Plus tôt dans la journée, on apprenait par la voix de SteamDB que le code source version 2017/2018 de Counter-Strike: Global Offensive et Team Fortress 2 était dans la nature. Les développeurs de CS:GO ont rapidement répondu que cela ne représentait aucun problème pour la sécurité des joueurs. Ils vont continuer à suivre la situation, au cas où. Du côté de Team Fortress 2, c’est un peu plus compliqué et pour l’instant Valve n’a pas communiqué officiellement.

En réalité, ce n’est pas le code source du jeu en entier qui est disponible, mais seulement une partie très ancienne. Il n’y a pour l’instant aucune preuve d’un éventuel risque même si les joueurs de TF2 sont dans la panique totale et invitent à ne plus du tout jouer en ligne. À l’heure où j’écris ces lignes, il persiste encore des doutes sur la présence de TF2 dans le leak…

9 Commentaires


  1. C’est quoi le risque ?

    Les rumeurs parlaient d’exploit type RCE (Remote Code Execution), en gros qu’une personne mal intentionnée puisse exécuter du code à ton insu sur ton PC, si tu te connectes à un serveur de jeu.

  2. L’exploit en question existait peut-être en 2017, Valve l’a corrigé depuis longtemps si c’était le cas.

    Une croyance populaire entretenue par des entreprises et des agences gouvernementales ayant des choses à cacher veut qu’un code rendu public permette aux pirates de découvrir des failles. Ça s’appelle la sécurité par l’obscurité, la plus inefficace de toutes.

    Ces failles sont déjà grandes ouvertes que le code soit connu ou pas, ça ne change rien à la sécurité. Le code fermé est là pour protéger la propriété intellectuelle, le boulot effectué ou cacher des choses (backdoors, espionnage…). Ça n’a rien à voir avec la sécurité donc il n’y a rien à craindre.

  3. C’est safe sans problème maintenant.Par contre le code du VAC lui a besoin d’un wagon entier de rustines.

  4. C’est safe sans problème maintenant.Par contre le code du VAC lui a besoin d’un wagon entier de rustines.

    C’est pas nouveau sa

  5. C’est safe sans problème maintenant.Par contre le code du VAC lui a besoin d’un wagon entier de rustines.

    C’est pas nouveau sa

    ”ça ”

    qui a dit que c’était nouveau.

  6. L’exploit en question existait peut-être en 2017, Valve l’a corrigé depuis longtemps si c’était le cas.

    Une croyance populaire entretenue par des entreprises et des agences gouvernementales ayant des choses à cacher veut qu’un code rendu public permette aux pirates de découvrir des failles. Ça s’appelle la sécurité par l’obscurité, la plus inefficace de toutes.

    Ces failles sont déjà grandes ouvertes que le code soit connu ou pas, ça ne change rien à la sécurité. Le code fermé est là pour protéger la propriété intellectuelle, le boulot effectué ou cacher des choses (backdoors, espionnage…). Ça n’a rien à voir avec la sécurité donc il n’y a rien à craindre.

    Je suis pas sur de comprendre se que tu veux dire. J’ai l’impression que tu dis tout et son contraire.
    Je suis pas un spécialiste du sujet donc je vais peut être sortir des âneries. Mais est-se qu’on pourrait pas imager la situation de cette façon :

    On a une maison (le code source), dont l’extérieur est plongé dans le noir (le code source est secrètement gardé par son propriétaire).
    Les voleurs (hackeur/pirate) peuvent essayer d’aller à tatillon forcer les fenêtres, les portes ou trouver des trous dans les murs (failles). Ca prend du temps, de la chance, pas se qui a de plus effiace.
    Si tout le quartier s’illumine (le code source est publié ouvertement), ca va permettre de mettre en évidence la position des fenêtres, des portes afin de cibler ses attaques et trouver directement les trous dans les murs.

    Biensur que les failles et les trous étaient là durant tout ce temps. Mais il était beaucoup moins évident de tomber dessus.

    Non ? Je me fis uniquement à ma logique pour tirer cette explication. Éclairs moi si je dis des conneries.

  7. @karibou tu as raison mais ça marche dans les 2 sens : les failles sont aussi plus rapidement remontées quand le code est ouvert.

    Il y a encore quelques jours, des chercheurs ont annoncé la découverte une faille vieille d’au moins 8 ans dans l’appli Mail des Iphone : https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

    Pourtant Apple est le spécialiste du proprio et son code est le plus fermé de tous. Résultat, comme souvent, la faille a été utilisée depuis longtemps car les pirates ont plus de moyen (du gouvernemental à là NSA, russes, chinois, coréen du nord… et les boites privées qui bossent pour ces premiers) que les chercheurs ou passionnés sur leur temps libre.

    Quand le code est fermé chacun cherche plus ou moins à l’aveugle, mais un côté à plus de moyens (et est payé pour trouver). Quand le code est ouvert par exemple sur Github, c’est potentiellement des millions de développeurs autour de la planète qui peuvent auditer le code. Rien ne peut contrer cette puissance d’analyse.

Connectez-vous pour laisser un commentaire