Piratage Nintendo : attention à la faille de sécurité sur Switch, 3DS et Wii U
Nintendo reconnaît avoir corrigé un grave problème de sécurité sur la Switch, la 3DS et la Wii U. Une faille permettait à des hackers de prendre le contrôle des consoles à distance, simplement en jouant en ligne avec des jeux très populaires…
On ne rappellera jamais assez l'importance de mettre à jour ses appareils, logiciels et applications, y compris des années après leur sortie ! Tout au long de l'année 2022, Nintendo a discrètement corrigé une dangereuse faille de sécurité présente sur plusieurs jeux cultes sur 3DS, Wii U et Switch. Baptisée ENLBufferPwn et découverte par les hackers PabloMK7, Rambo6Glaz et FishGuy6564, elle permettait à un pirate, lorsqu'il jouait en ligne avec sa victime, d'exécuter du code arbitraire sur la console de son adversaire, et ce sans l'accord du joueur. Elle a depuis été corrigée sur les jeux concernés par Nintendo – mais les auteurs de la découverte craignent qu'elle soit présente sur d'autres jeux qui n'auraient pas encore été découverts. Et les conséquences d'un tel piratage peuvent être très graves...
Here is ENLBufferPwn (CVE ID pending), a severe vulnerability in many first party 3DS, Wii U and Switch games. It allows remote code execution in a victim console by just having an online game session with an attacker.
— PabloMK7 (@Pablomf6) December 24, 2022
Vulnerability report: https://t.co/QbvXKQLeDf
(1/7) pic.twitter.com/4qewU5YQ9x
Piratage Switch : des jeux cultes piratables en ligne
Comme l'explique PabloMK7 sur Twitter, cette vulnérabilité permettait, combinée avec d'autres failles du système d'exploitation, l'exécution de code à distance dans une console en ayant simplement une session de jeu en ligne avec le pirate sur les jeux concernés. Celui-ci pouvait alors effectuer des actions plus ou moins graves selon le jeu, "allant de simples modifications inoffensives de la mémoire du jeu (comme l'ouverture et la fermeture répétées du menu d'accueil sur la 3DS) à des actions plus graves comme la prise de contrôle total de la console", explique le hacker. Prise de contrôle qui lui permettait d'accéder aux micros et aux caméras de la console – et donc de prendre des enregistrements à l'insu de la victime – ainsi qu'aux informations de paiement confidentielles. Pas étonnant que CVSS V3 Calculator, un système qui classe les vulnérabilités en fonction du danger qu'elles représentent, ait attribué à ENLBufferPwn la note de gravité de 9,8 sur 10 !
Voici la liste des jeux multijoueurs concernés par la faille :
- Mario Kart 7 sur 3DS (corrigé)
- Mario Kart 8 sur Wii U
- Splatoon sur Wii U
- Animal Crossing : New Horizons sur Switch (corrigé)
- ARMS sur Switch (corrigé)
- Mario Kart 8 Deluxe sur Switch (corrigé)
- Nintendo Switch Sports sur Switch (corrigé)
- Splatoon 2 sur Switch (corrigé)
- Splatoon 3 sur Switch (corrigé)
- Super Mario Maker 2 sur Switch (corrigé)
On remarque que les titres Mario Kart 8 et Splatoon sur Wii U n'ont pas encore été patchés et on ignore si des mises à jour sont prévues. D'autres jeux pourraient également – et même certainement – être touchés par la faille – on risque d'entendre encore parler d'elle. Pour avoir aidé la firme japonaise à la découvrir, Pablo MK7 indique avoir reçu 1 000 dollars. "Je tiens également à remercier Nintendo de m'avoir donné l'occasion de collaborer à la découverte et à la recherche de cette vulnérabilité, et d'avoir consacré des ressources à sa correction dans les anciens titres. J'espère que ces actions ont contribué à créer un environnement de jeu en ligne plus sûr", conclut-il.