
Ce secteur possède également un profil d'acteur de menace prévalent tout à fait unique : le fauteur de troubles. Un streamer a dit quelque chose a déplu ? Un bot va être créé pour le mettre hors ligne. Un fauteur de troubles peut également susciter la confiance en faisant semblant d'être un allié dans le jeu, puis livrer des charges utiles malveillantes ou des URL via le chat.
Constitution d'un groupe technologiquement averti
Le secteur apprécie l'ouverture des joueurs et la collaboration entre eux, et il a l'état d'esprit technologique qui va avec, ce qui, par nature, va à l'encontre des questions difficiles de sécurité. Non seulement certains comportements considérés comme suspects ou même malveillants dans le domaine de la sécurité sont monnaie courante dans l'industrie du jeu vidéo, mais ils sont aussi adoptés et encouragés ; par exemple, le « modding » fait partie intégrante de la culture du jeu vidéo, et le « botting » est considéré comme une expérience de jeu dans certains scénarios.
La communauté de la sécurité est on ne peut plus consciente que les tactiques, techniques et procédures qui font son charme peuvent aussi être utilisées à des fins malveillantes. Il existe un chevauchement dans le diagramme de Venn entre les personnes intéressées par les jeux vidéo et celles dotées d'un savoir-faire technique, ce qui crée des opportunités à la fois pour le non-respect des règles et les découvertes techniques.
Cela signifie également que les objectifs des attaquants peuvent être différents, et que ce sont ces différences qui influencent les tendances des attaques. Il n'y a que dans le monde des jeux vidéo où il est possible de demander de la monnaie dans deux royaumes différents. Il est même possible de le faire en même temps si vous le souhaitez.
Dans ce billet de blog, nous discuterons des défis de sécurité que nous avons vus dans l'industrie des jeux vidéo au cours des 18 derniers mois.
Pillage en ligne et hors ligne
En plus des préoccupations liées à la cybersécurité entre les joueurs, l'industrie du jeu vidéo doit aussi faire face à tous les autres défis de sécurité auxquels le monde est confronté. Nous savons tous que les pirates attirés par l’appât du gain suivent l'argent, et ce secteur pourrait tout aussi bien se promouvoir à l'aide de néons en forme de dollars.
Les cybermenaces ne relèvent pas toujours de l'aspect technique (comme nous le savons bien !) et les attaquants ne sont pas les seuls à adopter un comportement néfaste. Certains ciblages publicitaires de jeux sur appareil mobile peuvent être considérés comme malveillants, voire contraires à l'éthique, mais pas illégaux. Bien sûr, cette description peut représenter la publicité en général, et n'est pas propre au secteur des jeux vidéo. Quelle que soit leur intention, les publicités ciblées ont des répercussions sur les habitudes de dépenses des joueurs, qui, à leur tour, ont une influence sur la direction que prennent les acteurs malveillants.
Abonnements
Les éditeurs de jeux peuvent s'attendre à débourser des millions de dollars pour recevoir le triple A (AAA), et ce coût se répercute sur les internautes. Le saut de 60 à 70 $ par titre n'est pas négligeable, et peut affecter la décision des joueurs économes à acheter un jeu ou pas, en particulier quand on connaît la multitude de services d'abonnement disponibles.
Comme dans d'autres styles de médias similaires, les services d'abonnement règnent en maître dans le monde des jeux vidéo. Les jeux vidéo disponibles sur le marché sont si nombreux qu'il est financièrement impossible de tous les acheter. Cela concerne également les options sur appareil mobile : il existe aujourd'hui plus d'une dizaine de services d'abonnement à des jeux vidéo disponibles, qui cherchent tous à obtenir une part de ce marché évalué à 11,7 milliards de dollars .
Arithmétique d'attaque
Faisons le calcul : plus de services d'abonnement = plus de comptes d'utilisateur = plus de possibilités de credential stuffing ou d'usurpation de compte. Et avec toujours plus de marques à usurper, les acteurs malveillants ont accès à plus de contenu à imiter pour les campagnes d'hameçonnage ou autres escroqueries.
La fatigue associée aux abonnements est réelle, et elle coûte cher. Il convient également de prendre en compte le problème de l'espace de stockage physique ou virtuel.
Les attaques DDoS de couche 7 en plein essor
Les attaques par déni de service distribué (DDoS) de couche 7 ont augmenté de 94 % d'une année sur l'autre. Le nombre d'attaques reste élevé : 4 des 18 mois observés (juin, août et décembre 2023, et mai 2024) ont connu plus de 25 milliards d'attaques DDoS de couche 7 pendant les mois respectifs (Figure 1).
Figure 1 : Attaques DDoS de couche 7 par mois
Les mois de janvier à mars 2023 ont connu le plus faible nombre d'attaques de couche 7, avec moins de 15 milliards d'attaques mensuelles. La trajectoire ascendante de ce vecteur est imprévisible : Février 2024 a fait l'objet du plus faible nombre d'attaques mensuelles de l'année jusqu'à présent, avec plus de 19 milliards d'attaques, ce qui signifie que le nombre le plus faible d'attaques mensuelles en 2024 à ce jour est supérieur au nombre d'attaques qui ont eu lieu en janvier, février, mars et avril 2023.
La région APJ balaie les classements de la couche 7
Étant donné que la région Asie-Pacifique et Japon (APJ) a généré le chiffre d'affaires le plus élevé pour l'industrie des jeux vidéo en 2023 (85,8 milliards de dollars US) et que ses 179 milliards de joueurs représentent 23 % de la population, le poids de la région APJ sur le secteur est colossal.
Cette année, la région APJ a ajouté à son palmarès le plus grand nombre d'attaques DDoS de couche 7, avec 186 milliards d'attaques au cours des 18 derniers mois (Figure 2).
Figure 2 : Attaques DDoS de couche 7 par région du 1er janvier 2023 au 30 juin 2024
L'heure de gloire des requêtes de bot
Impossible de parler de sécurité sans mentionner les bots : ils sont présents dans presque tous les secteurs. Toutefois, les objectifs d'un auteur de botnet peuvent être très différents entre les jeux vidéo et la finance (ou d'autres secteurs), et la fonctionnalité que le bot recherche peut nous aider à en apprendre beaucoup sur l'auteur lui-même.
La période de l'année est un autre facteur qui compte dans le comportement de l'attaquant. Les périodes suivantes semblent particulièrement sujettes aux requêtes de bot.
Janvier et juin
Les requêtes de bot ont connu une croissance de 391 % entre le premier trimestre 2023 et le premier trimestre 2024. Ce chiffre a été atteint très tôt. 2024 a en effet commencé avec un nombre record de requêtes de bot dans le secteur des jeux vidéo : 147 milliards. En un mois (Figure 3).
Figure 3 : Demandes de bot qui ciblent les jeux vidéo par mois
Juin a rendu à janvier la monnaie de sa pièce (145 milliards), avec un nombre d'attaques multiplié par plus que trois par rapport à juin 2023. Pour mettre ces chiffres en perspective : Pour l'ensemble de la période observée, la région Europe, Moyen-Orient et Afrique (EMEA) n'a enregistré que 59 milliards de requêtes de bot (Figure 4).
Figure 4 : Demandes de bot par région au cours des 18 derniers mois
Été et hiver
Étant donné que les soldes d'été Steam ont lieu chaque année en juin et juillet, et il est probable que le trafic de bot reste intense pendant ces deux mois. Cette théorie est appuyée par la tendance similaire des mois de décembre 2023 et janvier 2024, période qui correspond aux soldes d'hiver de Steam. Elle est également étayée par le fait que la plupart des requêtes de bot provenaient d'Amérique du Nord (845 milliards pour être exact).
Ces deux périodes (juin/juillet et décembre/janvier) de dépenses importantes connaissent une augmentation de l'activité en ligne, ce qui en fait des opportunités lucratives pour les attaquants. Les joueurs eux-mêmes, ainsi que les sociétés de jeux vidéo, se retrouvent en quelque sorte assiégés digitalement pendant ces périodes.
Attaques de pare-feu d'application Web
Entre le premier trimestre 2023 et le premier trimestre 2024, les attaques Web dans les jeux vidéo ont augmenté de 94 %. L'augmentation la plus constante a concerné les attaques de pare-feu d'applications Web(WAF). Après la chute spectaculaire de mai 2023, il est possible de dessiner une tendance à la hausse constante mois après mois. Le mois de juin 2024 atteint actuellement 1 milliard (Figure 5).
Figure 5 : Attaques de WAF dans le secteur des jeux vidéo par mois
Par rapport à l'année dernière, les mois de mai et juin 2024 ont connu des augmentations spectaculaires, qui atteignent 451 % et 504 % respectivement. Nous nous attendons à ce que ces chiffres continuent à exploser à mesure que l'utilisation des applications et des API augmente.
Décomposition des attaques Web traditionnelles
Lorsque nous décomposons ces chiffres et examinons uniquement nos attaques Web traditionnelles (injection SQL [SQLi], injection de commandes [CMDi], injection de fichiers locaux [LFI], cross-site scripting [XSS], inclusion de fichiers à distance [RFI] et falsification de requêtes côté serveur [SSRF]), nous pouvons voir que SQLi constituait la plus grande menace Web pour le secteur des jeux vidéo au cours de la période observée, avec plus de 700 millions d'attaques (Figure 6). Cela ne concerne pas uniquement les sociétés de jeux vidéo : l'injection SQL peut aussi vous porter à la tête du classement en tant que joueur.
Figure 6 : Attaques Web traditionnelles par type dans les jeux vidéo
Au cours des dernières années, l'injection de fichiers locaux a augmenté de façon régulière dans tous les secteurs. Elle peut avoir comme conséquence d'autres attaques Web (comme XSS) et, dans certains cas, l'exécution de code à distance. Un éditeur de jeux vidéo aurait tout avantage à surveiller cela de près.
En plus d'être la première attaque, l'injection SQL était aussi la plus sporadique, ce qui fait écho à la nature des jeux vidéo. La figure 7 présente une ventilation mensuelle des chiffres de la figure 6, et la trajectoire SQLi pourrait vous rendre aussi malade qu'un joueur à la première personne aux mouvements saccadés.
Figure 7 : Attaques Web traditionnelles sur les jeux vidéo par mois
Au premier trimestre 2023, du fait des retards générés par la COVID-19, il y a eu une sortie rapide de jeux vidéo. Le report continu des dates de sortie en raison de la pandémie a augmenté la demande pour ces titres, ce qui a probablement contribué à la forte augmentation des SQLi pendant cette période. La nature sporadique des SQLi pourrait également donner des indications sur les différents objectifs des attaquants.
L'Amérique du Nord connaît une augmentation de plusieurs ordres de grandeur des attaques Web
Il est difficile pour les êtres humains de comprendre l'ampleur de la différence entre 1 million et 1 milliard, sans parler de l'immensité entre 332 millions et presque 9 milliards. C'est pourtant l'écart combiné entre le nombre d'attaques Web dans les régions EMEA et APJ, et les attaques en Amérique du Nord, entre le 1er janvier 2023 et le 30 juin 2024 (Figure 8).
Figure 8 : Attaques Web par région entre le 1er janvier 2023 et le 30 juin 2024
Crédits en roue libre
Les jeux vidéo et autres délices geek inspirent souvent l'innovation du monde réel aux niveaux micro et macro. Du cosplay aux voitures sans chauffeur, le luxe et les modes de vie du monde digital sont devenus réalité grâce à la communauté des jeux vidéo.
Plus nos vies deviennent digitales, plus les compétences en matière de jeu vidéo sont précieuses, et plus elles peuvent avoir d'effets positifs sur votre carrière. Les jeux vidéo exigent un niveau de curiosité et de résolution de problèmes qui sont très précieux pour la réussite d'une organisation. Les entreprises et universités en ont bien conscience et agissent en conséquence.