Cybersécurité : l’industrie du gaming doit changer les règles du jeu

Cropped Favicon Economi Matin.jpg
Par Gábor Marosvári Publié le 23 août 2021 à 15h43
Jeux Video Protection Donnees Joueurs
40 %Moins de 40 % des gamers s'estiment confiants par rapport aux garanties de sécurité proposées par les développeurs de jeux vidéos.

BESTOF ETE 2021 : article initialement publié le 27 juin 2016

Le marché du gaming est l’un des terrains de jeu favoris des cybercriminels. Les jeux vidéo et autres sites de paris en ligne regorgent d’informations personnelles et de données sensibles qui ont de la valeur pour les hackers.

En effet, les joueurs partagent des données en ligne telles que leurs informations de carte de crédit et effectuent beaucoup de transactions, en s’exposant ainsi à des piratages.

Ce constat simple, pas seulement dans le secteur du gaming, implique le changement de nombreuses règles, surtout en matière de sécurité. Aussi, dans un marché aussi compétitif que celui du gaming, les éditeurs doivent développer des jeux pour des clients très exigeants, mais doivent également se démarquer par leur niveau de sécurité.

Les joueurs (ou gamers) ont également de plus en plus d’exigences en matière de sécurité : selon une étude récente, la majorité des gamers souhaitent que les développeurs renforcent la sécurité de leurs données et améliorent la cybersécurité des jeux et sites, alors que moins de 40 % d’entre eux s’estiment confiants par rapport aux garanties de sécurité proposées par les développeurs de jeux vidéos* (étude PlayFab). *Le point clé de leurs exigences étant que leurs informations personnelles et leurs coordonnées bancaires soient mieux sécurisées.

Question clé : d’où viennent les menaces ? Bien contrairement aux idées reçues, les plus dangereuses ne viennent pas forcément de l’extérieur… Au contraire, il est avéré que les menaces internes (actes malveillants mais aussi les erreurs humaines donc involontaires) sont celles qui représentent les risques les plus importants. Mais comment se protéger de menaces venant de l’intérieur de son propre réseau ?

Pour les éditeurs de jeux vidéo ou de jeux et sites de paris en ligne, les risques sont souvent liés aux utilisateurs à privilèges au sein de l’entreprise ; ceux qui, par leur fonction et leurs responsabilités, ont des accès plus étendus que les autres. Ces gens qui ont les « clés » du réseau, ce sont généralement les développeurs eux-mêmes. Et pour un développeur malveillant, des millions de gamers qui partagent des informations, cela représente un potentiel extraordinaire. En insérant un code malveillant, il est très facile à une personne possédant des connaissances techniques d’exfiltrer d’importants volumes d’informations sensibles.

En réponse à ces risques, l’entreprise doit être en mesure de remonter rapidement les incidents de sécurité pour savoir qui a fait quoi sur le réseau et quand. C’est ce que l’on appelle des pistes d’audit (ou audit trails). Facile à dire, mais plus difficile à réaliser…

Il est effectivement possible de fournir des pistes d’audit complètes sur l’activité des développeurs. La tâche se complique cependant lorsque les développements de jeux, d’applications, etc. sont externalisés à des utilisateurs tiers, à des techniciens ou des développeurs de code, qui peuvent accéder aux serveurs de production à distance. Le problème est que les éditeurs de jeux veulent à tout prix ne pas déranger l’expérience des joueurs, alors que la prise en compte de la sécurité est devenue primordiale.

Gérer les utilisateurs à privilèges

Les développeurs de jeux ont une responsabilité énorme et les éditeurs doivent mettre en place plus de contrôles et de processus pour assurer que toutes leurs activités soient traçables. Les administrateurs systèmes ont une position où la confiance est clé : ils interviennent pour résoudre des problèmes techniques et pour ce faire, ils ont besoin d’accès privilégiés… entrainant des risques de sécurité associés. Pour les éditeurs, le challenge ne s’arrête pas à la sécurisation des processus de développement des produits, puisqu’il faut ensuite s’assurer que tous les correctifs en ligne des jeux soient traçables et qu’il n’existe pas de backdoors (portes dérobées) qui pourraient être exploitées.

Nouvelles exigences de la Directive Européenne contre le blanchiment

L’Europe légifère, et impose de nouvelles normes pour l’industrie du gaming… La 4ème Directive de Lutte contre le blanchiment et contre le financement du terrorisme (Anti Money Laundering Directive) a été adoptée en Europe en juin 2015 et doit être transposée dans les lois nationales des pays membres avant mai 2017. Cette Directive signifie que la communauté du gaming va devoir encore augmenter sa rigueur et son engagement en matière de sécurité. Les casinos et autres plateformes en ligne vont par exemple devoir remonter aux instances responsables toutes transactions paraissant suspectes, mais également garder des traces en archivant toutes leurs transactions entrantes et sortantes.

De plus, les éditeurs doivent se conformer et informer les joueurs sur la manière dont ils sécurisent leur argent et les transactions. Pour les éditeurs qui n’ont pas mis en place une sécurité suffisante, le risque est double : le piratage d’un jeu peut engendrer le détournement de millions de transactions vers un organisme cybercriminel, et exposer l’éditeur au vol de données personnelles et au non respect des normes de conformité, telles que la norme de sécurité des données bancaires PCI-DSS (Payment Card Industry Data Security Standard).

Enregistrement des activités

Alors quelles solutions pour les éditeurs de jeux pour assurer la sécurité et l’intégrité des jeux pendant les phases de correction (développement), de production (mise en ligne) et de pré-production (avant la mise en ligne) ? La meilleure approche est de collecter les logs de l’ensemble des opérations (toutes les actions qui ont été générées sur le système d’information) et de stocker les enregistrements de toutes les activités des utilisateurs en assurant que ces logs et enregistrements ne puissent pas être modifiés et qu’ils soient assortis de la date de réalisation et indépendants des utilisateurs et des terminaux. A titre de comparaison, cela peut s’assimiler à une boîte noire dans un avion.

Même si les systèmes de management des « logs » vont être capables de fournir des informations, beaucoup ne vont pas assez loin pour être en mesure d’enregistrer les actions réalisées par les utilisateurs à privilèges. Ce gap est franchi avec les solutions de surveillance des utilisateurs privilégiés (PUM ou Priviledged User Monitoring) qui fournissent des enregistrements détaillés. Certaines solutions encore plus avancées opèrent même de manière complètement indépendante et transparente des systèmes sur lesquels elles sont installées, ainsi elles ne peuvent pas interférer avec les opérations et les activités quotidiennes.

Les meilleures solutions de PUM permettent finalement de disposer d’enregistrements de sessions administratives encryptées, signées digitalement et horodatées. Ainsi les pistes d’audit enregistrées peuvent être utilisées comme preuves irréfutables lorsqu’un compte à distance a été détourné et utilisé à des fins malveillantes, ce qui est finalement de l’intérêt des développeurs et des éditeurs.

Prévenir les abus de privilèges est crucial pour l’intégrité, la sécurité et la réputation des éditeurs de jeux vidéo. Au-delà du respect des exigences plus strictes en matière de protection des transactions en ligne, les professionnels du gaming ont la responsabilité de s’assurer que les transactions soient sécurisées et que les bonnes mesures de sécurité sont en place pour protéger les données de leurs joueurs. La sécurité change les règles du jeu, aux éditeurs de se conformer au plus vite pour ne pas se voir délaisser au profit des nombreux jeux qui ne sont pas peut-être pas meilleurs mais tout simplement plus sécurisés.

Cropped Favicon Economi Matin.jpg

Gábor Marosvári est Directeur Marketing Produit chez Balabit, éditeur de solutions de sécurité contextuelle

Laisser un commentaire

* Champs requis