Fortnite Android : Une faille de sécurité identifiée par Google, Epic répond
Un bogue dans le programme d’installation de Fortnite pour Android a apparemment laissé une vulnérabilité aux attaques de type « man in the disk » pendant des semaines. Ou du moins jusqu’à ce qu’ils soient mis à jour vers la dernière version du programme d’installation. Et tandis que Epic et Google se congratulent pour l’action rapide de l’autre, le PDG d’Epic, Tim Sweeney, n’a pas manqué l’occasion de remercier Google pour ne pas avoir enfreint ses propres politiques de divulgation de vulnérabilité.
Pour être clair, l’application fautive n’est pas Fortnite pour Android lui-même, mais Fortnite Installer pour Android. Cet utilitaire est nécessaire pour télécharger le jeu sur les serveurs d’Epic et doit être installé séparément. Il est également nécessaire de le conserver installé pour mettre à jour Fortnite lui-même. Comme l’ont découvert certains des premiers testeurs.
L’installeur de Fortnite en cause, une attaque de type «man in the disk»
Malheureusement, l’application du programme d’installation contient un bogue qui active ce que l’on appelle une attaque de type «man in the disk». Un cousin de l’attaque populaire de Man-in-the-Middle (MitM), cela signifie que certains logiciels malveillants installés sur les périphériques peuvent surveiller le programme d’installation de Fortnite lorsqu’il doit télécharger Fortnite, détourner la connexion et la forcer à télécharger quelque chose d’autre. Le programme d’installation de Fortnite pourra alors installer un autre logiciel, pour ensuite lui attribuer les autorisations Android nécessaires. Compte tenu de la manière dont le système fonctionne dans ce cas particulier, ni l’utilisateur, ni Fortnite Installer lui-même ne le sauront.
Cependant, il y a de bonnes nouvelles, bien sûr. Premièrement, cette MitD exige que le logiciel malveillant «dormeur» soit déjà installé sur l’appareil. La bonne nouvelle est que Google a signalé la vulnérabilité à Epic avant de la rendre publique et Epic Games a rapidement été en mesure de le réparer et de mettre à jour.
Tim Sweeney, PDG d’Epic Games, accuse Google d’avoir divulgué la faille trop tôt
Vous pensez que tout s’arrête là. Mais Tim Sweeney, PDG d’Epic Games, tout en reconnaissant le rapport de bogue de Google, n’a pas hésité à accuser Google d’avoir divulgué la vulnérabilité dans les 7 jours. Voici la déclaration de Sweeney à Android Central:
« Epic a vraiment apprécié les efforts de Google pour réaliser un audit de sécurité approfondi de Fortnite immédiatement après notre sortie sur Android. Et partager les résultats avec Epic. Afin que nous puissions rapidement publier une mise à jour pour corriger la faille découverte.
Cependant, il était irresponsable de la part de Google de divulguer publiquement les détails techniques de la faille si rapidement. Alors que de nombreuses installations n’avaient pas encore été mises à jour et étaient toujours vulnérables.
À ma demande, un ingénieur en sécurité d’Epic a demandé à Google de retarder la publication des données aux 90 jours habituels pour permettre à la mise à jour d’être plus largement installée. Google a refusé.
Vous pouvez tout lire à l’adresse https://issuetracker.google.com/issues/112630336.
Les efforts d’analyse de sécurité de Google sont appréciés et profitent à la plate-forme Android. Cependant, une entreprise aussi puissante que Google devrait respecter un calendrier de divulgation plus responsable. Afin de ne pas mettre en danger les utilisateurs de Fortnite.«
Certains pourraient accuser Google d’avoir harcelé Epic
Alors que certains, comme Sweeney, pourraient accuser Google d’avoir harcelé Epic suite à la non utilisation du PlayStore. Google répond qu’il suivait simplement ses propres règles. Compte tenu de l’impact de cette vulnérabilité, Google l’a qualifié d’exploitation 0 jour (zéro jour). Et le délai était donc de 7 jours au lieu des 90 jours habituels. Il y a un certain sens de l’ironie qu’Epic demande un traitement spécial dans cette affaire. Heureusement, Fortnite n’est pas encore largement disponible sur Android, du moins pas officiellement.
A lire aussi :
