Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

La sécurité des jeux massivement multijoueurs (MMO)


Le monde merveilleux des MMO


Les MMO (Massively Multiplayer Online Games, jeux massivement multijoueurs en ligne) sont des jeux 100% orientés réseau permettant de jouer à plusieurs sur un serveur. Il n'est pas rare qu'un serveur de jeu MMO supporte plusieurs milliers de joueurs en même temps.
Ces joueurs se retrouvent dans un monde virtuel dont l'intérêt premier est de faire évoluer son personnage, généralement en tuant des monstres ou en effectuant des quêtes. Les plus célèbres MMO sont World Of Warcraft (WoW), Guild Wars, Star Wars The Old Republic, World of Tanks, et bien d'autres...
Mais ce monde virtuel n'est pas sans risque, et des hackers et autres escrocs ont trouvé comment augmenter leur compte en banque.

D'une économie virtuelle à une économie réelle


Dans ce monde virtuel, il existe une économie permettant d'acheter des objets aux marchands ou à d'autres joueurs. Certains de ces objets virtuels sont tellement rares qu'ils valent souvent plusieurs millions de monnaie "locale" dans le jeu. Cela attise les convoitises.
D'autre part, certains jeux basent leur succès commercial sur le fait que les joueurs peuvent acheter de la monnaie virtuelle ou des objets virtuels avec de vrais euros ou dollars : c'est le cas pour Archlord ou SRO.
Il n'est donc pas étonnant que le cumul argent + jeu online devienne la proie des pirates dont le désir lucratif est évident. Mais quelles sont les techniques de ces pirates pour gagner de l'argent avec ces jeux ?

Comment gagner de l'argent avec un MMO ?


Il existe plusieurs techniques complètement différentes pour qu'une personne malhonnête puisse gagner de l'argent. En voici quelques unes :

Vendre un personnage avec un très bon niveau dans le jeu


Avoir un personnage au niveau de compétence et d'expérience maximum dans un jeu est synonyme de milliers d'heures passées à jouer. Certains joueurs sont donc tentés d'acheter un personnage "tout fait" pour éviter toutes ces heures à jouer.


Une annonce de vente de compte comportant plusieurs personnages
(WTS = Want to Sell, et ACC = Account)



Un acheteur potentiel

L'utilisation des bots


"Bot" signifie robot. Concrètement c'est un programme qui s'exécute en même temps que le MMO et qui fait exécuter des actions à votre personnage à votre place. Vous pouvez donc déléguer la maîtrise de votre personnage à un bot pendant que vous dormez, ou que vous n'êtes pas chez vous. Votre personnage progressera donc 24h/24, et vous aurez donc un personnage de niveau maximum plus rapidement que les autres joueurs. Plus rapide à atteindre le niveau maximum signifie plus tôt à le vendre.


Un exemple de bot

Le vol de compte


Le moyen le plus rapide pour avoir un personnage de haut niveau est de voler le compte d'un autre joueur ! Impossible ? Cela est certainement plus facile qu'il n'y parait : Il existe au moins cinq moyens :

La découverte du login et mot de passe de la victime



La plupart de joueurs sont de jeunes personnes qui ne sont pas spécialement sensibilisées à la robustesse d'un mot de passe. Certains mots de passe sont faciles à deviner. Quant au login utilisé c'est souvent le nom du personnage principal du compte, par manque d'imagination !

L'utilisation d'un keyloggeur sur le PC de la victime



Certains bots comportent un keylogger piégeant toutes les frappes de clavier. Le joueur voulant tricher et utiliser un bot peut parfois voir des objets qui disparaissent ou carrément voir son compte modifié.

L'utilisation d'une faille sur le serveur ou dans le processus d'authentification du joueur



C'est extrêmement rare, mais cela peut toujours arriver.

La recherche du mot de passe d'un compte sur un autre serveur



La plupart des joueurs se regroupent en équipes, ou guildes afin de coordonner leurs efforts, et se retrouver plus facilement. Ces équipes sont souvent créées autour d'un forum sur un site web, afin d'y expliquer des astuces et dialoguer avec les autres membres. Or, de nombreux membres utilisent les mêmes login et mot de passe sur le forum de leur équipe et leur compte de jeu. Malheureusement, un forum créé par un adolescent est en général peu ou mal protégé et il n'est pas impossible de récupérer les logins et mots de passe du forum. Dans ce cas, le pirate testera chaque couple login / mot de passe volé dans l'interface d'authentification du jeu.

Le power leveling



Le power leveling est un moyen qui, moyennant finances, permet de monter très vite de niveau. Il suffit pour cela de confier son compte de jeu à une tierce personne ou société. Cette tierce partie va vous facturer le temps passé sur le jeu. C'est le pire scénario en terme de sécurité : le joueur donne, en toute connaissance de cause, son login et mot de passe à un tiers !


Services de powerleveling d'une société

Vendre de la monnaie ou items virtuels


Une technique consiste à vendre de la monnaie virtuelle contre de l'argent bien réel. Certains objets virtuels sont tellement rares qu'ils peuvent changer de propriétaire dans le monde réel, moyennant finances bien entendu.


Or virtuel contre vrai argent.

Abuser de la crédulité des joueurs


La plupart des joueurs que nous connaissons dans ces jeux sont très jeunes. Certains ne sont même pas majeurs. Ils sont très faciles à influencer. Il est possible, après plusieurs jours de mise en confiance, de leur faire dire leur mot de passe, voir plus grave encore, de leur soutirer leur numéro de carte de crédit ou compte paypal. Certains pirates vont même jusqu'à se faire passer pour des Maîtres de Jeu (GM en anglais, ce sont les administrateurs du jeu) souhaitant effectuer une transaction par exemple.

Contre mesures

Vendre un objet virtuel est-il légal ?


Pour vendre un objet, selon la loi, il faut en être propriétaire. Or peut-on être propriétaire d'un objet virtuel ? Peut-on légitimement prouver qu'on le possède vraiment ? Ce flou juridique dans la plupart des pays n'empêche pas les personnes de mettre aux enchères des objets virtuels. Début 2007, eBay a déclaré illégale ce type de vente et refuse de diffuser ce type d'annonces. Mais la plupart des sites de vente en ligne ou de forums ne font pas de même.

Les bots : des programmes indésirables !


Certains antivirus détectent la présence de bot sur votre ordinateur. Mais tous ne le font pas. Il serait temps que ces derniers soient considérés comme des malwares ou potentiellement indésirables, d'autant que, comme on l'a vu, certains renferment des keyloggers ou autres surprises.

Responsabilisation des éditeurs


Certains éditeurs font la chasse aux tricheurs, personnes malhonnêtes ou bots. Mais d'autres non. Ce laxisme reflète souvent l'impunité des fraudeurs. Il serait certainement plus judicieux de mettre en place une équipe proactive dans le domaine de la fraude. Des experts en audits sont prêts à intervenir.

La sensibilisation


Ce n'est pas propre aux jeux en ligne, mais les règles sont toujours les mêmes en ce qui concerne le choix et l'utilisation d'un mot de passe :

Arnaud Jacques
10 Février 2008

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com