Le_Grim_Sleeper
Bandai Namco, éditeur de la série de jeux de rôle Dark Souls, a mis hors service ses serveurs joueur contre joueur alors qu’il enquête sur des rapports faisant état d’une grave vulnérabilité qui permet aux joueurs d’exécuter du code malveillant sur les PC d’autres joueurs.
La faille critique d’exécution de code à distance est apparue au cours du week-end dans les discussions Reddit ici et ici. Un exploit qui a frappé un utilisateur nommé The_Grim_Sleeper a été capturé dans un flux vidéo publié au cours du week-end. À partir d’environ 1:20:22, le jeu de l’utilisateur s’est écrasé et une voix robotique s’est moquée de son gameplay et de son niveau de maturité.
“C’est quoi ce bordel”, a répondu The_Grim_Sleeper. “Mon jeu vient de planter, et immédiatement Powershell s’est ouvert et a commencé à raconter une putain de chape”. “Je ne savais même pas que cette merde était possible.”
Les détails sur la vulnérabilité n’étaient pas immédiatement disponibles. Initialement, les rapports indiquaient que la vulnérabilité résidait dans Dark Souls 3. Dimanche, les représentants de Bandai Namco ont déclaré que la société supprimait le jeu de serveur PvP pour Dark Souls 3, Dark Souls 2 et Dark Souls: Remastered alors qu’elle enquêtait sur les rapports. Le tweet indiquait également que Dark Souls : Préparez-vous à mourir serait affecté.
Publicité
D’après la description et la démo sur Twitch, la vulnérabilité semble critique car elle permet aux pirates d’exécuter à distance le code de leur choix sur les PC lorsqu’ils jouent aux jeux contre d’autres joueurs. Cela signifie que les attaquants pourraient éventuellement installer des rançongiciels, des enregistreurs de frappe, des chevaux de Troie d’accès à distance ou d’autres marchandises malveillantes lorsqu’ils sont connectés au même serveur PvP en tant que cible.
À bien des égards, la vulnérabilité ressemble à la vulnérabilité Log4j qui a fait surface à la fin du mois dernier. Cette vulnérabilité a permis aux joueurs de Minecraft d’exécuter du code malveillant sur les PC ou les serveurs d’autres joueurs.
Peu de détails sont disponibles sur la vulnérabilité de Dark Souls, sa cause n’est donc pas immédiatement claire. Rien n’indique, du moins pour le moment, que Dark Souls pour Xbox ou Playstation soit concerné.
Blue Sentinel, un mod Dark Souls développé par la communauté et conçu pour contrer les tricheurs, a déjà introduit une mise à jour qui atténue les attaques, mais jusqu’à ce que Bandai Namco donne le feu vert aux joueurs, les joueurs feraient mieux de rester à l’écart des jeux entre joueurs.
Les représentants du fabricant du jeu n’ont pas immédiatement répondu à une demande de commentaire.