Suite à la découverte par la communauté d'éléments sur le fonctionnement du logiciel anticheat VAC de Valve, Gabe Newell, directeur de la firme, utilise son droit de réponse.
Valve accusée de récolter des informations personnelles
Dimanche dernier, un utilisateur reddit a posté des informations sur une partie du fonctionnement du logiciel anticheat de Valve, VAC. Pour ce faire, le développeur en herbe a tout simplement décompilé le module VAC qui vient se greffer sur votre processus Steam lors d'une connexion à un serveur VAC. Cette activité tout à fait passionnante se nomme: "reverse engineering".
Reverse Engineering
Activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou sa méthode de fabrication.
Cette personne a ainsi découvert que le module parcourait notre cache DNS afin d'envoyer des informations sur des domaines que nous aurions appelé. A ce stade, il est important de préciser que notre cache DNS ne se contente pas de stocker les url auxquelles nous accédons directement (comme lorsque vous tapez "team-aaa.com" directement dans votre navigateur), mais également les url des images que nous regardons ou même des fichiers que nous téléchargeons.
Module VAC décompilé, cliquez pour le voir en entier - Crédit theonlybond
Les URL ainsi envoyées aux serveurs VAC sont "hachées" en MD5. Comprenez par là que l'information n'est pas envoyée brute, mais qu'elle subit une transformation sensée être "irréversible". L'idée est de comparer le "hash" (la chaine transformée) du domaine que vous avez consulté, avec les hash des sites de cheat que VAC connaît. Si deux chaines correspondent, vous avez visité un site de cheat.
Les plus avertis d'entre vous réagiront de suite : cette méthode de hachage est obsolète et aujourd'hui "réversible". On ne peut pas effectuer l'opération inverse, mais de nombreuses "rainbow table" ont été construites et mises à jour depuis plusieurs années, pour enregistrer des milliards de chaines et leur équivalence MD5. Il suffit alors d'entrer une chaine MD5 sur ce genre d'outil pour retrouver la chaine originale.
De ce fait, l'utilisateur pose une question tout a fait pertinente;
Valve collecte-t'elle des données personnelles à notre insue via son logiciel anticheat VAC?
Gabe Newell est le cofondateur et directeur de Valve. Devant la jeune polémique, il a décidé de s'exprimer directement sur reddit. Traduction intégrale ci-dessous par les soins de Yohann "Gourmish" Rolland.
Gabe Newell prend la pose pour prouver son identité sur un autre post reddit
Il y est question des problématiques de Valve autour des cheats, de leur stratégie globale pour lutter contre et de cette accusation vis à vis de l'exploitation de nos DNS.
La confiance tient une place critique dans la communauté d'un jeu multijoueur, la confiance envers le développeur, la confiance envers le système et la confiance envers les autres joueurs.
Les "cheats" sont une mauvaise addition au jeu, où une minorité profite moins qu'elle ne nuie à la majorité.
Il existe différentes manières de s'attaquer à un système basé sur la confiance, comme écrire une poignée de codes (hacks), ou grâce au "social engineering" (par exemple convaincre des personnes que le système n'est pas aussi fiable qu'ils le pensaient).
Pour un jeu comme CS, il y aura des milliers de cheats créés, des centaines d'entre eux seront utilisés à tout moment. Il y aura environ 10-20 groupes à tenter de gagner l'argent en les vendant.
Habituellement, on ne parle pas de VAC (notre système anti-hack) car cela créé plus d'opportunités aux cheaters d'attaquer le système. (en codant ou grâce au social engineering)
Cette fois sera donc une exception.
Il existe plusieurs cheats "kernel-level" (ndlr: terme d'architecture informatique, la couche juste en dessous de votre système d'exploitation) payants qui relatent ce sujet reddit. Les développeurs de cheats ont des soucis pour se faire payer, pour des raisons évidentes, donc ils commencent à créer des DRM (ndlr: gestion des droits numériques) et des anti-cheats pour leur cheat. Ces anti-cheats vérifient sur des servers DRM que chaque cheateur a bien payé lors de l'utilisation.
VAC a recherché ces cheats. Lorsqu'il en détectait, VAC relevait également le serveur DRM en relation. Cette 2ème vérification était faite en regardant si une correspondance avec des serveurs DRM (non web) de cheat existait dans le cache DNS. Lorsqu'elles étaient trouvées, les parties de l'entrée DNS correspondantes étaient envoyées au serveur VAC. La correspondance était ensuite de nouveau vérifiée sur nos serveurs avant que le client ne se fasse ban. Moins d'un dixième de % de nos joueurs ont déclenché cette deuxième vérification. 570 cheaters ont ainsi été ban.
Le cheat et la confiance jouent au chat et à la souris. De nouveaux cheats sont créés en permanence, détectés, bannis et affaiblis. Ce test spécifique de VAC pour cette classe de cheats particulière a été efficace 13 jours, ce qui est clairement typique. Ce n'est actuellement plus actif car les créateurs de cheat l'ont contourné en manipulant le cache DNS des machines de leur clients.
La création de cheats "kernel-level" coute cher, leur détection également. Notre objectif est de les rendre plus chers pour les utilisateurs comme les créateurs, que les bénéfices espérés.
Il y a également une partie de social engineering dans le cheat, le but est d'attaquer la confiance des gens envers le système. Si "valve est le démon.. regardez ils traquent tous les sites que vous visitez" est une idée qui se répend, c'est à cause des utilisateurs et créateurs de cheats. VAC est de manière inhérente une partie effrayante du soft, car il essaye d'être obscur, il cherche des codes essayant de l'attaquer, et c'est sournois. Pour la plupart des développeurs de cheats, le social engineering peut être une manière moins onéreuse d'attaquer le système plutot que de continuer la course aux codes, on peut donc s'attendre à voir d'autres sujets Reddit essayant de présenter VAC sous un mauvais jour.
Notre réponse a pour objectif de clarifier la situation sur ce que l'on faisait et pourquoi, avec assez de transparence, pour que les gens puissent se faire leur propre jugement sur le fait que l'on soit digne de confiance ou non...
1) Envoie t-on les historiques de recherche à Valve ? NON
2) Nous soucions nous du site porno que vous fréquentez? Oh mon dieu, non. Mon cerveau vient de fondre.
3) Est ce que Valve utilise le succès de son marché pour devenir "le mal"? Je ne pense pas, mais c'est à vous de voir si l'on est fiables. Nous essayons vraiment de gagner et garder votre confiance.
Gabe Newell - Reddit - Traduction par Yohann "Gourmish" Rolland
Et vous, qu'en pensez-vous ?
Modifié le 17/04/2019 à 14:32
Modifié le 17/04/2019 à 14:32
Modifié le 17/04/2019 à 14:32
Les sociétés américaines sont obligés de collaborer avec les agences de sécurité américaine, et avec les " révélations " de Snowden et d'autres, compilé avec d'autres declarations, on sait que les gouvernements ( notamment américain ) stock des masses hallucinantes de données.
C'est pour cela qu'il y a énormément d'américains ( et meme des personnes de partout dans le monde ) qui s'énervent sur ce phénomène de " surveillance " .
Modifié le 17/04/2019 à 14:32
Modifié le 17/04/2019 à 14:32
Modifié le 17/04/2019 à 14:32
Modifié le 17/04/2019 à 14:32
Cheater gratuitement c'est déjà un truc de sacré sous-merde, mais alors payer XX€/mois pour ça, c'est sidérant ...
Modifié le 17/04/2019 à 14:32
Modifié le 17/04/2019 à 14:32
http://www.lolking.net/summoner/na/19349927#matches
Modifié le 17/04/2019 à 14:32
Comme le dit #4, ces sociétés sont obligées par les gouvernements à transmettre ces informations. Même si ce n'est pas encore le cas, lorsque le gouvernement Américain apprendra qu'ils peuvent le faire par ce biais là, ce sera fait. Donc ca veut dire quoi, pour se protéger il faut plus jouer aux jeux vidéos non plus ? Ca devient n'importe quoi, on est en train de se rapprocher de 1984 dans tous les sens du terme.