Collaboration avec des experts externes en sécurité

Adrian Stone, Directeur senior sécurité des produits EA

10 décembre 2019

Une nouvelle version du client Origin a été mise à disposition ce jour pour corriger une faille de sécurité identifiée. Dans certaines circonstances, le problème aurait pu permettre à un utilisateur valide bénéficiant d’autorisations restreintes d’obtenir un accès complet aux ordinateurs sur lesquels Origin est installé.

La mise à jour est déjà disponible dans le client Origin et peut également être téléchargée directement ici.  Tout au long de notre enquête et du développement de la mise à jour, nous n’avons trouvé aucune signe indiquant que cette vulnérabilité ait été exploitée.

Le problème nous a été signalé par le biais de notre Programme de signalement des failles de sécurité produit. Nous tenons à remercier Vasily Kravetz de AMonitoring et Matt Nelson pour leur collaboration tout au long de notre enquête et du développement du correctif conformément aux principes de la Divulgation coordonnée des vulnérabilités.

Nous avons publié un Avis de sécurité contenant des informations supplémentaires relatives à la vulnérabilité et un article d’assistance décrivant la mise à jour plus en détail.

Il s’agit d’un problème très spécifique qui affecte d’autres acteurs de l’industrie vidéoludique.  Par conséquent, nous avons pensé qu’il était souhaitable de diffuser quelques informations supplémentaires sur son origine.

Étant donné que de nombreux joueurs sur PC utilisent un PC de jeu personnalisé ou un ordinateur portable puissant, le client Origin a été conçu en partant du principe que tous ses utilisateurs seraient équipés de machines perfectionnées et souhaiteraient bénéficier d’un contrôle total et permanent sur leur système.  Depuis, la norme industrielle a commencé à changer. D’autres personnes, dont certains joueurs, utilisent leur ordinateur en tant qu’utilisateur standard aux autorisations limitées.  Certains créent également des comptes pour d’autres utilisateurs restreints afin de partager un système avec plus d’une personne. Cette pratique, appelée "principe de moindre privilège" dans le domaine de la sécurité, permettrait de limiter l’impact des problèmes de sécurité potentiels s’ils se produisaient. Les développeurs de systèmes d’exploitation ont commencé à identifier ce changement récemment et ont apporté des modifications à leur système d’exploitation afin d’en tenir compte.

Si un assaillant avait voulu exploiter cette vulnérabilité, il aurait dû se connecter à l’ordinateur avec un compte utilisateur non administrateur valide. Il aurait ensuite dû installer un programme spécifique ou exécuter un code modifiant certaines parties du logiciel pour bénéficier d’un accès total.

La grande majorité de nos utilisateurs Origin actuels disposent déjà d’un accès administrateur et utilisent le seul compte utilisateur de leur machine (le nombre d’utilisateurs sans accès administrateur est inférieur à 5 % de notre base d’utilisateurs Origin totale). Cela rend l’exploitation de la vulnérabilité peu probable pour la plupart des utilisateurs, car elle ne permettrait pas d’obtenir des privilèges supplémentaires.

Même si le problème n’existait que pour un petit nombre de joueurs ayant installé le client Origin, la sécurité de chacun de nos utilisateurs est essentielle pour nous et nous sommes ravis d’avoir corrigé cette vulnérabilité avec la mise à jour d’aujourd’hui, qui ajoute le mode d’accès restreint. Nous tenons également à améliorer dans les prochaines versions notre approche des principes de moindre privilège pour Origin et pour le mode d’accès restreint en nous basant sur les informations que nous avons acquises. Ce type d’interactions positives entre la communauté de recherche en sécurité et les éditeurs de jeux améliore la sécurité de chacun.