Fortnite : Google découvre une faille de sécurité dans le lanceur du jeu sur Android

Par

le

Google a révélé une faille de sécurité majeure dans la première version du lanceur du jeu Fortnite pour le système Android.

Epic Games a finalement lancé Fortnite sur Android au début du mois d’août. Les gens attendaient que le jeu atteigne la plateforme de Google depuis son lancement sur les appareils iOS en septembre 2017 et avec la sortie des derniers appareils Galaxy de Samsung, cette patience a été récompensée. Mais personne n’aurait dû crier victoire trop vite. Google a découvert, et dévoilé publiquement au cours du week-end, une vulnérabilité de l’outil utilisé pour installer le jeu.

Le problème commence par le fait que Fortnite n’est pas disponible sur le Play Store officiel de Google. Epic ne voulait pas céder 30% des revenus générés par la version Android de son jeu à la popularité presque déconcertante, et comme Android n’a pas les mêmes restrictions que iOS, Epic a réussi à se passer des services de Google.

Mais le Play Store et l’App Store n’existent pas seulement parce que leurs sociétés mères veulent gagner de l’argent supplémentaire. Ils sont également censés faire en sorte que les gens installent uniquement des logiciels à partir d’une source fiable qui vérifie qu’une application est sécurisée et non malveillante. Lorsque des personnes installent des applications à partir d’autres sources, elles risquent davantage d’être compromises.

C’est ainsi que la vulnérabilité découverte par Google le 15 août et divulguée publiquement le 25 août. Un ingénieur de Google nommé Edward a découvert que le programme d’installation d’Epic permettait des attaques de type « man-in-the-disk ». Ce type d’attaque permet à un malware endormi d’installer un autre programme à la place du jeu, sans le consentement de l’utilisateur. Le logiciel malveillant peut également être autorisé à accéder aux données sans nécessiter de saisie de la part u propriétaire de l’appareil.

Epic a publié un correctif le 16 août. La société a demandé à Google de maintenir sa norme d’attente de 90 jours avant de divulguer publiquement la vulnérabilité, afin que les utilisateurs puissent mettre à jour leurs appareils.

Google a décidé de ne pas attendre. « Comme mentionné par e-mail », a déclaré Edward, « maintenant la version corrigée de Fortnite Installer est disponible depuis sept jours et nous allons restreindre ce problème conformément aux pratiques de divulgation standard de Google. »

Cela a conduit le fondateur d’Epic, Tim Sweeney, à critiquer Google dans un tweet disant que la société créait un risque inutile pour les utilisateurs d’Android afin de faire de la contre-communication concernant la distribution de Fortnite par Epic en dehors du Google Play.

La divulgation publique de cette vulnérabilité pourrait donner l’impression que Epic aurait dû simplement distribuer Fortnite via le Play Store. Plusieurs commentaires sur la divulgation initiale effectuée depuis sa publication le confirment. Certaines personnes ont critiqué Epic pour avoir utilisé son propre installateur. Même si ce n’était pas l’intention de Google, c’est la façon dont un certain nombre de personnes comprennent l’information, et les personnes qui n’ont pas fait de mise à jour restent vulnérables ne font qu’empirer les choses.


Articles recommandés