Collaboration avec des spécialistes externes de la sécurité

Par Adrian Stone, directeur général, Sécurité des produits EA

10 décembre 2019

Une version mise à jour du client Origin a été publiée aujourd’hui pour résoudre une vulnérabilité de sécurité précédemment détectée.  Dans certaines circonstances particulières, le problème aurait pu permettre à un utilisateur valide, disposant d’autorisations limitées, d’accéder à un niveau d’accès privilégié sur des ordinateurs sur lesquels Origin est installé.

La mise à jour est déjà en ligne à l’intérieur du client Origin, et elle peut aussi être téléchargée directement ici. Tout au long de notre enquête et de l’élaboration de la mise à jour, nous n’avons trouvé aucune preuve indiquant que la vulnérabilité aurait été utilisée.

Cette situation nous a été signalée au départ par l’entremise de notre programme de signalement de vulnérabilité de sécurité de produits (Product Security Vulnerability Submission program). Nous tenons à remercier Vassili Kravetz de AMonitoring et Matt Nelson d’avoir travaillé en étroite collaboration avec nous tout au long de notre enquête et de l’élaboration du correctif, conformément aux pratiques en matière de divulgation coordonnée des vulnérabilités (Coordinated Vulnerability Disclosure).

Nous avons publié un Avis de sécurité comportant des détails supplémentaires sur la vulnérabilité et un article d’aide qui décrit la mise à jour plus en détail.

Il s’agit d’un problème très spécifique et nous avons vu que ce problème touchait d’autres intervenants de l’industrie du jeu. Ainsi, nous avons pensé qu’il valait la peine de partager quelques informations supplémentaires sur la façon dont cela s’est produit.

Puisqu’un grand nombre des joueurs d’Origin sur PC construisent leur ordinateur de jeu ou utilisent des ordinateurs portables haut de gamme, le client Origin a été conçu en tenant pour acquis que tous les utilisateurs voudraient un contrôle administratif complet de leur système en tout temps. Depuis, la norme de l’industrie a commencé à changer. De plus en plus de personnes, y compris certains joueurs, utilisent leur ordinateur en tant qu’utilisateurs standard « à accès limité ».  Et certains peuvent créer des comptes à accès limité pour d’autres utilisateurs, afin de partager leur système avec plus d’une personne. Cette pratique, appelée « droit d’accès minimal » dans le monde de la sécurité, contribue à limiter l’impact des éventuels problèmes de sécurité, s’ils devaient se présenter. Les vendeurs de systèmes ont récemment commencé à reconnaître ce changement et ont apporté des modifications aux systèmes d’exploitation pour tenir compte de cette évolution.

Pour tenter d’exploiter cette vulnérabilité, un pirate devrait se connecter à l’ordinateur à partir d’un compte utilisateur valide sans droits d’administrateur. Il devrait ensuite installer un programme spécialement conçu, ou exécuter un code qui modifie une partie du logiciel afin d’obtenir un niveau d’accès élevé.

La grande majorité des utilisateurs actuels d’Origin possèdent déjà un accès de niveau administrateur et leur compte utilisateur est le seul présent sur l’ordinateur (le nombre d’utilisateurs sans accès de niveau administrateur est inférieur à 5 % de tous les utilisateurs Origin). Cela rend l’exploitation de la vulnérabilité improbable pour la plupart des utilisateurs, car elle n’entraînerait pas d’accès ou de privilèges supplémentaires.

Bien que le problème n’ait été réel que pour un petit nombre de joueurs ayant installé le client Origin, la sécurité de tous nos utilisateurs est très importante pour nous. Nous sommes donc heureux d’avoir résolu ce problème grâce à la mise à jour d’aujourd’hui, avec l’introduction du mode accès restreint. Nous nous engageons également à améliorer notre approche à l’égard du principe de droits d’accès minimal pour Origin et du mode accès restreint dans nos versions futures, à la lumière des connaissances que nous avons acquises. Des interactions positives comme celle-ci entre la communauté des spécialistes en sécurité et les éditeurs de jeux placent la barre plus haut pour tout le monde en matière de sécurité.