Ubisoft propose à ses utilisateurs d'activer la double authentification pour mieux protéger leur compte. Problème : elle ne s'active pas correctement sur tous les sites du groupe.

La double authentification des comptes Ubisoft a du plomb dans l’aile. Cette option de sécurité permet d’ajouter une seconde vérification, en plus du mot de passe, afin de se connecter à un compte. Devenue un standard pour de nombreux sites et applications, cette vérification en 2 étapes (aussi appelée 2FA) assure aux utilisateurs soucieux de la protection de leur compte une garantie supplémentaire.

Sauf que lorsqu’un des lecteurs de Cyberguerre a donné ses identifiants à son ami pour profiter d’une offre de jeux vidéo gratuits, elle ne s’est pas activée. Il attendait un email de la part d’Ubisoft avec le code d’authentification en théorie nécessaire à la connexion du magasin en ligne. Mais il n’est jamais arrivé : son ami était déjà connecté.

Point bon : Ubisoft propose la double authentification à ses utilisateurs. Mauvais point : elle ne se déclenche pas correctement. // Source : Capture d’écran du 29 juillet 2020

C’est à moindre mal, puisqu’il s’agissait d’un accès consenti. En revanche, si une personne malveillante s’était connectée à son compte, il n’en aurait pas été averti. De son côté, l’intrus aurait pu utiliser ses moyens de paiement préenregistrés, ainsi que ses Club Units, une monnaie virtuelle d’Ubisoft qui donne accès à des promotions. Il aurait également pu récupérer son adresse, son nom et son historique de commande, de quoi alimenter un phishing. « J’aurais apprécié un plus haut niveau de sécurité de la part d’une si grande entreprise », regrette notre lecteur, qui préfère rester anonyme.

Heureusement, la double authentification fonctionne correctement sur l’interface de gestion du compte. Un attaquant ne pourrait donc pas s’approprier le compte en changeant l’adresse email liée et l’identité de l’utilisateur. Mais ce défaut de la 2FA, cette fois sans conséquence pour notre source, rappelle qu’il ne faut pas accorder trop de confiance à ce standard de sécurité, et que même les grandes entreprises peuvent accuser des défauts grossiers.

La double authentification, un second verrou chargé de confiance

Activer la double authentification sur votre compte revient à mettre un deuxième verrou sur votre porte d’entrée. Si une personne dispose d’une seule de vos clés, par exemple vos identifiants, il ne pourra pas ouvrir la porte, car il lui faudra aussi obtenir la seconde clé. Dans le cas d’Ubisoft, cette clé est un code à 6 chiffres, envoyé au choix sur votre email ou généré par Google Authenticator grâce à un QR code.

Grâce à cette option de sécurité répandue, Ubisoft protège les utilisateurs qui l’activent contre les attaques les plus basiques. Par exemple, si un cybercriminel met la main sur vos identifiants dans une fuite de données (des centaines de milliers de données de ce genre sont dérobées chaque semaine), il pourra se connecter aux comptes qui n’ont pas activé la 2FA, dans le cas où vous utiliseriez un mot de passe similaire ou identique. Il se servira ensuite de cet accès pour utiliser vos moyens de paiement, lancer des phishing, ou récupérer des informations précieuses.

N’accordez pas trop de confiance à la double authentification

En revanche, si le compte est protégé par la 2FA, il devra trouver un moyen de mettre la main sur le second moyen d’authentification. Et généralement, les cybercriminels préfèrent aller au plus simple : pourquoi attaquer un compte protégé par 2FA quand d’autres ne le sont pas ? L’activation de cette option peut offrir un sentiment logique de sécurité aux utilisateurs, et les convaincre d’utiliser certaines fonctionnalités pratiques comme la sauvegarde de leurs adresses de facturation ou de leurs moyens de paiement.

Reste que les experts du secteur rappellent régulièrement qu’il ne faut pas surestimer la 2FA. Même si vous avez deux verrous sur votre porte, une personne extérieure peut toujours la défoncer au bélier, ou passer par la fenêtre grand ouverte. Et parfois, comme dans notre cas, le verrou peut avoir mal été fixé.

Les sites d’Ubisoft appellent la 2FA, mais elle ne vient pas

Cyberguerre a testé la 2FA de Ubisoft dans de nombreux cas de figure. Bilan : elle ne s’active pas sur plusieurs pages, comme celle du store, du site officiel, du forum ou encore du support. En revanche, elle protège bien l’espace de gestion du compte qui contient les informations et les fonctionnalités les plus importantes, ainsi que sur le client UPlay, la bibliothèque de jeux de l’entreprise.

La 2FA ne protège pas les modes de paiement et les adresses enregistrées sur le store. // Source : Capture d’écran sur le store d’Ubisoft le 28 juillet 2020.

Mais alors, qu’est-ce qu’il se passe ? Concrètement, chaque site intègre un formulaire externalisé (une « iFrame ») de connect.ubisoft.com, le service d’Ubisoft en charge des connexions, mais avec un identifiant (un « appID ») différent. C’est une pratique normale, mais qui semble poser problème par la suite.

Au moment où l’utilisateur envoie son mot de passe et son adresse email, les sites envoient une requête vers une interface (API) en charge de vérifier s’il faut lancer la double authentification ou non selon les paramètres du compte.

Problème : dans le cas du store ou du forum, cette requête n’obtient pas de retour de la part de l’API, ce qui signifie que les serveurs d’Ubisoft ne renvoient pas les signaux qu’ils devraient. Dans le cas de l’espace de gestion du compte en revanche, elle se lance correctement, et l’utilisateur doit rentrer le code à 6 chiffres.

Le service support de l’entreprise, prévenu du problème technique par notre source, a répondu, le 30 juillet, au bout de 14 jours et plusieurs échanges (sic) : « La meilleure solution dans votre cas et de changer votre mot de passe. Vous pouvez aussi essayer de désactiver le double facteur d’authentification et le réactiver. »

Nos tests au 30 juillet montrait que la double authentification ne marchait toujours pas correctement.

Contacté par Cyberguerre, Ubisoft a déclaré : « Ubisoft travaille constamment à l’amélioration de la sécurité de ses jeux et services, grâce à des équipes dédiées et au déploiement continu de fonctionnalités comme la vérification en 2 étapes, qui permet aux utilisateurs d’assurer une protection optimale de leur compte. La vérification en 2 étapes est actuellement disponible sur certains de nos services clé contenant des données personnelles, comme Uplay ou la page de gestion de compte utilisateur. Dans le cadre de nos efforts visant à sécuriser les comptes de nos joueurs, nous travaillons à déployer la vérification en 2 étapes sur plus de services Ubisoft à l’avenir, dont le store Ubisoft. »

Dois-je vraiment m’inquiéter pour la sécurité de mon compte Ubisoft ?

Si la double authentification d’Ubisoft ne fonctionne pas correctement, votre compte n’est pas pour autant en danger. En revanche, vous ne pouvez pas vraiment compter sur la 2FA, et vous pourriez donc faire encore plus attention.

  • Pour exploiter ce défaut de la 2FA, il faut déjà obtenir les identifiants du compte. Mais ce n’est pas chose facile, puisqu’Ubisoft empêche le « password spreading », une technique qui consiste à tester une liste de mots de passe pour se connecter à votre compte. Concrètement, si un cybercriminel veut tenter de deviner votre mot de passe — par exemple, en essayant d’autres mots de passe vous appartenant issus de fuites de données — il sera très vite limité. Après à peine 3 tentatives, Ubisoft demande de répondre à un Captcha, ce qui empêche l’automatisation de l’attaque.
  • Puisque la 2FA ne protège pas l’accès au store, nous vous déconseillons (encore plus) d’enregistrer vos moyens de paiement et vos adresses de facturation, même si vous perdez quelques minutes à chaque achat.
  • Même si la double authentification ne fonctionne pas correctement, nous vous conseillons de tout de même de l’activer en allant dans les paramètres de sécurité de votre compte. Même un verrou mal fixé est plus efficace que pas de verrou du tout.

Article initialement publié le 29 juillet 2020 à 16h, mis à jour le 29 juillet 2020 à 16h45, avec la réponse d’Ubisoft.

Partager sur les réseaux sociaux