Enquête ouverte sur un potentiel piratage chez Razer, le célèbre fabriquant de périphériques pour gamers
Le célèbre fabriquant de périphériques pour gamers Razer enquête sur un piratage de sa plateforme de paiement Razer Gold, après qu’un pirate informatique ait affirmé avoir volé des codes sources, des clés de chiffrement et des identifiants.
L’entreprise procède à un “examen approfondi” de tous ses sites web et a pris “toutes les mesures nécessaires” pour sécuriser ses plates-formes, a ainsi déclaré un porte-parole à ZDNET.com mardi. “Razer est toujours en pleine enquête. Une fois les investigations terminées, Razer prévoit de signaler cette affaire aux autorités compétentes.”
publicité
Alertée dimanche
Basée à Singapour et en Californie, la société a expliqué avoir été alertée dimanche à propos d’un piratage potentiel de Razer Gold. Cette plateforme de paiement permet d’acheter des jeux et des fonctionnalités dans plus de 42 000 titres. Le porte-parole de Razer n’a pas répondu directement à la liste de questions de ZDNET.com, notamment sur le nombre de clients éventuellement concernés, leur localisation et les allégations des pirates informatiques.
Samedi, une annonce publiée sur un forum de pirates informatiques revendiquait le vol d’une multitude de données, notamment des codes sources, des clés de chiffrement, des identifiants d’accès et une base de données pour “Razer.com et ses produits”. L’auteur de l’annonce a publié des captures d’écran du prétendu piratage, énumérant des dossiers qui semblent contenir, entre autres, des détails de l’API et de facturation. Le cybercriminel cherche à se débarrasser de l’ensemble de ces données pour 100 000 dollars en crypto-monnaie Monero, bien qu’il se déclare prêt à négocier une vente pour un montant inférieur.
Bitbucket
Selon DataBreaches.net, qui a été l’un des premiers à dévoiler la nouvelle samedi, le pirate informatique n’avait pas encore reçu d’offre lundi. Le média avait communiqué avec le cybercriminel via un compte Jabber. DataBreaches.net a déclaré ne pas être en mesure de vérifier l’authenticité de ce compte, jugeant toutefois “probable” que la personne soit bien le pirate. Le hacker malveillant a ajouté ne pas avoir pris contact avec Razer et ne pas avoir l’intention d’extorquer l’entreprise. Interrogé sur la manière dont il a procédé, il a déclaré avoir volé l’accès et obtenu des identifiants du service de gestion de développement logiciel Bitbucket, avant ensuite de cloner le dépôt.
Dans de tels cas de données volées, les pirates opèrent comme des “criminels qui vendent des bijoux volés”, a déclaré Satnam Narang, ingénieur de recherche principal de Tenable. “Ces cybercriminels recherchent la meilleure affaire possible, mais ils sont prêts à faire des compromis sur le prix et se concentrent sur la rapidité. Car même si les données volées sont précieuses, leur vol est synonyme d’une action des forces de l’ordre”, a déclaré M. Narang dans une note commentant le présumé piratage de Razer.
Protection des codes sources
Phillip Ivancic, responsable de la stratégie des solutions pour l’Asie-Pacifique du Software Integrity Group de Synopsys, a noté que le piratage pourrait concerner du code source, un domaine de préoccupation important mais “souvent négligé”. Outre leur valeur commerciale en tant que propriété intellectuelle, les codes sources peuvent être analysés hors ligne pour planifier d’autres attaques, a déclaré M. Ivancic.
L’accès au code source permet en effet aux cybercriminels d’acquérir une connaissance approfondie des vulnérabilités qui peuvent exister. Soit autant d’informations intéressantes pour lancer de nouvelles attaques. Cet expert a ainsi exhorté les organisations à accorder une attention particulière à leurs environnements de développement de logiciels.
Razer avait déjà subi une fuite de données en 2020 lorsqu’un employé de son prestataire informatique Capgemini avait désactivé par mégarde les paramètres de sécurité. En décembre dernier, la Haute Cour de Singapour a accordé à Razer 6,5 millions de dollars (environ 5,9 millions d’euros) de dommages et intérêts. Le géant français du conseil informatique a fait appel, faisant valoir que Razer n’avait pas réussi à limiter les dégâts en raison de ses propres manquements.
