Untitled Goose Game : une faille de sécurité aurait pu permettre aux pirates de faire des ravages

 
 
N’y a-t-il donc rien de sacré en ce bas monde ?
Le très populaire jeu vidéo “Untitled Goose Game” s’est révélé vulnérable à une attaque qui pourrait permettre à des pirates d’exécuter du code malveillant sur votre ordinateur.
“Untitled Goose Game”, qui permet aux joueurs de prendre le contrôle d’une oie facétieuse terrorisant des villageois peu méfiants, est considéré par certains comme l’un des jeux vidéo indépendants les plus divertissants de l’année et est disponible pour ordinateurs Windows, MacOS et console Nintendo Switch.
Et alors que nous découvrions les joies du cacardement (c’est le cri de l’oie) à outrance devant un vieil homme paisiblement assis dans son jardin, le jeu est rapidement devenu un phénomène viral chez les joueurs du monde entier.
 
COIN COIN !
 
Maintenant, avec la publication des détails d’une vulnérabilité dans la manière dont le jeu lit ses fichiers de sauvegarde, le terme “viral” pourrait presque prendre un sens littéral.
Denis Andzakovic, chercheur en sécurité chez Pulse Security, a découvert une faille d’exécution de code à distance dans «Untitled Goose Game» qui pourrait être exploité par des cybercriminels.
Selon Andzakovic, si un pirate réussissait à duper un joueur en chargeant un fichier de sauvegarde vérolé, la vulnérabilité pourrait être exploitée pour exécuter du code malveillant.
Une telle technique pourrait être utilisée pour installer d’autres logiciels malveillants ou espions sur l’ordinateur d’un fan de «Untitled Goose Game». Même si un tel fan n’aura pas forcément grand chose à voler sur son ordinateur infecté, préférant passer son temps à être une oie anti-sociale plutôt que d’aller au bureau…
Comme preuve de concept, le chercheur a pu créer un fichier de sauvegarde piégé pour le jeu qui, une fois chargé, exécutait Windows Calculator. Bien entendu, la charge utile pourrait facilement être modifiée pour lancer un programme bien plus dévastateur.
Heureusement, Andzakovic croit en la divulgation responsable et a informé House House – le développeur australien du jeu – du problème en octobre, et des correctifs pour le jeu ont été déployés.
 
 

 
Les versions 1.0.6 et ultérieures de «Untitled Goose Game» seraient corrigées contre cette vulnérabilité. Une semaine après la publication de la mise à jour 1.0.6, Andzakovic a rendu publiques ses conclusions.
Rien ne prouve que quiconque, à l’exception du chercheur en sécurité qui a découvert la faille, ait effectivement tenté d’exploiter cette vulnérabilité. Toutefois, ce type d’exemples de défaillances logicielles constituent un rappel salutaire à tous les développeurs et une invitation à réfléchir soigneusement à la manière dont un pirate pourrait exploiter les faiblesses de leur code et potentiellement compromettre l’ordinateur des personnes qu’ils tentent de divertir.
 
COIN COIN !