Capcom victime d'un piratage : fuite massive de données et d'informations internes

L’industrie du jeu (en ligne) est régulièrement confrontée à des tentatives de piratages, avec des conséquences plus ou moins sévères pour les studios ou pour les joueurs – dont les données personnelles sont parfois compromises. De plus en plus, le piratage s’inscrit néanmoins dans des activités criminelles de grande envergure et Capcom en fait les frais : par voie de communiqué, le groupe japonais reconnait avoir été victime d’un piratage, indique qu'un important volume de ses données ont ainsi été piratées et avoir fait l’objet d’une demande de rançon contre leur restitution (ransomware).

Le groupe ne précise pas sa réaction, mais manifestement, le studio n’aurait pas cédé à la menace (c’est ce que laisse entendre la BBC) et un important volume de données est maintenant publié sur les réseaux sociaux : des données personnelles de salariés, de recrues potentielles et d’anciens salariés, des informations financières et de stratégies commerciales, des listes d’actionnaires ou de partenaires commerciaux, ou encore des données personnelles de joueurs (de quelque 350 000 joueurs japonais ayant été en contact avec le service client du groupe, mais aussi des clients nord-américains du Capcom Store ou encore des membres de sites d’Esports ayant collaboré avec Capcom).
Si aucune donnée bancaire n’est apparemment compromise, les pirates ont manifestement dérobé les noms, adresses, numéros de téléphone, dates d’anniversaire ou encore des photos notamment des salariés – qui sont donc appelés à la plus grande vigilance. D’autant plus que cette diffusion de données pourrait n’être qu’une première vague (pour inciter Capcom à s’acquitter d’une rançon ?), en attendant la divulgation de nouvelles données.

Si on comprend aisément la détresse des concernés, le piratage dévoile aussi quelques « indiscrétions » commerciales de Capcom – sans précision quant à leur date et donc leur niveau de véracité aujourd’hui.
En vrac, on trouve des références à une nouvelle collection de la licence Ace Attorney sur PS4 et Swtich, Resident Evil 4 sur Oculus VR, ou encore des versions PC pour Monster Hunter Rise (en octobre 2021) et Monster Hunter Stories 2: Wings of Ruin (en juin 2021 sur PC et Switch, complété de modes multijoueurs coopératifs et PvP, puis de mises à jour régulières tantôt payantes, tantôt gratuites), et une date de sortie pour Resident Evil Village qui aurait été planifiée pour fin avril 2021 (et selon ce qui est diffusé sur les réseaux sociaux, Google pourrait se montrer très généreux pour encourager un portage du titre sur Stadia).
Et toujours selon ces fuites diffusées sur les réseaux sociaux, Capcom aurait un nouveau projet dans ses cartons, baptisé Shield et qui prendrait la forme d’un shooter multijoueur – et le groupe japonais compterait manifestement sur un soutien massif de streamers pour en faire la promotion, tout en soulignant les risques d'une telle stratégie (le recours aux streamers est très onéreux et n'est efficace que le temps que dure le contrat de partenariat, puisque ensuite, le streamer cesse de jouer).

Une enquête interne a été menée, mais a pris du temps notamment parce que suite à l’attaque, les serveurs du studio ont été cryptés et les logs d’accès supprimés. Des experts en sécurité externes ont été sollicités et les autorités ont été prévenues, alors que l’enquête se poursuit.
Toujours par voie de communiqué, Capcom « tient à exprimer ses plus sincères excuses pour toutes les complications ou inquiétudes causées par cet incident ». Et de poursuivre : « en tant que société qui traite des contenus numériques, Capcom aborde cet incident avec le plus grand sérieux. Afin d'éviter que de tels événements ne se reproduisent à l’avenir, [le groupe] s'efforcera de renforcer encore sa structure de management tout en considérant toutes les options légales contre les actes criminels perpétrés (...) ».