Sécurité des comptes Epic Games

16.04.2019
Plus de 250 millions de personnes dans le monde possèdent un compte Epic. La sécurité des comptes est donc primordiale pour Epic Games. Ce communiqué a pour objectif de présenter les fonctionnalités et mesures de sécurité actuelles et futures que nous utilisons et utiliserons pour protéger votre compte.

Attaques visant les comptes Epic
Le système de compte Epic alimente le jeu Fortnite, la boutique Epic Games et le moteur Unreal Engine. Ce système de compte n'a jamais été compromis. Toutefois, certains comptes Epic individuels ont été compromis par des pirates via des listes d'adresses électroniques et de mots de passe divulgués provenant d'autres sites compromis. 

Si vous utilisez la même adresse électronique et le même mot de passe sur Epic que sur un autre site et que ce site a été compromis, votre compte est alors vulnérable aux attaques. Pour sécuriser votre compte Epic, utilisez un mot de passe unique et activez l'authentification multifacteur.

Si vous utilisez la même adresse électronique sur Epic que sur un autre site qui a été compromis, mais un mot de passe différent, alors votre compte n'est pas vulnérable. Dans ce cas cependant, il est possible que vous receviez des courriers électroniques envoyés par Epic vous avertissant que des tentatives de connexion à votre compte ont eu lieu.

Par ailleurs, certains nouveaux utilisateurs, au moment de créer leur compte, se sont aperçu que leur adresse électronique était déjà associée à un compte Epic. Ceci est dû à une attaque récente au cours de laquelle un botnet a créé des millions de comptes Epic inactifs en utilisant des adresses électroniques connues. Ces comptes sont en cours de suppression par nos services. Si vous créez un nouveau compte Epic et trouvez un compte déjà existant avec votre adresse électronique, vous pouvez réinitialiser le mot de passe pour le récupérer.

Activation de l'authentification multifacteur
L'authentification multifacteur (MFA) est le principal outil de protection de votre compte contre les accès non autorisés. Actuellement, deux méthodes de MFA sont prises en charge par notre système : l'authentification par courrier électronique et l'authentification basée sur des applications. Avec l'authentification multifacteur, pour vous connecter à partir d'un nouvel appareil ou après une période d'inactivité, vous devez saisir un code unique lors de la connexion.

Nous vous recommandons d'utiliser une application d'authentification sur smartphone comme Authy, Google Authenticator ou d'autres services pour stocker et gérer vos codes MFA.

Notre système prend également en charge l'authentification par courrier électronique. Lorsque vous utilisez la MFA par courrier électronique, votre compte Epic bénéficie du même niveau de sécurité que votre compte de messagerie. Veillez donc à bien sécuriser votre compte de messagerie.

L'authentification basée sur SMG (messagerie texte) sera également bientôt prise en charge.

Si vous configurez la MFA sur un compte avec lequel vous avez joué à Fortnite, vous recevez gratuitement une emote « Boogie Down » dans Fortnite. Consultez ce guide pour configurer dès maintenant la MFA sur votre compte Epic Games.

Sécurité du mot de passe
Choisissez toujours un mot de passe fort lorsque vous créez des comptes en ligne sur quelque plateforme que ce soit, y compris Epic Games. Utilisez un mot de passe unique pour chaque compte. Utilisez un générateur ou un gestionnaire de mots de passe pour garder une trace de vos mots de passe, plutôt que d'utiliser des mots de passe courts et simples.

Afin d'avoir une couche supplémentaire de protection des comptes, nous surveillons en permanence les combinaisons d'adresses électroniques et de mots de passe provenant d'autres sources et qui ont été publiquement divulguées. Les comptes correspondants sont ensuite automatiquement verrouillés et la réinitialisation du mot de passe est exigée lors de la prochaine connexion. Ce système de sécurité s'exécute dans Epic, à l'aide de mots de passe cryptés, de sorte que vos données ne sortent jamais d'Epic.

De plus, nous avons démarré un processus de sécurisation des nouveaux mots de passe en les comparant avec la liste des mots de passe divulgués « Pwned Passwords list (v4) » du site Have I Been Pwned avant qu'ils ne soient associés à un compte. Cela permet d'éviter que les utilisateurs ne sécurisent leur compte à l'aide de mots de passe déjà connus des pirates.

Sécurité des comptes externes
Votre compte Epic bénéficie du même niveau de sécurité que les comptes externes qui lui sont associés. En effet, si un compte externe est compromis, il peut être utilisé pour se connecter à votre compte Epic. Il est donc important de prendre exactement les mêmes précautions de sécurité avec vos comptes externes associés qu'avec votre compte Epic. L'utilisation de mots de passe uniques et l'activation de la MFA sur vos comptes externes (Playstation Network, Xbox Live, Nintendo, Facebook, Google) reste la meilleure méthode de sécurisation.

Vérification des adresses électroniques
Très bientôt, Epic exigera la vérification des adresses électroniques pour tous les nouveaux comptes créés. D'ici là, vous pouvez vérifier manuellement votre adresse électronique en suivant les instructions fournies ici.

Détection des comptes compromis
Le système de compte Epic détecte de nombreux types de compromission des comptes et nous travaillons à l'ajout de nouvelles méthodes de détection. Si votre adresse électronique est vérifiée et que nous détectons que votre compte a été compromis, nous le verrouillons pour empêcher tout nouvel accès et initions immédiatement le processus de réinitialisation du mot de passe associé à cette adresse électronique.

Tout au long de l'année 2019, nous ajouterons de nouvelles méthodes de détection afin d'identifier et de déjouer les futures attaques.

Attaques des systèmes Epic perpétrées par le passé
Historiquement, Epic gère d'autres services en ligne non liés au système de compte d'Epic Games. En 2016, les forums vBulletin d'Epic ont été compromis, révélant les identifiants de connexion aux forums, identifiants que nous avons ensuite réinitialisés. Depuis, nous avons mis à niveau tous nos forums afin qu'ils intègrent le système de compte d'Epic Games.