Tribune sur la cybersécurité dans les jeux vidéo et les jeux de hasard
Xavier Daspre - Senior Enterprise Security Architect, EMEA d'Akamai
Les jeux vidéo en ligne et les jeux de hasard brassent beaucoup d'argent. Dans ses nouvelles recherches, Juniper prévoit que les recettes des seuls jeux de hasard en ligne atteindront mille milliards de dollars d'ici 2022[1]. Malheureusement, cette croissance a transformé les sites de jeux vidéo et de jeux de hasard en cibles privilégiées des cyberattaques. D'après les données disponibles, les cybercriminels délestent les éditeurs de jeux vidéo de plus de 40% des revenus[2] en jeu chaque année.
Les entreprises ne sont pas les seules à souffrir. La cybercriminalité fait également beaucoup de mal aux clients. Par exemple, les temps d'indisponibilité causés par les violations peuvent frustrer les utilisateurs, qui attendent une expérience de jeu rapide et réactive. Pire encore, si les bases de données client sont compromises, les informations personnelles peuvent être vendues et utilisées à mauvais escient.
Le butin est tellement attractif pour les pirates qu'il est fort probable que cette menace persiste et prenne davantage d'ampleur à mesure que l'industrie se développe. Et, au vu de l'évolution constante de l'écosystème des menaces, se protéger demeure un véritable défi pour un grand nombre d'entreprises. Cependant, une entreprise avertie en vaut deux. Quels sont donc les principaux défis de sécurité que doivent relever les entreprises de jeux vidéo et de jeux de hasard ?
Le "credential stuffing" gagne du terrain
Le "credential stuffing" consiste à utiliser les informations de compte volées sur un site pour tenter de se connecter sur une multitude d'autres sites à l'aide de bots. Ce type de cyberattaque a largement gagné en popularité dans de nombreuses industries, notamment celles du jeu vidéo et des jeux de hasard. Selon de récentes estimations, le nombre d'identifiants piratés (noms d'utilisateur, mots de passe et adresses e-mail) actuellement en circulation se compte en milliards[3].
Selon la Commission du jeu, le joueur en ligne moyen possède quatre comptes et, sachant que l'on considère que trois personnes sur quatre utilisent le même mot de passe pour plusieurs comptes, le "credential stuffing" peut poser des problèmes majeurs dans le secteur.
Les coûts associés à ces types d'attaques peuvent avoir des conséquences potentiellement dévastatrices pour les entreprises de jeux vidéo. En plus des coûts financiers initiaux associés à l'indisponibilité et la menace à l'encontre de l'infrastructure de sécurité, les effets à long terme comme les atteintes à la réputation peuvent avoir des conséquences majeures. 24 % des personnes[5] qui ne terminent pas le processus d'inscription sur un site de jeu de hasard expliquent ne pas avoir eu confiance en la sécurité du site en question. L'industrie du jeu vidéo et des jeux de hasard est très peuplée et concurrentielle. Les utilisateurs ayant des centaines de sites à portée de main, une attaque peut les détourner définitivement d'un site particulier.
Pour atténuer les risques de "credential stuffing", les sites de jeux vidéo et de jeux de hasard en ligne peuvent notamment se pencher sur la gestion efficace des bots. Les bots, comme vous pouvez l'imaginer, ne se comportent absolument pas comme des êtres humains. Mais, tandis que les systèmes classiques de connexion se contentent de vérifier la correspondance entre un nom d'utilisateur et un mot de passe, les outils de gestion des bots plus avancés surveillent ces comportements et font appel à l'intelligence artificielle pour différencier les bots des utilisateurs réels lors des tentatives de connexion. Les combinaisons de touches, les mouvements de la souris et même l'orientation physique d'un terminal mobile peuvent être analysés et comparés lors du processus d'authentification pour déterminer la probabilité que la tentative de connexion ait émané d'un bot. Aujourd'hui, ces attaques de "credential stuffing" sont devenues tellement complexes que beaucoup d'entreprises ne sont même pas conscientes d'en être victimes. Posséder les bons outils et les bonnes informations pour acquérir l'intelligence nécessaire est un facteur clé des analyses ciblées. En repérant les actes de "credential stuffing" et en les bloquant, les entreprises de jeux peuvent protéger à la fois les comptes des utilisateurs et leur propre réputation professionnelle.
Les coûts supplémentaires des attaques DDoS
Lorsque vous misez sur votre disponibilité en temps réel pour les clients, les attaques de déni de service distribué (DDoS) peuvent avoir un impact énorme sur votre entreprise. Ainsi, pour les entreprises de jeu vidéo, la qualité de l'expérience de jeu, surtout pour les jeux en ligne compétitifs, dépend d'une connexion stable et de bonne qualité. La perdre à un moment critique peut complètement gâcher l'expérience client. De même, pour les entreprises de jeux de hasard, où la cote peut changer à tout instant, l'indisponibilité peut avoir des répercussions catastrophiques sur la satisfaction client.
Pourtant, certaines personnes sont tellement passionnées par les événements de jeux vidéo ou de jeux de hasard qu'elles se prennent à vouloir délibérément causer du tort à certaines entreprises du secteur. C'est notamment pour cette raison que les sites de jeux vidéo et de jeux de hasard sont une cible privilégiée pour les attaques DDoS. D'ailleurs, le rapport Etat des lieux d'Internet / Sécurité du 4e trimestre 2017 d'Akamai[7] indique que près de 80 % de l'ensemble des attaques DDoS étaient dirigées contre l'industrie du jeu vidéo et des jeux de hasard. Par exemple, une seule entreprise de jeux vidéo a subi pas moins de 612 attaques distinctes au cours du même trimestre. Cela représente une attaque massive toutes les trois heures et demie, jour et nuit, pendant le trimestre entier.
La plupart de ces attaques sont de nature volumétrique, ce qui signifie qu'elles utilisent les réseaux de terminaux piratés pour envoyer un nombre astronomique de requêtes artificielles au serveur. Le site se retrouve alors submergé de requêtes jusqu'à cesser de fonctionner. Les coûts de récupération découlant de ces cyberattaques sont extrêmement élevés. Les entreprises doivent donc être conscientes des risques financiers qu'elles encourent[8].
Pour empêcher ces attaques, les entreprises doivent se protéger contre les botnets qui en sont à l'origine. La première étape est de gagner en visibilité sur la menace : savoir où et quand vous êtes attaqué est essentiel pour une gestion efficace. Ensuite, la mise en place d'une plateforme de diffusion distribuée entre le serveur hôte et l'Internet au sens large permet de mettre en tampon le trafic d'attaque tout en redirigeant le trafic légitime pour le rendre accessible aux joueurs. Plus la plateforme est grande et distribuée, plus elle pourra absorber un volume important de trafic et fournir ainsi un trafic plus fiable.
Big Fish[9] n'est qu'un exemple des entreprises que nous avons aidées dans leur lutte contre les attaques DDoS. Au fil des années, Big Fish a constaté une augmentation du nombre de menaces de sécurité, dont les attaques DDoS et les vulnérabilités Web comme Shellshock. Pour s'assurer que ces menaces n'empêchaient pas les clients d'accéder à ses jeux et d'y jouer, Big Fish a choisi d'utiliser la solution Kona Site Defender d'Akamai, que l'équipe d'Akamai analyse et surveille pour garantir que les règles mises en place pour protéger l'entreprise restent efficaces en tout temps.
En fin de compte, le responsable informatique de toute entreprise de jeux vidéo ou de jeux de hasard doit se concentrer sur le service à la clientèle et la mise à disposition d'une expérience en ligne optimale. Mais, avec l'évolution de l'écosystème des menaces, rester à jour vis-à-vis des types d'attaques les plus récents et minimiser les périodes d'indisponibilité peut représenter un effort constant. Ces entreprises doivent équilibrer leur volonté d'innover et la nécessité de protéger. Un déséquilibre de ces deux facteurs peut avoir des conséquences majeures. À notre époque, les utilisateurs sont inondés de marques proposant des plateformes nouvelles et attrayantes ; ils peuvent donc en quitter une et repartir de zéro sur une autre sans problème. En s'associant avec une entreprise qui comprend leur industrie et qui dispose de fonctions de sécurité étendues et flexibles pour les protéger, les entreprises de jeux vidéo et de jeux de hasard peuvent se concentrer sur l'innovation pendant que le fournisseur de la plateforme les décharge en partie du fardeau de la sécurité.