Adrian Stone, Directeur senior sécurité des produits EA

Nous avons récemment lancé notre Programme de signalement des failles de sécurité produit sur le site Sécurité EA. Jusqu’ici, cette expérience a été des plus enrichissantes et nous tenons à remercier tous les membres de notre communauté dédiée à la sécurité pour leur aide. Ils garantissent l’intégrité de notre infrastructure, de nos jeux et de nos joueurs. Nous allons poursuivre notre collaboration avec de nombreux chercheurs afin de renforcer la sécurité de nos services et de nos produits.

Mais pourquoi prendre le temps de vous écrire tout ça ? 

Nous apprenons beaucoup au contact de la communauté dédiée à la sécurité en ligne et en étudiant le moindre signalement envoyé par nos joueurs. Nous avons notamment appris une chose essentielle : l’importance d’établir un lien durable avec cette communauté, mais aussi avec les joueurs qui s’intéressent à ce domaine de recherche. C’est dans cette optique que nous avons décidé de créer un nouvel outil de communication : le blog Sécurité EA. Nous travaillons également au développement de nouveaux outils de communication à destination de nos clients. Nous vous tiendrons informés de nos progrès sur ce blog.

Et j’irai même plus loin : Vous êtes géniaux, et nous recrutons !  Nos équipes de sécurité EA travaillent sur plusieurs aspects, de la sécurité d’entreprise pour protéger les systèmes internes d’EA des intrusions et attaques à la sécurité des produits, afin que les services et jeux EA soient sûrs, du début de leur développement jusqu'à leur sortie publique. Bien sûr, les menaces évoluent sans cesse et c’est pourquoi nous avons des équipes spécialisées afin de faire face et d’apporter de nouvelles solutions adaptées.

Notre programme de signalement des failles n’en est qu’à ses débuts mais deux questions reviennent déjà de manière récurrente.  

1) Comment EA détermine l’impact sur la sécurité ?

Nous utilisons deux méthodes pour déterminer la gravité d’une menace. La première repose sur le système « CVSS » reconnu par toute l’industrie. La seconde est un système de classification sur 4 niveaux de risque allant de Critique à Faible. Le niveau Critique est réservé aux failles de sécurité pouvant être exploitées sans intervention de l’utilisateur ou presque. En d’autres termes, un joueur ou un appareil peut être menacé sans même s’en rendre compte, par un pirate ou une personne malveillante se trouvant n’importe où dans le monde. Les trois niveaux de menace suivants (Important, Moyen, Faible) prennent en compte le nombre de barrières que doit contourner le pirate pour exploiter la faille de sécurité. Plus le pirate doit contourner d’obstacles, plus la menace est considérée comme faible.

2) Comment EA évalue la sévérité des problèmes signalés ?

Concernant l’impact sur la sécurité, la réponse est simple : nous utilisons la méthode « STRIDE », reconnue par toute l’industrie. Ce système de classification décrit en détail l’impact d’une faille de sécurité. Lorsque nous recevons un signalement sur une potentielle faille, un membre de notre équipe lui attribue un niveau de sévérité. Si le niveau attribué requiert plus de recherches, un ingénieur spécialisé se met alors au travail avec nos experts techniques. Au cours du processus, nous déterminons l’impact potentiel sur la sécurité du service concerné.

Je suis très heureux de pouvoir compter sur le soutien de la communauté dans le but de renforcer la sécurité de nos joueurs. Restez connecté pour plus d'informations.

- A

Adrian Stone