CD Projekt, le studio à l’origine de The Witcher, victime d’un piratage

Mieux vaut ne pas laisser traîner ses vieilles bases de données. À la fin du mois de décembre 2016, le studio CD Projekt notamment connu pour la série de jeux à succès The Witcher, annonçait sur son forum qu’une de ses bases de données liée à son ancien forum cdprojektred.com était potentiellement compromise. Un mois et demi après cette annonce, l’équipe informatique de CD Projekt confirme la mauvaise nouvelle et annonce que la base de données a bien été piratée.

« Au moment du piratage, cette base de données n’était plus en production, car nous avions poussé les utilisateurs à migrer vers les comptes GOG depuis un an », explique l’équipe technique de CD Projekt. Ils précisent que la base de données piratée contenait notamment les adresses, identifiants et mots de passe des utilisateurs et que la faille ayant permis d’accéder aux données a été corrigée.

 

Mais c’est sur le chiffrement que le bât blesse. L’équipe technique assure notamment que les mots de passe ont été chiffrés grâce à l’algorithme MD5. « Cela signifie que vos anciens mots de passe sont sécurisés et hors de portée de n’importe qui » précise l’équipe. On peut se permettre de douter sur ce point : MD5 est certes une fonction de hachage qui était utilisée il y a quelques années pour protéger des informations, mais celle-ci est obsolète depuis plus de dix ans. Il est aujourd’hui relativement simple pour un cyberattaquant disposant d’un peu de puissance de calcul de casser le chiffrement fourni par MD5 et retrouver les mots de passe volés. Les anglophones qui souhaitent une démonstration concrète, Computerphile a publié une très bonne vidéo démontrant la faiblesse de l’algorithme MD5 pour le stockage de mots de passe.

La base de données volée a été répertoriée par le site HaveIbeenPwned.com, ce qui est généralement le signe que celle-ci circule sur les places de marchés noirs du réseau. Si vous faites partie des utilisateurs potentiellement affectés par cette attaque, il est donc important de vérifier que le mot de passe utilisé sur le site de CDProjekt n’est pas utilisé pour un autre de vos comptes et réinitialiser vos mots de passe le cas échéant. Le studio explique que ses utilisateurs seront notifiés par mail dans les prochains jours afin de les informer des conséquences de cette cyberattaque et des bons réflexes à avoir.