Adrian Stone, directeur principal, Sécurité des produits EA
Nous avons récemment lancé notre Programme de signalement des vulnérabilités en matière de sécurité des produits sur le site Web Sécurité EA. Jusqu’ici, l’aventure a été incroyablement enrichissante et a été une leçon d’humilité, et nous voulons remercier les chercheurs de la communauté de sécurité qui se sont joints à nous pour assurer la sécurité de nos joueurs, de nos jeux et de notre infrastructure. La collaboration avec les chercheurs continuera d’être un principe central alors que nous continuons d’investir et d’améliorer notre approche en sécurité liée à l’écosystème de jeu.
Alors, pour quelle raison suis-je en train de vous écrire?
Nous apprenons beaucoup de nos interactions avec la commauté de recherche en sécurité et étudions chaque rapport que nous recevons. Nous avons appris qu’il est important d’avoir une manière de communiquer avec la grande communauté de sécurité et nos joueurs intéressés aux problèmes d’ingénierie de sécurité. C’est pourquoi nous avons décidé de créer un nouveau mécanisme de communication, le blogue de sécurité EA. Nous développons également de nouvelles manières de communiquer avec les clients et nous mettrons le blogue à jour dès que ces services seront disponibles.
Je voudrais également faire un peu de publicité : vous êtes incroyables et nous embauchons! Nos équipes de sécurité d'EA s’occupent d’un large éventail de domaines liés à la sécurité, allant de la sécurité d'entreprise qui protège les systèmes contre les attaques et intrusions de logiciels malveillants, jusqu'à l'ingénierie de sécurité des produits qui assure la sécurité des jeux et des services en ligne d'EA pendant tout le cycle de développement. Bien sûr, les menaces évoluent et changent au fil du temps. Pour cela, nous avons des équipes d'intervention responsables de la sécurité d'entreprise et des produits, pour faire face aux menaces émergentes qui affectent l'entreprise ou nos joueurs.
Comme notre programme de rapports de vulnérabilité est encore à ses débuts, je voudrais vous faire part de deux questions qui reviennent très souvent.
1) Comment EA détermine-t-elle l’impact sur la sécurité?
Nous utilisons deux méthodes pour déterminer la sévérité d’un problème. La première méthode est ls système de pointage CVSS reconnu dans l’industrie. La deuxième est un classement à 4 niveaux avec une échelle allant de Critique à Faible. Le niveau le plus élevé, Critique, est réservé aux problèmes pour lesquels la vulnérabilité peut être exploitée avec peu ou pas d’interaction avec l’utilisateur. En cas de problème de sévérité Critique, un joueur ou son appareil peut être vulnérable aux attaques en utilisant une configuration par défaut et la vulnérabilité peut être exploitée par un attaqueur à distance sans qu’il en ait connaissance. Nous traitons ensuite les trois autres classements (Important, Modéré, Faible) en tenant compte des barrières qu’un attaquant doit franchir pour exploiter la vulnérabilité. Autrement dit, plus il est difficile pour un attaquant d’exploiter la vulnérabilité, moins la sévérité est élevée.
2) Comment EA classe-t-elle la sévérité des problèmes rapportés?
Pour le classement des impacts sur la sécurité, la réponse est simple : nous utilisons le modèle de sécurité STRIDE reconnu dans l’industrie. C’est un modèle de classement qui présente clairement l’impact d’une vulnérabilité. Lorsque nous recevons un rapport d’un problème de sécurité potentiel, la première étape de notre processus d’enquête est d’effectuer un triage. Si le problème demande une enquête approfondie, un ingénieur en sécurité doit collaborer avec les détenteurs de technologie d’EA pour traiter le problème. Un impact sur la sécurité et une sévérités sont attribués dans le cadre de l’enquête.
Je suis très excité de voir comment la collaboration avec la communauté peut aider l’écosystème de jeu global. Restez à l’écoute pour obtenir plus de détails.
- A
Adrian Stone