Nintendo a enfin chiffré le nombre de comptes hackés. Dans un communiqué relayé par plusieurs médias anglophones, l’entreprise japonaise chiffre à « environ 160 000 » le nombre de tentatives de piratages réussies. L’éditeur sort de son silence ce 24 avril, alors que nous avons relevé de premiers cas de piratages dès le début du mois.
Nintendo ne donne qu’une précision supplémentaire sur la faille : elle serait liée au Nintendo Network Identification Number (NNID). L’entreprise affirme que les identifiants et mots de passe ont été « obtenus illégalement par d’autres biais que [son] service », et décline ainsi la responsabilité de la faille.
160 000 comptes Nintendo ont été piratés // Source : Wallpaper Flare
Peu après ce communiqué à l’échelle mondiale, Nintendo France a publié en second communiqué. L’entreprise précise que les utilisateurs concernés par le piratage seront avertis par email (il s’agit d’une obligation légale encadrée par le RGPD). De plus, elle a déjà réinitialisé les mots de passe des « utilisateurs pour lesquels nous avons des raisons de croire qu’une connexion non autorisée à leur compte a pu avoir lieu ».
Pour finir, le communiqué confirme que Nintendo n’envisage de divulguer des détails sur ce hack : « pour la suite de l’enquête, et afin de décourager les futures tentatives de connexions non autorisées, nous ne ne révélerons aucune autre information sur les méthodes employées pour obtenir un tel accès frauduleux. »
Perte d’argent et fuite de données personnelles
Les pirates ont utilisé cette vulnérabilité pour utiliser les comptes PayPal et les comptes bancaires liés aux comptes Nintendo, notamment pour acheter de la monnaie virtuelle sur Fortnite. Parmi les victimes avec qui nous avons discuté, les pertes vont de quelques dizaines à plus de 200 euros.
Mais ce n’est pas tout : ils ont pu également avoir accès à plusieurs données personnelles : surnom, date de naissance, pays/région, adresse email. Combiné avec le mot de passe et l’identifiant qui ont servi au hack, il s’agit d’un cocktail explosif. Nous vous invitons à changer vos mots de passe et à activer la double authentification sur tous vos comptes si vous êtes concernés.
Pas de double vérification sans smartphone
Le groupe ne précise pas explicitement si le problème est désormais résolu, et invite ses clients à activer la double authentification. Une dizaine de jours avant ce communiqué, il avait déjà fait la promotion de cette fonctionnalité sur ses réseaux sociaux.
Malheureusement, Nintendo ne propose qu’un seul second moyen d’authentification : Google Authenticator. Il faut donc posséder un smartphone pour activer la double vérification, ce qui n’est pas le cas de tous les joueurs, notamment les plus jeunes.
La question du remboursement toujours en suspend
Dans son communiqué, Nintendo précise : « s’il s’avère que le compte Nintendo d’un client a subi des dommages, tels qu’un historique d’achat dont le client ne se souvient pas, en rapport avec la connexion non autorisée, la société enquêtera individuellement sur la question et prendra des mesures, telles que l’annulation de l’achat. » Le groupe mentionne des transactions sur le Nintendo Store et sur sa boutique en ligne, mais n’évoque pas le cas des V-bucks de Fortnite, cas le plus répandu.
Parmi la quinzaine de victimes que nous avons interrogée, une majorité ne s’est pas fait rembourser le vol par PayPal, mais certaines y sont parvenues. Numerama a contacté le service de paiement pour connaître leur position officielle, et nous attendons leur retour.
Article mis à jour à 15h30 avec le communiqué de Nintendo France
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
