Une faille de sécurité dans l'infrastructure Uplay ? - MàJ

À tort ou à raison, le groupe Ubisoft est régulièrement conspué par les joueurs pour son utilisation des DRM, ces mesures de sécurité parfois un brin zélées, et la découverte aujourd'hui d'un certain Tavis Ormandy ne fera peut-être pas évoluer les idées reçues.
À en croire sa contribution publiée sur Seclists.org, le programme Uplay (servant à la fois de support aux jeux en ligne d'Ubisoft, de plateformes communautaires fortes de 35 millions d'inscrits selon le groupe français et d'outils de protection contre la fraude) installerait aussi un plug-in sur les navigateurs internet des joueurs, visant initialement à leur permettre de lancer des jeux depuis le web.

Problème : si l'on en croit le site TechDirt, le plug-in ne serait pas sécurisé, prendrait peu ou prou la forme d'une backdoor, et permettrait donc « à n'importe quel site (malveillant) de prendre le contrôle de l'ordinateur du joueur » (les sites en question seraient en mesure de lancer à distance n'importe quel programme installé sur l'ordinateur). Selon le site, le problème viendrait sans doute d'un logiciel « incroyablement mal codé » et non d'une volonté d'Uisoft d'accéder aux ordinateurs des joueurs, mais en attendant que le développeur propose une solution, TechDirt invite les utilisateurs des jeux Ubisoft à désactiver le plug-in installé dans leurs navigateurs. On invitera donc chacun à la prudence.

Mise à jour (31 juillet) : suite à l'annonce de cette possible faille, Ubisoft annonce avoir patché son application uPlay afin d'apporter un correctif de sécurité. Le développeur recommande donc aux joueurs de mettre à jour leur application uPlay, en fermant leur navigateur internet afin que le correctif puisse être appliqué efficacement. Et de préciser qu'une version à jour de uPlay, intégrant le contenu du patch, est maintenant disponibles sur uPlay.com.