D’après les confrères d’ArsTechnica, plusieurs versions de Minecraft, le jeu vidéo le plus vendu de l’histoire, sont victimes d’une importante faille de sécurité.
Selon les informations de Spigot, un forum spécialisé, une brèche a été repérée dans les versions allant de 1.8.8 à 1.18. Rapidement, l’information a été relayée par des médias spécialisés, comme Hypixel.
Le média encourage les joueurs Minecraft à rester prudent face au risque accru de piratage. « Le problème peut permettre un accès à distance à votre ordinateur via les serveurs auxquels vous vous connectez. Cela signifie que tout serveur public sur lequel vous vous connectez risque d’être piraté », explique Hypixel.
Les pirates utiliseraient les messages instantanés du chat pour exécuter du code à l’insu des internautes. On recommande aux joueurs de prendre des précautions sur des serveurs ou des internautes inconnus. Cependant, l’exploitation de cette vulnérabilité ne semble pas à la portée du premier pirate venu.
Apparemment, la faille est apparue dans Log4j, un utilitaire de journalisation basé sur Java extrêmement populaire. Distribué sous la licence Apache Software, cet API est intégré à de nombreux cadres d’application web, comme Apache Struts2, Apache Solr, Apache Druid et Apache Flink.
De facto, des millions d’applications et de services en ligne se basent sur Log4j. Théoriquement, tous ces services sont dans le collimateur des hackers. C’est notamment le cas de Steam, la plateforme de jeux vidéo, ou d’iCloud, le service de stockage d’Apple.
« Je soupçonne que nous allons découvrir des applications et des appareils touchés par la faille pendant longtemps. C’est une grosse affaire pour les services liés aux anciens environnements d’exécution Java : les interfaces Web de divers appareils réseau, les anciens environnements d’applications utilisant des API existantes et les serveurs Minecraft », estime HD Moore, expert en sécurité informatique chez Rumble.
« Un attaquant peut utiliser cette vulnérabilité pour déclencher l’exécution de code à distance », explique Cyber Kendra, une société de cybersécurité, qui assure que la menace a été confirmée par la White Hat Security Research Institute, un groupement d’experts.
« Il existe actuellement de nombreux systèmes populaires sur le marché qui sont concernés. Tous les géants technologiques en sont la victime. Nous recommandons donc fortement à la mise à niveau vers log4j-2.15.0-rc2 », encourage Cyber Kendra.