Les chercheurs ont affirmé que le jeu en ligne populaire Roblox souffrait d’une série de vulnérabilités de sécurité qui auraient pu compromettre les données de plus de 100 millions de joueurs, dont beaucoup sont des enfants.
Selon un rapport de CyberNews, Roblox est coupable d’un certain nombre de défaillances «flagrantes» en matière de sécurité, notamment en ce qui concerne l’application Android.
Cependant, Roblox a nié les allégations, affirmant que la recherche était basée sur un code inactif et que les vulnérabilités n’étaient pas du tout graves.
Un porte-parole de Roblox a déclaré TechRadar Pro: «Nous prenons tous les rapports au sérieux et avons immédiatement enquêté lorsque le chercheur a été contacté pour la première fois en mars. Notre enquête a déterminé qu’il n’y a pas de corrélation entre ces allégations et un risque réel pour la confidentialité des données des utilisateurs. «
« Une réclamation était inexacte et les trois autres concernaient un code inactif non utilisé sur la plate-forme Roblox. Quoi qu’il en soit, nous avons supprimé le code inactif dans le cadre de notre engagement envers la sécurité et la sûreté de nos utilisateurs. »
Sommaire
Problèmes de sécurité Roblox?
Le rapport CyberNews allègue que l’application a exposé les données utilisateur via quatre voies distinctes: par des erreurs de configuration dans le fichier manifeste Roblox Android, des algorithmes de hachage inadéquats, une vulnérabilité à la vulnérabilité Janus et des clés API codées en dur.
Ensemble, ces problèmes auraient permis à l’application Roblox Android d’obtenir un score 10/100 remarquablement bas selon le Mobile Security Framework, un test commun utilisé pour évaluer les performances de sécurité des applications mobiles.
Bien que CyberNews ait reconnu que certaines des failles de sécurité ont été corrigées dans les dernières versions, les chercheurs pensent que «la menace pour la sécurité des joueurs est très réelle» et que les données utilisateur telles que les noms et les adresses e-mail pourraient être compromises avec une relative facilité.
Bien que les problèmes de sécurité soient préoccupants dans tous les contextes, cela est particulièrement vrai dans le cas de Roblox, qui est joué principalement par des enfants âgés de 9 à 15 ans.
De nombreuses réglementations sur la protection des données dans le monde, y compris le RGPD, contiennent des dispositions spécifiques destinées à améliorer la protection des données personnelles des enfants, ce qui signifie que des entreprises telles que Roblox doivent faire un effort supplémentaire pour protéger les données contre les attaques.
De plus, selon CyberNews, le volume de microtransactions qui ont lieu sur la plateforme Roblox, couplé au nombre de jeunes utilisateurs, fait du jeu une cible idéale pour les cybercriminels.
Dans une déclaration partagée avec les médias, CyberNews exprime sa déception face à la médiocrité des pratiques de sécurité de Roblox, mais aussi à la lenteur de la réponse de l’entreprise. Les chercheurs affirment avoir contacté Roblox à plusieurs reprises pour avertir l’entreprise des vulnérabilités, mais n’auraient reçu aucune réponse.
«Il est inquiétant de voir une entreprise avec des décennies d’expérience en développement, des millions de clients et le budget correspondant, suivre de telles pratiques de sécurité», a déclaré Mantas Sasnauskas, chercheur principal chez CyberNews.
«Nous demandons à Roblox de traiter les risques de sécurité de la plate-forme comme une priorité absolue – ces pratiques de sécurité et de confidentialité devraient être beaucoup plus rigoureuses et examinées de manière plus approfondie, en particulier pour un jeu qui compte des centaines de millions d’utilisateurs.»
