Des cybercriminels désactivent les antivirus grâce à l’anti-triche d’un célèbre jeu vidéo
Ce contenu est réservé aux abonnés La Tribune
Photo d'illustration
Google Play Store
Ce contenu est réservé aux abonnés La Tribune
Photo d'illustration
Google Play Store
Et si un outil créé pour empêcher les abus était détourné pour lancer des cyberattaques ? Dans un rapport, les chercheurs de l'entreprise de cybersécurité Trend Micro expliquent comment des hackers exploitent l'outil anti-triche du jeu Genshin Impact (plus de 60 millions de joueurs sur PC, consoles et smartphones) pour désactiver les antivirus présents sur les ordinateurs de leurs victimes.
Autrement dit, les malfaiteurs ont récupéré le programme dans les fichiers du jeu vidéo, et l'ont intégré à leur propre logiciel malveillant. Ils n'ont donc pas besoin que la victime ait installé Genshin Impact sur son ordinateur (ce qui serait improbable dans un cadre d'entreprise par exemple) pour la compromettre. Cet épisode confirme les craintes répétées du secteur de la cybersécurité concernant les logiciels anti-triche des jeux vidéo, qui disposent de privilèges d'accès très élevés sur les systèmes informatiques, et peuvent donc être détournés à des fins malveillantes.
Au centre de l'histoire se trouve un programme nommé « mhyprot2.sys », dont l'usage initial consiste à bloquer les programmes de triche sur Genshin Impact. Ce genre d'outil couramment utilisé dans l'industrie est installé par défaut. Concrètement, il observe ce qu'il se passe sur le système d'exploitation à la recherche de programmes de triche. Son utilisation fait d'autant plus sens sur Genshin Impact car il s'agit d'un jeu en ligne qui inclut de nombreuses micro-transactions. L'anti-triche permet donc d'éviter des frustration entre les joueurs ainsi que le détournement de contenu virtuel à haute valeur financière.
À lire également
Pour remplir son rôle de vigie, mhyprot2.sys dispose d'un haut niveau d'accès à certaines parties du système d'exploitation, c'est-à-dire à des couches logicielles profondes. Problème : mhyprot2.sys contient une vulnérabilité, connue depuis 2020. Grossièrement, lorsqu'elle est exploitée, elle permet à des hackers d'obtenir un accès aux couches logiciels profondes et d'ainsi lancer des programmes en outrepassant toutes les protections situées sur la couche supérieure. En juillet 2021, un chercheur avait d'ailleurs publié une preuve de concept dans laquelle il transformait l'outil anti-triche en un logiciel malveillant capable d'accéder au kernel (le cœur de Windows, qui gère les ressources du processeur). Mais la vulnérabilité n'avait pas été corrigée par HoYoverse, l'entreprise chinoise qui développe Genshin Impact. L'attaque découverte par Trend Micro aurait donc pu être évitée.
« Affaire Doctolib » : pas de vente de données aux géants américains, mais un modèle d'hébergement à clarifier
Anthropic veut instaurer une « pédale de frein » dans la course mondiale à l’IA
« Anticiper le coût du token sur cinq ans, c’est impossible » : les entreprises face à l'explosion de la facture de l'IA
IA : la douche froide Broadcom fait vaciller les stars européennes des semi-conducteurs