Pour le studio de développement Valve Software, ce sont cinq années de travail et pas mal de secrets de fabrication qui se retrouvent distribués sur Internet. Pour les amateurs de jeu vidéo, c’est un nouveau délai dans la livraison d’un jeu déjà très en retard. Mais pour le reste du monde, c’est une leçon : le piratage de Valve Software aurait très bien pu frapper n’importe quelle société. Les techniques utilisées ne relèvent pas de la haute technologie, et les outils retrouvés chez l’éditeur sont tous disponibles sur Internet. Mais les pirates ont su les utiliser avec patience et pragmatisme, en y ajoutant toutefois une petite touche personnelle : un outil de prise de contrôle à distance modifié pour l’occasion, difficilement détectable par les antivirus du marché.

Selon Valve Software, qui a décidé de jouer la carte de la transparence en s’adressant directement à la communauté des joueurs, le piratage durait depuis plus d’un mois. Aujourd’hui, il demeure encore bien des zones d’ombres, et des rumeurs mettent le piratage sur le compte de Valve, pressé de trouver une excuse pour repousser à nouveau le jeu. D’autres affirment que les sources volés sont qu’une vieille version sans intérêt. Quoi qu’il en soit, le scénario de l’intrusion demeure très instructif.

Le point d’entrée des pirates sur le réseau demeure inconnu, mais le studio estime qu’il s’agit probablement du poste de Gabe Newell, co-fondateur de Valve Software. Il pourrait s’agir d’un email piégé, qui aurait alors exploité un dépassement de mémoire tampon dans la fonction de prévisualisation d’Outlook (une technique que ces mêmes pirates utiliseront quelques jour plus tard contre d’autres machines de Valve) ou l’exploitation d’une faille de son navigateur. Quelle que soit la méthode, elle aurait alors permis l’installation d’un cheval de Troie sur son poste. Une telle technique a déjà été utilisée lors du casse d’un courtier en or, l’an dernier. Une fois dans la place, les pirates ont manifestement pris leur temps. Une semaine durant ils auraient surveillés les courriers de leur victime, chose que les techniciens de Valve ont pu constater en corrélant l’emploi du temps de Gabe Newell avec les journaux de connexions à sa messagerie : il n’était manifestement pas le seul à lire ses emails !

Des outils de piratage simples

Durant cette période, les intrus ont également étendu leur emprise sur le réseau. Ainsi, peut de temps après le début des opérations, le PC de Gabe Newell a été entièrement réinstallé, car il paraissait instable (il s’agit probablement à ce point d’un bug lié au cheval de Troie présent depuis quelques jours déjà). Mais même une fois le poste remis à neuf, les pirates sont toujours là. Ils installent même des mouchards (des key loggers) sur plusieurs machines du réseau de Valve. La encore, le studio estime que c’est grâce à une faille d’Outlook non corrigée à temps.

Valve a également retrouvé une version personnalisée de l’outil de prise de contrôle à distance RemotelyAnywhere sur plusieurs machines. Mais s’agissant d’un programme d’administration légitime, et en outre spécialement modifié, les antivirus n’ont pas donné l’alerte. Les pare-feu, bien sûr, auraient du interdire toute communication avec RemotelyAnywhere. Mauvaise configuration, écriture d’une règle spécifique par les pirate ou simplement utilisation d’un port toujours ouvert (HTTP, DNS…), le résultat est là : les intrus étaient maîtres du réseau en quelques jours. Ils en contrôlaient plusieurs machines et renifflaient le trafic, capturant les mots de passe qui peuvent y circuler en clair. Une semaine après leur intrusion, quelqu’un téléchargeait la totalité du code source d’Half-Life 2, le jeu sur lequel Valve Software travaillait sur ses fonds propres depuis cinq ans.

Un arsenal de pirates

Aujourd’hui, le studio découvre toujours de nouvelles machines compromises par les pirates. Outre les mouchards et le logiciel de prise de contrôle à distance, ils ont découvert un kit de pirate comprenant des outils destinés à cacher des fichiers, des processus et des clés de la base de registre, ainsi qu’un lot de programmes destinés à l’échange de fichiers (compresseurs, FTP, NetCat).

Ce piratage est exemplaire car n’importe quelle société peut en faire les frais. Il suffit pour cela de quelques Outlook pas vraiment à jour et d’un réseau peu cloisonné. Le reste (mauvaise gestion éventuelle du firewall, absence d’outils de détection d’intrusion, oubli de contrôler régulièrement les journaux de connexion) est pratique courante dans de nombreuses entreprises.

Pour Valve, les conséquences sont importantes : le code dérobé contenait, outre l’intelligence du jeu et ses secrets de fabrication, le moteur d’animation 3D « Source Engine » développé par la société, et qu’elle comptait bien vendre sous licence par la suite. Aujourd’hui, il est largement diffusé sur Internet. Pire : le code source contenait aussi un moteur de simulation de la physique « loué » à une petite société dont c’est la seule activité. Si son fond de commerce se retrouve sur la place publique, cette dernière pourrait très bien se retourner contre Valve. Pour le dernier concepteur de jeux vidéo indépendant, le coup pourrait être fatal.

Et tout ça pour quelque logiciels pas à jour…