Le jeu Cities: Skylines est victime d’une attaque — un code malveillant dans une ville virtuelle

Nous vous expliquons pourquoi les mods de jeux peuvent être dangereux, et nous prenons l’exemple de mods malveillants pour Cities: Skylines.

Le 13 février 2022, EuroGamer a publié un article sur la propagation d’un code malveillant entre les utilisateurs du jeu vidéo Cities: Skylines. Deux jours plus tard, l’article était mis à jour : personne n’avait été affecté mais un des créateurs du mod du jeu avait essayé d’introduire une porte dérobée dans la boutique officielle. Nous avons analysé ce cas particulièrement intéressant puisque cette attaque aurait pu être très dangereuse pour les gamers.

Quelques mots sur Cities: Skylines

Nous nous excusons à l’avance auprès des fans du jeu mais, pour toutes les autres personnes, il convient de vous présenter brièvement ce jeu pour que vous puissiez comprendre l’histoire. Cities: Skylines est le simulateur d’une ville et il ressemble à cela :

Capture d'écran du jeu Cities: Skylines

Capture d’écran du jeu Cities: Skylines. Source


Cities: Skylines
est le concurrent, et d’une certaine façon le successeur du célèbre jeu SimCity, incontournable dans les années 90 et 2000, et dont l’histoire s’est terminée, du moins pour le moment, en 2013 avec la sortie ratée d’une nouvelle version. Le jeu Cities: Skylines est apparu en 2015, ce qui peut sembler à des années-lumière selon les normes de ce monde virtuel qui est en constante évolution, mais ça ne fait pas peur aux fans.

Au lieu de sortir une nouvelle série, les créateurs de Cities: Skylines ont préféré modifier progressivement le jeu original en sortant des contenus additionnels officiels environ tous les six mois. Le 13ème pack est disponible depuis peu. Chacun de ces contenus additionnels apporte de nouveaux éléments au monde virtuel : infrastructures (vous pouvez désormais construire votre propre aéroport), phénomènes naturels, scénarios de croissance (ville « verte »), etc.

Des modifications non officielles permettent de développer encore plus le jeu. En réalité, n’importe quel joueur qui aime vraiment Cities: Skylines va très certainement vouloir installer des mods. Le jeu a initialement été créé pour que les joueurs puissent facilement développer et partager des modifications. N’importe qui peut télécharger une modification sur le répertoire public Steam Workshop.

Avec ou sans mod et contenu additionnel, Cities: Skylines vous permet de construire votre propre ville. Il vous suffit de consacrer des terrains aux logements, à l’industrie et au commerce ; de construire des routes ; de vous battre contre les embouteillages… Le jeu est si intéressant et réaliste qu’un utilisateur s’en est même servi pour organiser le système de transport d’une vraie ville !

Traffic Manager: President Edition est l’exemple d’un bon mod pour Cities: Skylines. Il ajoute des réglages précis aux fonctionnalités de base qu’offre le jeu pour construire les routes : vous pouvez régler les feux de circulation, choisir la direction des voies, établir des limites de vitesse, interdire le stationnement, etc. Pour faire simple, ce mod vous permet de prendre des mesures essentielles pour améliorer le trafic de la ville, que ce soit dans la vie réelle ou dans le jeu.

Vous pouvez évidemment jouer à Cities: Skylines sans contenu additionnel, mais peu de joueurs le font parce qu’en choisissant les bons mods ils améliorent de façon significative leur expérience et rendent le jeu plus pratique. En résumé, si vous voulez vraiment profiter de Cities: Skylines, vous devez installer des mods.

Des mods de vengeance

Passons aux faits. Le 10 février 2022, les créateurs du mod Traffic Manager: President Edition mentionné ci-dessus ont publié un communiqué pour avertir les utilisateurs qu’il y avait des extensions malveillantes pour le jeu :

Les créateurs de Traffic Manager: President Edition accusent les créateurs d'autres mods pour Cities: Skylines de distribuer des malwares

Les créateurs de Traffic Manager: President Edition accusent les créateurs d’autres mods pour Cities: Skylines de distribuer des malwares. Source

La fonctionnalité malveillante n’était pas vraiment dangereuse : elle modifiait au hasard les limites de vitesse dans le jeu. Et elle n’affectait pas tous les utilisateurs ; seulement ceux qui avaient la  » chance  » d’être dans la liste du créateur du mod. Cette liste comprenait notamment les développeurs de Traffic Manager, les créateurs du jeu et d’autres joueurs qui s’étaient plaints, que ce soit vrai ou pas.

Ce n’est pas tout. Dans ce même article, le créateur du mod connu comme Chaos ou Holy Water a intentionnellement éliminé la compatibilité avec les autres mods. Comme Cities: Skylines utilise de nombreuses modifications, le jeu a besoin d’un mécanisme qui permet d’éviter les bugs liés aux mods. Les créateurs du jeu ont mis au point un système très simple qui permet de vérifier la compatibilité : ils espèrent que le développeur du mod fait les vérifications lui-même et mettent les extensions incompatibles dans une liste spéciale. Chaos/Holy Water a tiré profit de cette caractéristique et a ajouté d’autres extensions populaires dans la liste des mods incompatibles.

Lorsque les utilisateurs ont demandé au créateur pourquoi le mod était incompatible avec les autres extensions et ce qu’ils devaient faire, le créateur leur a dit que c’était à cause de la mauvaise qualité du code des autres développeurs et leur a proposé son extension, qui était légèrement différente de l’originale. C’est ce qui a permis à Chaos de faire connaître ses mods et d’augmenter le nombre de contenus additionnels installés par chaque utilisateur.

Si les joueurs critiquaient le développeur, Chaos/Holy Water contre-attaquait en ajoutant les identifiants Steam de ces détracteurs à sa liste personnelle d’ennemis, ce qui provoquait l’introduction de bugs arbitraires dans les performances du jeu. Ce comportement a donné lieu à une situation interne dramatique pour certains joueurs actifs, mais rien d’assez sérieux pour considérer qu’il s’agissait d’une véritable attaque malveillante. Attendez, cette histoire ne s’arrête pas là !

Aucun doute, c’est une porte dérobée

Le 14 février 2022, les développeurs de Cities: Skylines ont publié une description de l’incident. Ils y expliquent que les extensions de l’auteur ont été supprimées du site Steam Workshop. Les créateurs du jeu insistent sur le fait que ces extensions ne contenaient aucun code malveillant et clarifient qu’ils n’ont trouvé  » aucun enregistreur de frappe, virus, programme de chiffrement de cryptomonnaie ou autre « . Pourtant, un peu plus bas dans l’article, ils parlent brièvement de l’extension Update from GitHub qui appartient au même auteur. Qu’est-ce que ce mod faisait ? Il faisait passer le mécanisme de mises à jour des contenus additionnels du mode standard (via Steam Workshop) à un autre mode pour que les mods soient directement mis à jour à partir du répertoire du créateur malveillant sur GitHub.

Il s’agit sans aucun doute d’une porte dérobée : les utilisateurs qui ont installé cette modification et quelques autres mods du même créateur auraient pu télécharger et exécuter un code arbitraire. Dans une telle situation, il ne vous reste plus qu’à espérer que le créateur de l’extension n’a pas de mauvaises intentions, même si cette  » liste de ses ennemis  » laisse entendre que c’est une mauvaise idée.

Même si le créateur de la porte dérobée n’envisage pas de pirater les utilisateurs de ces mods, l’accès à leur compte GitHub peut être volé ou revendu. Cela arrive souvent avec les extensions de navigateur. Enfin, si un mode est déjà installé, l’utilisateur devra certainement le supprimer manuellement, mais certains joueurs pourraient ne pas y arriver. Heureusement, selon les développeurs de Cities: Skylines seulement 50 personnes ont été affectées pour le moment.

Comment vous protéger contre les mods de jeux dangereux

Les méthodes utilisées pour convaincre un utilisateur de télécharger un malware qui se fait passer pour un programme ou un jeu  » officiel  » sont très nombreuses. Les choses se compliquent avec les extensions personnalisées. Par définition, elles sont créées de façon artisanale et les développeurs ne peuvent pas contrôler toutes les modifications. Par conséquent, vous devez faire attention lorsque vous ajoutez de nouvelles fonctions à votre jeu préféré. Essayez de télécharger et d’installer les mods qu’à partir de sources officielles. Réfléchissez bien si le créateur du mod vous dit  » Qu’en cas de problème vous devez désactiver votre antivirus « .

L’incident avec les mods de Cities: Skylines est clos et, heureusement, il n’a pas causé trop de dégâts. Le développeur malveillant a été banni mais il semblerait qu’il n’avait pas l’intention de nuire aux joueurs. Il avait tout de même créé un mécanisme de pénétration assez complexe pour accéder aux ordinateurs des utilisateurs en exploitant les particularités de cette communauté. Plus important encore, il a essayé d’attirer les utilisateurs en dehors du contrôle de la plateforme officielle pour distribuer des mods.

Dans le pire des cas, une porte dérobée de ce genre pourrait être utilisée pour envoyer un code malveillant afin de voler les mots de passe du service du jeu ou pour miner de la cryptomonnaie sur l’ordinateur de la victime. N’importe quelle solution de sécurité fiable suit l’activité de ces  » programmes qui changent de forme « . De plus, notre solution Kaspersky Security Cloud dispose d’un mode Jeux spécial qui garantit votre protection sans affecter les performances de l’ordinateur. N’oubliez pas de faire attention lorsque vous jouez à votre jeu préféré.

Conseils