Une mise à jour qui explique tout

Il y a quelques jours, nos colonnes mentionnait une mise à jour étrange pour Mario Kart 7, l’épisode culte sur Nintendo 3DS, près de 11 ans après sa sortie. Sans plus de précisions de la part de Nintendo, ce correctif décrit simplement que "plusieurs problèmes ont été résolus pour améliorer l’expérience de jeu". Dans la continuité de la dernière mise à jour de 2012, les premières hypothèses évoquent la correction de certains glitches ou peut-être la résolution de certains problèmes suite au portage des circuits dans le cadre des DLC de Mario Kart 8 Deluxe.

En réalité, rien de tout ça puisqu’il s’agissait surtout de contrer une faille de sécurité cachée dans le jeu et appelée "ENLBufferPwn". Selon le CVSS (Common Vulnerability Scoring System), un système chargé d’évaluer la criticité des vulnérabilités, cette faille de sécurité atteint la note de 9.8/10, ce qui est loin d’être anodin.

Plusieurs jeux Nintendo impactés

On comprend donc mieux pourquoi Nintendo est sur le qui-vive concernant cette affaire. En effet, une telle faille de sécurité peut permettre à certaines personnes malintentionnées d’infiltrer votre console durant une session de jeu en ligne pour en prendre le contrôle et dérober des informations personnelles sensibles, le tout sans même vous rendre compte de quoi que ce soit.

Cette faille a été repérée par un certain PabloMK7, entre autres, avant d’être signalée au constructeur nippon et d’être relayée sur son compte Twitter.

Voici ENLBufferPwn (CVE ID en attente), une vulnérabilité sévère dans de nombreux jeux 3DS, Wii U et Switch. Elle permet l'exécution de code à distance via une console victime en ayant simplement une session de jeu en ligne avec un hacker.

Combinée à d'autres exploitations d'OS, cette vulnérabilité pourrait permettre à un hacker d'obtenir une prise de contrôle complète de la console, et de voler des informations sensibles ou de prendre des enregistrements audio/vidéo. Elle a obtenu un score de 9.8/10 (Critique) dans le calculateur CVSS 3.1.

Nintendo a publié des correctifs pour les jeux concernés en 2022. Une liste des jeux connus pour avoir eu la vulnérabilité à un moment donné peut être trouvée dans le rapport de vulnérabilité.

La vulnérabilité a été signalée en toute sécurité par Pablomf6, Rambo6Glaz et fishguy6564 de manière indépendante en 2021/2022 par le biais du programme HackerOne de Nintendo. Dans mon cas (je l'ai trouvée dans Mario Kart 7), j'ai reçu une prime de 1000 $.

Je tiens également à remercier Nintendo de m'avoir donné l'occasion de collaborer à la découverte et à la recherche de cette vulnérabilité, et d'avoir mobilisé les ressources nécessaires à sa correction dans les anciens titres. J'espère que ces actions ont contribué à créer un environnement de jeu en ligne plus sûr.

D’ailleurs, comme le stipule cette publication, la Nintendo Switch n’est pas la seule console affectée par cette vulnérabilité qui touche également la 3DS et la Wii U. Mais face à une telle menace de sécurité, Nintendo a rapidement pris les devants en déployant une série de plusieurs mises à jour et en dressant une première liste de tous les jeux concernés (que vous pouvez retrouver dans l’encart ci-dessous).

A l’heure où nous écrivons ces quelques lignes, nous ne savons pas si les mises à jour en question concerneront également les versions Wii U tandis que nous vous conseillons fortement de mettre à jour tous les autres jeux précités sur cette liste.

A lire également :

• "Il semble que ce ne soit plus le cas", la Nintendo Switch Pro annulée ?
• Nintendo Switch : Pokémon, Splatoon, Monster Hunter… Le Top 30 des jeux les plus téléchargés en 2022
• Les jeux Nintendo Switch de 2022 qu'il ne fallait pas manquer