Roblox, le jeu vidéo free-to-play ultra populaire auprès des enfants et des adolescents, est accusé de mettre en danger les données de plus de 100 millions de joueurs. D'après une enquête de CyberNews, l'application Android du jeu est truffée de failles de sécurité. Ces brèches pourraient être exploitées par des pirates pour collecter les informations personnelles des joueurs.

Dans une enquête publiée le 28 avril 2021, CyberNews, un célèbre média dédié à la sécurité informatique, accuse ouvertement Roblox de négliger la protection des données de ses utilisateurs. Le média affirme avoir trouvé de nombreuses portes d'entrée pour les pirates dans le code de l'application Android du jeu, qui compte plus de 100 millions d'installations sur le Play Store.

L'enquête a mis à jour “de mauvaises pratiques de sécurité”, des “algorithmes obsolètes”, et une vulnérabilité mettant en péril les smartphones Android qui tournent sur des versions allant d'Android Kit Kat 4.4 à Android Marshmallow 6.0. In fine, 7,5% des téléphones en circulation sont concernés. En exploitant une vieille faille appelée Janus, des pirates peuvent collecter la liste des applications Android installées sur un smartphone et télécharger à distance des versions factices (truffées de publicités frauduleuses et intrusives) pour les remplacer. Un dangereux malware intitulé Agent Smith exploite activement cette faille afin de générer des revenus publicitaires.

Roblox assure que les données des joueurs ne sont pas en danger

Ces différents problèmes de sécurité sont aggravés par l'utilisation “d'une base de données locale pour enregistrer les données des joueurs”. Tous ces facteurs font de Roblox une cible pour des individus malveillants en quête d'argent facile. Le jeu permet en effet aux joueurs d'acheter et vendre des objets virtuels et de gagner de l'argent en créant du contenu. En exploitant les failles, un pirate pourrait théoriquement chercher à s'emparer des fonds stockés sur la base de données locale de Roblox.

Lire également : TikTok est accusé de collecter les données de millions d’enfants

Dans un communiqué envoyé à plusieurs médias, Roblox est rapidement monté au créneau pour nier les conclusions des chercheurs. “Nous prenons tous les rapports au sérieux et avons immédiatement enquêté lorsque les chercheurs nous ont approché pour la première fois en mars. Notre enquête a déterminé qu'il n'y a pas de corrélation entre ces allégations et le risque réel pour la confidentialité des données des utilisateurs. Une allégation était inexacte et les trois autres concernaient du code inactif non utilisé sur la plate-forme Roblox. Quoi qu'il en soit, nous avons supprimé le code inactif dans le cadre de notre engagement envers la sécurité et la sûreté de nos utilisateurs” rassure Roblox.

Source : CyberNews