Les cyberattaques visant les jeux mobiles, le nouveau fléau

C'est un nouveau fléau qui a pris de l'ampleur, en particulier ces derniers mois. Les jeux mobiles, ce marché dont l'agence Newzoo prévoit qu'il pèsera 52 % des 175 milliards de dollars de revenus mondiaux du jeu vidéo en 2021, sont rattrapés par les cyberattaques.

Jusqu'à présent, celles-ci se focalisaient sur les géants des jeux sur consoles et PC comme Capcom, Electronic Arts ou encore CD Projekt. Mais plus il prend de l'importance, plus le marché des jeux pour smartphones devient une cible. C'est le constat dressé par le récent rapport « Pandémie et jeux vidéo » de la firme Akamai . « C'est un énorme secteur et donc une énorme cible pour les criminels », justifie Steve Ragan, auteur de l'étude. Surtout, les studios de jeux mobiles sont touchés « parce que c'est dans la nature de ces jeux. Ils reposent énormément sur le trafic de données, ce qui signifie qu'il y a un serveur quelque part qui peut être attaqué », abonde l'auteur.

Comme pour les plus gros éditeurs de jeux, les pirates peuvent utiliser leurs attaques pour avoir accès aux données du jeu, mais aussi lancer des rançongiciels. Car même s'il s'agit de plus petites structures sans revenus importants, « le but des pirates sera toujours financier, d'une manière ou d'une autre », estime Steve Ragan.

L'étude donne pour preuve une attaque par déni de service (DDoS) particulièrement virulente menée en mars 2020 contre un éditeur de jeux mobiles, similaire à celles perpétrées contre des entreprises de plus grande envergure.

Jeu inaccessible

Ce type d'attaque, qui consiste à empêcher l'accès à un service en l'échange d'une rançon, est un réel risque, estime Arnaud Moreau, directeur général du studio carcassonnais Acute Games. Leur principal jeu, « Urban Rivals », repose sur des achats intégrés réalisés via PayPal. « Ce qui peut se passer, c'est qu'un de nos prestataires de services puisse être victime de ces attaques. Si PayPal est touché, les achats ne peuvent pas se faire et cela impacte notre chiffre d'affaires. »

Pour autant, les menaces ne sont pas toujours aussi graves. « Il arrive que des bases de données soient accessibles en ligne, comme des informations sur la progression des joueurs, mais ce ne sont pas des informations sensibles et les données sont agrégées et non nominales », cite, en exemple, Stéphane Baudet, responsable de The Tiny Digital Factory , studio basé à Villeurbanne. Le dirigeant fait confiance à ses partenaires, Amazon et Microsoft, qui stockent ses données dans leurs serveurs - bien qu'ils ne soient pas à l'abri d'attaques.

D'autres sont encore moins inquiets, comme Daniel Nathan, PDG de la boîte parisienne Homa Games. « Je ne pense pas que l'on soit une cible idéale pour les hackers, comme nous ne collectons aucune donnée de joueurs. Si on nous pirate, il n'y aura pas grand-chose à prendre », estime-t-il.

Les joueurs aussi concernés

Au-delà des éditeurs et développeurs, ce sont désormais les joueurs sur mobiles qui sont victimes de cyberattaques. Beaucoup de ces jeux ont pour particularité d'inclure des achats intégrés aux applications (quand un joueur veut s'offrir des costumes pour son personnage ou des bonus, par exemple). Le joueur doit donc transmettre ses coordonnées bancaires pour réaliser ces achats. Il devient alors une cible de choix pour des pirates.

Le rapport d'Akamai prend pour exemple le site Codashop, spécialisé dans les achats intégrés. Ce site a déjà été victime de pirates qui usurpent l'identité de la page pour soustraire des informations aux joueurs.

Lorsque ces achats sont réalisés via l'App Store ou le Play Store, les risques sont moindres étant donné que les plateformes laissent un délai pour être remboursé.

Mais Steve Ragan recommande de rester vigilant : « Les pirates chercheront toujours à contourner les défenses. C'est une bataille constante entre assaillants et défenseurs. »