ChloéGoogle a révélé ce mois-ci l’existence d’une faille sur le premier installateur de Fortnite. Tim Sweeney, PDG de Epic Games, accuse Google de mettre en danger la sécurité des joueurs par vengeance. Ce serait un moyen de nuire au succès du jeu vidéo, que le studio a choisi de diffuser en dehors de la plateforme Google Play.
C’est l’été de la discorde. Le 15 août dernier, Google a signalé une faille de sécurité chez Epic Games. Le problème venait de première version du lanceur du jeu Fortnite. Tous les joueurs devaient s’en servir pour télécharger la version Android. Epic Games avait refusé de distribuer le jeu sur Google Play, afin de ne pas payer 30% de commission.
Une faille sérieuse
Il s’agissait faille de type « man-in-the-disk », précise Numerama. En d’autres termes, l’Android Package Kit (APK) téléchargé sur le site de l’éditeur n’était pas tout à fait fiable. Une autre application aurait pu modifier son contenu pendant l’installation. Pour le joueur, le risque de télécharger un programme malveillant sans s’en rendre compte était bien réel.
Google a immédiatement notifié Epic Games, qui a fourni un correctif en l’espace de 48 heures. La firme de Mountain View a ensuite révélé l’existence de la faille au grand public. Epic Games avait réclamé un délai de 90 jours, mais Google n’a pas voulu faire de fleur au studio. Cette attitude a déclenché les foudres de Tim Sweeney, PDG de Epic Games.
Android is an open platform. We released software for it. When Google identified a security flaw, we worked around the clock (literally) to fix it and release an update.
The only irresponsible thing here is Google’s rapid public release of technical details.
— Tim Sweeney (@TimSweeneyEpic) August 25, 2018
La revanche de Google ?
D’après le dirigeant, il n’y avait pas urgence. « Nous avons demandé à Google de garder l’information secrète jusqu’à ce que la mise à jour soit plus largement installée. Ils ont refusé, créant un risque inutile pour les utilisateurs d’Android afin de gagner des points de relations publiques à peu de frais », s’est indigné Tim Sweeney sur Twitter le 24 août dernier.
Epic Games incite désormais les joueurs à se servir d’une double authentification. Pour ne pas risquer de faire voler leur compte, les utilisateurs peuvent entrer un code supplémentaire, qu’ils reçoivent par mail ou par sms. Cette affaire rappelle que la sécurité en ligne ne repose pas uniquement sur les outils techniques, mais aussi sur une stratégie commerciale.
