« Valorant » : faut-il se méfier du logiciel anti-triche de Riot ?

La triche est un véritable fléau. Elle est particulièrement grave dans les jeux de compétition comme « Counter-Strike GO » ou « Valorant », le nouveau jeu de tir en ligne de Riot. Pourquoi ? Parce que Riot veut voir « Valorant » dans l'e-sport. Mais si un jeu veut avoir une chance de se retrouver dans cet univers privilégié, il faut pouvoir s'assurer que les participants n'aient aucun moyen de tricher. La société a donc mis l'accent sur son propre logiciel anti-triche appelé Vanguard. Ce dernier fait maintenant la une des journaux non pas à cause de son efficacité pour empêcher la triche, mais pour ses droits d'accès au système. Pour une exécution correcte, Vanguard requiert un redémarrage et continue de fonctionner en arrière-plan, même lorsque personne ne joue à « Valorant ». Et comme Riot, la société à l'origine de « League of Legends », a été rachetée par la mégaentreprise chinoise Tencent il y a presque dix ans, de nombreux joueurs s'inquiètent pour leur vie privée et la sécurité de leur PC.

J'ai demandé à Tobias Ospelt, expert en sécurité informatique, si ces inquiétudes étaient fondées. Son entreprise Pentagrid fournit des services de conseil et d'analyse en matière de sécurité aux entreprises. Tobias donne également des cours sur la sécurité de l'information à la Haute École Spécialisée de Winterthur (ZHAW). Je le connais aussi personnellement.

Que peux-tu dire sur le logiciel anti-triche de Riot ? Pourquoi est-il si différent des autres, au point d'énerver les joueurs ?
Tobias Ospelt, analyste en sécurité informatique : Vanguard, le logiciel anti-triche de Riot, obtient des droits plus élevés grâce à un module kernel Windows qui est chargé au démarrage de l'ordinateur et sans lequel le jeu ne fonctionne pas. Je pense qu'en raison du redémarrage forcé de l'ordinateur après l'installation, Vanguard est plus visible pour les joueurs que les autres systèmes anti-triche qui tournent en arrière-plan. En outre, sur la toile, on retrouve quelques articles négatifs à son sujet et je me demande si on n'y parle pas uniquement de problèmes de la première version. Par exemple : Vanguard ne se désinstalle pas lorsqu'on désinstalle le jeu, ou le mécanisme anti-triche a démarré parce que quelqu'un a connecté son smartphone à l'ordinateur. Peut-être que les tricheurs ont aussi quelque chose à dire... Vos commentaires sont les bienvenus !

Quelles sont les possibilités du logiciel pour affecter votre système ?
Avec un module kernel, toutes les possibilités sont ouvertes. On peut par exemple essayer de savoir si le kernel a été manipulé ou si on tente de tromper le matériel connecté. La tâche du module kernel est donc plutôt d'observer que d'influencer. La question est de savoir à quelles fins ces possibilités sont utilisées par Vanguard.

Le PC devient-il plus vulnérable ?
Plus il y a de logiciels, plus la surface dite d'attaque augmente. N'importe quel logiciel peut avoir des failles de sécurité exploitables. Mais dans le cas de Vanguard, l'effet d'une attaque serait plus critique en raison du module kernel plus privilégié. La situation est très semblable à celle des programmes antivirus. En 2016, par exemple, l'antivirus Norton de Symantec présentait une grave faille de sécurité qui touchait aussi le kernel.
C'est à cause d'événements de ce genre que les solutions antivirus, tout comme les systèmes anti-triche, sont controversées.
Riot affirme que son objectif principal est d'augmenter la sécurité. Il remercie également toutes les personnes qui trouvent une faille de sécurité dans le module kernel avec 100 000 $. Avec cette récompense élevée pour les problèmes de sécurité, Riot exprime une certaine confiance dans la sécurité de sa propre solution.

Quel genre de logiciel similaire existe-t-il ?
Outre l'exemple de l'antivirus, des solutions de virtualisation telles que Virtualbox, VMWare ou des logiciels spéciaux pour le matériel utilisent les droits kernel. Même
Easy Anti-Cheat, qui est utilisé dans « Fortnite »,
« Rust » ou « War Thunder » fonctionne sur ce principe, tout comme BattleEye, qu'on retrouve entre autres dans « Rainbow Six Siege », « Escape From Tarkov » et « PUBG ».

Des premiers tricheurs ont déjà été interdits. Les droits supplémentaires ne signifient-ils donc rien ?
Tricher dans le kernel ou avec du matériel externe est généralement plus complexe et plus long que de tricher de façon traditionnelle. Avec Vanguard, Riot tente maintenant de dissuader ces tricheurs. Les barrières d'accès continueront donc de s'élever pour les fabricants et ceux qui veulent tricher. Mais tout le monde le sait, aucun système anti-triche ne peut être parfait. En fin de compte, c'est un jeu du chat et de la souris entre les tricheurs et les anti-tricheurs. Il semble plus qu'il s'agisse de réduire le nombre de tricheurs en rendant la tricherie plus difficile et donc plus coûteuse. À long terme, il y aura aussi des tricheurs qui réussiront à contourner ce système. Je pense que, pour Riot, une telle solution est satisfaisante tant qu'elle dissuade de nombreux tricheurs. Seul Riot connaît l'efficacité réelle de ces mesures.

Riot peut-il lire vos fichiers privés avec Vanguard ?
Oui, mais c'est en principe aussi possible sans module kernel. Vous accordez aussi indirectement des droits de lecture sur vos documents à tous les logiciels que vous installez sur Windows.

Penses-tu qu'il soit justifié qu'un logiciel anti-triche exige de tels droits ?
Difficile pour moi d'évaluer, car je ne peux pas juger de l'ampleur du problème des tricheurs kernel et si la fin justifie les moyens. J'aime jouer en ligne (sans tricheurs) et je pense que Riot n'aurait pas franchi ce pas s'il ne devait pas réellement faire quelque chose contre les tricheurs. Je me souviens que c'était un vrai problème chez « PUBG ». Comme je n'allume mon ordinateur de jeu que pour jouer et que je n'y stocke aucune autre donnée, je vois plus d'avantages dans ce logiciel anti-triche qu'un risque potentiel de sécurité. Mais je comprends aussi que tout le monde ne voit pas les choses de cette façon. Surtout si les utilisateurs n'utilisent pas de systèmes séparés pour les jeux et le travail sur ordinateur. J'espère qu'une analyse indépendante détaillée du module kernel sera faite et qu'elle apportera plus de transparence, permettant ainsi de trancher plus facilement entre le fait de l'utiliser ou non.

L'affaire Valve actuelle montre bien qu'il n'existe pas de protection parfaite à 100 %. Il a été annoncé cette semaine que le code source de « Counter-Strike GO » et « Team Fortress 2 » a fait l'objet d'une fuite. Valve lui-même affirme qu'il n'y a pas de risque. Qu'en penses-tu ?
Selon Valve, il s'agit d'un code plus ancien datant de 2017 ou 2018. C'est certainement une partie tierce qui a obtenu le code pour le modding ou quelque chose de similaire. Je suppose qu'il y avait une faille de sécurité dans ce code, qui faisait qu'on pouvait assez facilement se faire infecter. La question est de savoir s'il y a encore des bugs qui n'ont pas été corrigés dans le code. Certains joueurs craignent maintenant qu'il soit devenu encore plus facile de tricher. C'est tout à fait possible, car cet aperçu donne une meilleure idée de la façon dont le code est structuré. Mais, en fin de compte, le code reste le code. Les programmeurs sont sous pression. Après tout, ce ne sont que des humains et les humains font des erreurs. Le code est une chose très complexe, quelque chose de tel peut donc arriver.

Que penses-tu des soupçons d'espionnage que les joueurs ont envers Riot ?
C'est une entreprise chinoise qui veut avant tout gagner de l'argent, du moins, c'est mon avis. Si des données sont transférées en Chine, vous pouvez être sûr qu'elles seront analysées. Si vous avez des doutes, vous ne devriez pas installer le jeu. Les droits kernel jouent un rôle mineur lorsque vous installez le logiciel sur votre PC.

Alors, tu ne déconseillerais pas d'installer « Valorant » à cause de Vanguard ?
Je pense qu'il est important de discuter de cette approche. Mais chacun est libre de choisir. Les données telles que les documents Word ou les mots de passe enregistrés dans les navigateurs d'un même système seraient en principe vulnérables aux attaques de tout logiciel installé, même sans module kernel. La vie privée pourrait également être espionnée sans module kernel. Le kernel n'est qu'une étape supplémentaire. La question est de savoir quels scénarios d'attaque restent à l'utilisateur. Je pense que beaucoup de gens devraient d'abord se poser la question de savoir comment se protéger en ce moment. Par exemple, en ne stockant aucune donnée confidentielle sur l'ordinateur avec lequel ils jouent, mais sur un ordinateur de travail séparé, mieux sécurisé. En fin de compte, c'est une question de confiance, car il est difficile pour les utilisateurs de comprendre la complexité des logiciels installés.