Éditorial : Comment FIFA 12 est au cœur d'une arnaque au blanchiment d'argent sur Xbox Live, première partie

Le 20 décembre, mon compte Xbox Live a été piraté. La violation était sophistiquée, plus encore que Microsoft ne veut le reconnaître, mais au cœur de celle-ci se trouve la populaire franchise sportive d'EA, FIFA. Cette brèche n’est pas un nouveau hack branché qui déferle sur le net, elle existe depuis un certain temps déjà. Mon compte Xbox Live contenait plus de 3 000 MS Points et d’un seul coup, mon solde a été effacé. UtiliserFIFA 12, les joueurs peuvent acheter et échanger des cartes numériques avec d'autres membres Live. Bien que cette fonctionnalité soit également disponible dans des jeux comme Madden NFL 12, la popularité mondiale de FIFA 12 en a fait un terrain fertile pour la racaille criminelle. Les joueurs accèdent à des comptes Xbox Live, achètent des packs de cartes, les échangent contre d'autres comptes, puis vendent le contenu contre de l'argent réel. Les violations du Xbox Live ne sont pas nouvelles, mais le piratage de FIFA 12 met en danger tout le monde sur Xbox Live d'une nouvelle manière.Ces packs de contenu ont une valeur monétaire qui leur est attachée, donnant aux pirates une nouvelle raison de rechercher des comptes. Les pirates peuvent accéder à un compte, gérer un solde, vendre le contenu et en sortir. Dans certains cas, ils prennent un compte. La raison pour laquelle cela ne m'est pas arrivé est qu'aucune carte de crédit valide n'est associée à mon compte. Lorsque j’ai découvert pour la première fois un problème avec mon compte, je l’ai signalé sur Twitter. C'est Garnett Lee, directeur éditorial de Shacknews, qui m'a le premier informé du hack FIFA 12. "Vérifiez votre compte Xbox Live, voyez si FIFA figure dans vos jeux récents." Non seulement FIFA 12 apparaît sur ma liste – un jeu auquel je n’ai jamais joué – mais j’ai deux succès dans le jeu. Les deux réalisations sont associées à la fonctionnalité « Ultimate Team » de la FIFA, à laquelle les packs de cartes numériques sont liés.

J'ai été piraté sur Xbox Live et tout ce que j'ai eu, c'est quelques points de réussite et un mal de tête.

"En regardant votre compte, je peux voir que l'attaquant est entré en connaissant déjà le mot de passe", m'a dit Stephen Toulouse, directeur de la politique et de l'application de Xbox Live. Selon Toulouse, dans une interview accordée à Giant Bomb'sPatrick Klépek, il existe trois manières principales pour un attaquant d'apprendre votre mot de passe : les escroqueries par phishing, l'ingénierie sociale et l'utilisation du même mot de passe pour plusieurs comptes. Dans mon cas, Toulouse affirme que le phishing en était probablement la cause. "Le phishing se présente sous de nombreuses formes différentes. Certaines personnes pensent "Eh bien, mon Dieu, je n'ai pas saisi mon mot de passe sur un site Web", mais si vous avez visité un site Web comportant une bannière publicitaire, par exemple, qui exploitait un exploit sur votre machine, il pourrait y avoir des logiciels malveillants sur le système, ce qui pourrait entraîner la capture de votre mot de passe", a-t-il déclaré à Giant Bomb. L'autre arnaque de phishing, plus traditionnelle, provient de personnes se faisant passer pour quelqu'un d'autre ou créant de fausses pages de destination pour récupérer les informations de votre compte. Étant donné que le compte de messagerie n'est pas celui que j'utilise régulièrement et que je suis très familier avec la pratique des escroqueries par courrier électronique, cela semble être le moins probable des trois. Sur sa recommandation, j'ai vérifié tous mes ordinateurs pourmalwarequi pouvait capturer mon courrier électronique et les trois systèmes étaient propres. Bien que j'utilise un style de mot de passe similaire pour plusieurs comptes, je n'utilise pas le même mot de passe pour plusieurs comptes. Cependant, encore une fois, cet e-mail n'est pas une adresse que j'ai liée à d'autres comptes, cela semble donc peu probable. Dans ce sens, l’ingénierie sociale, pour ceux d’entre vous qui ne connaissent pas le hacker Kevin Mitnick, consiste à convaincre les autres de partager avec vous des informations qui ne devraient pas être partagées. Une adresse email associée à un compte ou un mot de passe par exemple. Pour moi, cela semble le plus probable des trois, mais je n’ai aucun moyen d’en être sûr. "Pour être clair, je ne dis pas que tout était de votre faute ici, je dis que quelqu'un avait déjà votre mot de passe. Et même si nous réfléchissons constamment à la sécurité et travaillons à la faire évoluer, nous n'avons vu aucune indication dans ces types de que des fuites d'informations ont eu lieu sur Xbox Live", m'a expliqué Toulouse.[Mise à jour] Les représentants d'EA ont répondu avant la publication de cet article. L'entreprise affirme travailler sur la situation. Une réponse détaillée d'EA et de Microsoft sera publiée demain.

Un email que j'ai reçu, me remerciant d'avoir joué à FIFA 12... c'est l'insulte à la blessure !

Un certain nombre d'amis chez Microsoft m'ont dit qu'ils étaient prêts à résoudre le problème pour moi en un rien de temps. Certains lecteurs m'ont contacté pour me faire savoir qu'ils attendaient depuis plus de 25 jours la réactivation de leur profil Xbox Live après avoir signalé des problèmes similaires. J'ai demandé à Microsoft de ne pas accorder de traitement préférentiel à mon compte. Il n'y a aucune raison pour que mon compte fasse l'objet d'une enquête plus rapidement que les autres. "En ce qui concerne le temps nécessaire pour récupérer, je vois que vous avez déjà récupéré votre compte et que vous êtes en contrôle. Ce n'est pas rare. Il s'agit donc de rembourser les achats de points. Dans de nombreux cas, cela ne prend que quelques jours." Toulouse me l'a dit. Là où la récupération de compte prend plus de temps, dit-il, c'est lorsqu'un attaquant modifie les détails du compte comme le mot de passe, la région, modifie les informations personnelles, achète les licences associées dans différentes régions, perturbe les listes d'amis, etc. « Ajoutez à cela le fait que des attaquants nous appellent constamment, prétendant être compromis afin de voir comment fonctionnent nos processus. Cela ne veut pas dire que nous ne devrions pas travailler plus dur pour que les gens soient opérationnels dans un délai plus court. temps, c’est juste beaucoup plus complexe que ce que les gens pensent. » Alors, si FIFA 12 est au cœur de cette attaque particulière, pourquoi Microsoft autorise-t-il l’existence de fonctionnalités comme celle-ci ? "Nous travaillons en étroite collaboration avec les équipes anti-fraude des éditeurs qui activent des contenus comme FIFA dans leurs jeux. Il s'agit d'un paysage de menaces en constante évolution." À cet égard, cette attaque est extrêmement sophistiquée. Les attaquants ont trouvé un fossé entre deux entités corporatives, où Microsoft évite de blâmer la fonctionnalité de jeu d'EA, tandis qu'EA peut simplement dire que c'est le système de Microsoft qui rencontre des problèmes. De plus, les mêmes problèmes ne semblent pas se produire sur PlayStation 3, où FIFA 12 est également disponible. Les attaquants utilisent FIFA 12 et Xbox Live pour blanchir de l'argent. "En ce qui concerne les transactions de licence, je suis sûr que vous comprendrez que je ne peux pas en discuter, mais il suffit de dire que les deux parties travaillent ensemble pour garantir que les attaquants ne profitent pas", a déclaré Toulouse.

Certains des frais liés à mon compte lors de cette arnaque, saignant à sec mes MS Points.

Selon Toulouse, les attaquants peuvent faire davantage pour ralentir le processus ; cependant, partager des détails avec la presse peut profiter aux attaquants eux-mêmes. "Même si vous, et même moi, aimerions que nous soyons plus détaillés, tout ce que je pourrais dire qui clarifie ce qui prend plus de temps serait utilisé pour nuire aux clients. Si je dis que la récupération d'un compte prend plus de temps à cause de x, y , et z, alors xyz devient exactement ce que fait chaque attaquant. Autant que je l'ai déjà dit sur ce qui rend cela plus long, il y a beaucoup de choses que je n'ai pas dit. Ceci n’est que le cœur du problème. Demain, nous détaillons les solutions aux problèmes, à savoir EA et Microsoft qui tentent de résoudre ce problème.

Xav de Matos était auparavant journaliste de jeux créant du contenu chez Shacknews.