Une vulnérabilité dans le jeu « Counter-Strike 2 » permettait d’obtenir les adresses IP des participants. Valve est intervenu rapidement pour résoudre ce problème afin d’éviter des incidents de piratage parmi les utilisateurs.

Le jeu « Counter-Strike 2 », bien qu’étant encore en phase de développement, a rencontré quelques problèmes techniques potentiellement dangereux. L’un de ces problèmes était une vulnérabilité d’injection HTML qui permettait aux pirates d’accéder aux adresses IP des utilisateurs. Cette vulnérabilité a été résolue par l’éditeur du jeu, Valve.

Une vulnérabilité qui a débuté par quelques plaisanteries dans Counter-Strike 2…

L’interface utilisateur du jeu, nommée Panorama UI et développée par Valve, utilise du CSS, du HTML et du JavaScript pour la mise en page. Les développeurs ont la possibilité de créer des champs de saisie qui peuvent accepter du code HTML. Récemment, un nombre croissant de joueurs ont signalé que certains participants utilisaient une vulnérabilité d’injection HTML pour insérer des images dans le panneau de vote, qui est utilisé pour exclure les utilisateurs perturbateurs.

Cette vulnérabilité a été utilisée pour partager des mèmes et des images humoristiques dans le but de divertir les coéquipiers et les adversaires. Cependant, cette vulnérabilité pouvait être exploitée à des fins moins innocentes. Le 11 décembre, Valve a publié un correctif de seulement 7 Mo qui transforme tout code HTML injecté pour empêcher les utilisateurs d’afficher des images pendant une partie. Par conséquent, ce n’est plus l’image qui est affichée, mais son code, sous forme textuelle.

… qui permettait cependant d’accéder aux adresses IP des utilisateurs

En réalité, cette vulnérabilité aurait pu être beaucoup plus sérieuse. Au début, on pensait qu’il s’agissait d’une vulnérabilité Cross Site Scripting (XSS) qui permet d’exécuter des programmes en JavaScript sur les ordinateurs des utilisateurs, ce qui aurait grandement augmenté les risques. Finalement, il s’est avéré qu’il s’agissait d’une injection HTML, qui permet d’afficher des images.

En utilisant la balise pour afficher des images, des hackers ont pu « lancer un script d’enregistrement IP à distance qui a permis de recueillir l’adresse IP de chaque joueur ayant vu le vote », rapporte Bleeping Computer. Avec une adresse IP, il est possible de lancer une attaque DDoS, ou attaque par déni de service, qui consiste à saturer les demandes vers un ordinateur afin de le rendre dysfonctionnel. De quoi déconnecter les joueurs d’une partie de « Counter-Strike 2 ».

Articles Relatifs :

Phishing : Top 5 techniques les plus courantes. Qu’est-ce que Blackhat ? Explication et détails. Nockee start-up lance une solution de gestion pour les locations immobilières Bénéficier d’une bonne couverture Internet dans une maison : Comment faire ?