Quelques jours à peine après l’attaque par ransomware contre CD Projekt Red, qui a refusé de payer la rançon, les données de Cyberpunk 2077,The Witcher 3 et bien d’autres ont fait l’objet d’une vente aux enchères sur le Dark Web et trouvé preneur.
1 « J'aime »
J’espère que ce genre de cas connu servira de sensibilisation à la sécurité de l’information dans les entreprises.
A chaque fois que j’arrive dans une entreprise, le plus gros travail à faire est la sécurité mais vraiment à chaque fois ^^
2 « J'aime »
Il me semble très critiquable de considérer Cd Projekt comme une entreprise de seconde zone non sensibilisée à la sécurité. Ils sont assurément plus compétent que nous en la matière. Mais ceci n’empêche pas ces problèmes, il limite les risques.
En l’occurence, le code source publié n’est pas bien dérangeant. Il reste la propriété de cd project. Donc, tu as le code, il va falloir que tu le maîtrise, et surtout, que tu sois capable d’en faire quelque chose. (Tu= n’importe qui)
Citation : « À la suite de l’achat, le vendeur a ajouté comme condition que les données subtilisées ne soient plus redistribuées ou vendues »
LoL. Un escroc demandant à un receleur d’être honnête.
Le ‹ Dark Web › c’est surtout le monde du pipeautage à échelle cosmique. Une contre-offre supérieur à la dernière offre de soit disant 7 millions de dollars. La réalité est que personne ne mettrais autant d’argent sue des codes copyrightés. Le premier qui sortirait un jeu avec ne serait-ce que des éléments de ces codes se ferait poursuivre en justice dans l’heure.
Probabilité que le vendeur n’est rien vendu et cherche à faire profile bas: 99.999%
3 « J'aime »
peu importe, je comprends pas qu’une telle société ne soit pas bien sécurisé, concernant les données volées heureusement c’est pas nos informations de clients. Pour ceux qui achète le code source, sa reste une avancée majeur sans se fatiguer, mais c’est vraiment dommage cette histoire comme pour Capcom, mais là… en plus gros.
Quand tu es dans la sécurité et que tu fais bien ton taff, il est impossible de te faire voler toutes tes infos. Ici le problème est un manque d’investissement dans la sécurité ou le laxisme des personnes responsable de la sécurité ou les personnes responsable de la sécurité ont collaboré avec les pirates.
La publication de code source est une grosse perte d’argent pour une société de service. Mais ce coût se calcul directement en charge de travail et indirectement en argent. Car CD Projekt devront investir beaucoup plus de temps à la sécurité de leur jeu autant solo que multijoueur.
Un exemple clair est quand DayZ Standalone est sortie, ils ont voulu adopté un « développement open-source » en rendant accessible le code source. Très rapidement ils ont arrêté et ont regretté cette démarche car encore maintenant des logiciel de triche se base sur ce code source, et un changement de code c’est refaire un jeu.
" le vendeur a ajouté comme condition que les données subtilisées ne soient plus redistribuées ou vendues,"
J’ai ri; merci.
Il est tout à fait aberrant que les sources se soient pas plus protégées, avec des nœuds réseaux distincts.
Le problème est vraiment de base entre l’écran et le clavier, un ransomware arrive toujours à cause d’une maladresse, un manque vigileance.
Un poste pro doit se limiter à des activités pro, des sites simples. Pas plus.
Ben tu vois, au lieu de camper sur clubic, tu aurais du aller directement chez Cd Projekt.
Avec des talents comme toi, on aurait eu un CyberPunk sans bug, en avance, et aucun hack.
Ou pas.
1 « J'aime »
Ce n’est pas vrai. La sécurité des SI, c’est une assurance, rien de plus. Ceux qui te garantissent que rien n’arrivera sont des charlots. On investit en sécurité ce qu’on ne veut pas perdre en cas de fuite. Si la sécurité coûte plus cher, on peut accepter le risque.
2 « J'aime »
Ma foi c’est fort probable. Dépenser plus de 7 millions de dollars pour quelque chose qu’ils ne pourront pas exploiter me semble hasardeux à moins de créer des cheat codes mais cela va faire cher le cheat code…
Le problème n’est pas que les sociétés ne soient pas sécurisées, c’est qu’il est impossible de sécuriser des données à 100% à partir du moment ou il y a des humains au milieu.
Et le 2ème problème, c’est que la ou on gagne le plus d’argent dans la sécurité, c’est du côté des voleurs. Y a donc des gens très performants du mauvais côté de la barrière, et malgré toutes les compétences des entreprises pour sécuriser leurs données, y a souvent plus compétent en face.
Alors si t’as une PME de peinture en bâtiment, t’as pas grand risque, si t’es une grosse boîte dont les données ont un très gros intérêt, tu vas attirer tous les voleurs les plus compétents et qui ont déjà de très gros moyens pour forcer la porte
Les choses ne sont pas aussi simples. Le risque 0 c’est comme partout, ça n’existe pas. Il y a des humains qui manipulent les données, ces humains ne suivront jamais l’ensemble des règles que tu as pu mettre en place même à coup de millions.
Ensuite comme tu dis, c’est un investissement, et un investissement, ça coute cher, voir très cher. Donc chaque entreprise décide du niveau de sécurité qu’elle peut ou est prête à s’offrir. Et ça c’est pas une question de bien faire ton taff
Vu comment le développement de Cyberpunk s’est déroulé, on peut difficilement ne pas les considérer comme tel. Les competences ne manquent pas toujours du coté des techniciens mais parfois juste du coté du management/decisionnel
Vous n’imaginez pas la politique securitaire de certaines tres grosses boites brassat des millions, c’est vraiment ridicule des fois
Par contre il y a toujours un truc qui me gène.
On passe toujours son temps à dénigrer la victime. Ils n’ont pas bien protégé, ils n’ont pas mis suffisamment d’argent dans leur sécurité, ils ont pas fait ce qu’il faut, fallait pas laisser trainer ça ici…
A croire que c’est toujours la faute de celui qui se fait voler, et le voleur, ben il avait du coup bien raison d’en profiter
D’autant que les jeux CDPR sont tous dispo pour les plus anciens à vils prix et que le dernier est accessible pour zéro € via des réseaux pas si privé que cela. Sans faire l’apologie du piratage, les torrents existent… donc dépenser des millions et même des milliers d’Euros pour quelque chose d’inutilisable je n’y crois pas une seconde.
J’imagine très bien.
Par contre, n’hésite pas à nous pondre Cd Projekt en France 
Ça serait super d’avoir une nouvelle « mauvaise » société comme eux sur notre territoire.
Sans rire, il n’y a aucune impossibilité dans le monde numérique, toute société même bien protégée à des failles de sécurité, c’est pas pour rien qu’on en découvre autant et qu’ils mettent en place des bugs bounty… C’est juste que CPR était dans le collimateur de bien des personnes suite à CP2077…
Et là, l’acheteur débug le jeu pour eux et leur envoie les fichiers corrigé. 
1 « J'aime »
Tu as réussi à crée un lien entre un responsable de sécurité d’information et un développeurs de jeu, sincèrement chapeau 
J’ai dû mal m’exprimer mais tu as tout à fait raison, c’est pour ça que je précise « toutes tes infos ».
La plupart des attaques arrive au mieux à attaquer des données sensible précise avec ransonware par exemple. Mais là on parle d’un vol de données complet, administratif, bureau d’étude, développement, RH etc. Par rapport à la taille de l’entreprise, c’est une vraie performance, je ne sais pas si ils ont sous traité le SI mais c’est les boules.
Je suis moi-même dans le domaine et sur les forum de sécurité, cette attaque à fais un grand boom car on se demande si les attaquants ont utilisé une faille encore inconnu, tout le monde attend le rapport des autorité de la cyber sécurité Polonaise.