Tout d'abord, un bref récapitulatif : Epic Games a décidé de ne pas distribuer la version pour Android de son jeu à succès, Fortnite, via Google Play, mais de le rendre exclusivement disponible via son propre site Web. Tim Sweeney le, PDG d'Epic Games, déclare que cette décision reflète l'objectif de l'entreprise de « fournir ses jeux directement aux clients ». M. Sweeney ne s’est néanmoins pas caché que l’une des motivations justifiant cette décision vise à éviter ce qu’il qualifie de « mauvaise affaire » qu’offrent les vitrines commerciales de PC et de téléphones mobiles aux développeurs de jeux.
Que peut-on s’attendre quant à la sécurité des utilisateurs, suite à ce changement? Le tableau n'est peut-être pas des plus jolis. En fait, de nombreux membres de la communauté de la cybersécurité se sont immédiatement mobilisés pour leurs claviers afin de mettre en garde contre les risques que ce déménagement - sans précédent pour une application à succès - peut représenter pour son énorme base de joueurs. Et ce, à juste titre, car cette décision pourrait faire le bonheur d'escrocs de divers acabits, même si ce n'est pas intentionnel. Pour parler franchement, cela pourrait permettre aux criminels de s’en donner à cœur joie pour viser des millions de joueurs qui sont trop excités (ou naïfs) pour se méfier des risques.
En effet, le jeu était devenu la dernière lubie des cybercriminels et ce, avant même qu’Epic Games ne lâche cette bombe. Les lanceurs de logiciels malveillants ont utilisé le jeu de tir en ligne comme stratagème pour diffuser leurs produits nocifs sur des légions de joueurs il y a des mois. Lukáš Štefanko, chercheur en logiciels malveillants d'ESET, a mis les joueurs en garde en juin sur Twitter contre les contrefaçons malveillantes du jeu qui cherchait à tirer parti de son succès fugitif. À dire vrai, les arnaqueurs n'ont pas l’habitude de laisser passer une occasion d'exploiter l'anticipation exacerbée des joueurs à la suite de l'annonce faite par le développeur en mars qu'il allait sortir le jeu sur les plateformes mobiles.
Millions of views on YouTube for fake "How to install Fortnite on Android" videos including links to actual APK files.
Don't install #Fortnite for Android, it's all fake or malicious! Official app is not released yet.
They mostly generate revenue for developers. pic.twitter.com/xpDcqbs3G2— Lukas Stefanko (@LukasStefanko) June 12, 2018
Example how you can get infected by downloading #Fortnite Android app from YouTube video with 130K+ views.
This one send SMS to premium rate number and downloads another fake app. pic.twitter.com/pYj8GZoqoZ— Lukas Stefanko (@LukasStefanko) June 21, 2018
Aujourd'hui, les préoccupations importantes semblent plus que justifiées, ne serait-ce qu'en raison de l’immense popularité de Fortnite et de son public clé - adolescents et jeunes adultes. Selon son développeur, le nombre de joueurs a atteint le cap des 125 millions de joueurs inscrits en moins d'un an. Naturellement, un grand nombre d'entre eux disposent d’appareils Android et sont prêts à se battre avec d'autres joueurs sur leurs téléphones intelligents (ou smartphones) ou leurs tablettes.
Pourquoi s'inquiéter? Principalement parce que ceux qui souhaitent télécharger Fortnite doivent d’abord autoriser l'installation d'applications à partir de sites autres que Google Play, ce qui constitue une précaution de sécurité essentielle - et activée par défaut - sur les appareils Android. Le principal point faible, alors, est que de nombreux aspirants joueurs passeront outre leurs devoirs et ne parviendront pas à vérifier deux fois l'authenticité du site Web à partir duquel ils installent le jeu tant convoité. En conséquence, ils courent le risque de se retrouver plutôt avec l'une des contrefaçons malveillantes du jeu. Sans parler du fait que même en téléchargeant ce jeu à partir de sa source légitime pourrait représenter un risque inattendu. En effet, une grave vulnérabilité de l'application d'installation du jeu, bien qu'elle soit maintenant réparée par Epic Games, a suscité d'autres inquiétudes.
L'abandon de cette précaution de sécurité clé peut entraîner des problèmes, en particulier pour plus de 8 utilisateurs d’Android sur 10 qui n'exécutent aucune des dernières versions de la plateforme (« 8.0/8.1 Oreo » et « 9.0 Pie ») et ne peuvent autoriser le sideloading des applications qu'au niveau de l'ensemble du système. (Depuis Oreo, cette permission est une option par application, plutôt qu'une option à l'échelle du système, bien que cela n’empêche pas le téléchargement de logiciels en dehors de Google Play et peut être risqué.)
Maintenant, on peut se demander si les utilisateurs se souviendront - ou même se préoccuperont - de réactiver les paramètres par défaut? Et ceci dit, pas seulement une fois, mais ce, à chaque fois que l'application demande à se mettre à jour? Ce changement pourrait-il encourager la pratique généralement risquée du téléchargement d'applications à partir d’autres magasins que le Google Play Store? Quelle que soit l'ampleur de ses implications pour la sécurité, la décision du développeur ouvre certainement une boîte de Pandore, même si ce n'est pas là son intention. Ceci envoie un message important aux joueurs, ainsi qu’à leurs parents : une fois de plus, vous devez passer au niveau supérieur en matière de sécurité.