Blizzard, warden et vie privée
L’annonce d’une modification dans les warden, les programmes anti-triche de Blizzard, ce 13 novembre 2007 soulève des concerts de protestations. De nombreux joueurs s’inquiètent de la capacité des warden à explorer et exploiter leurs données personnelles sans laisser de trace.
- Blizzard et les warden : une longue histoire
Eshi l’évoquait sur mon billet précédent: Ces trois derniers jours, deux articles intitulés In Plain English et A storm is brewing parus sur le blog anglophone OnWarden auront nourri bien des débats concernant la politique de Blizzard de traitement des données personnelles. Selon l’auteur du billet, dans son projet de lutte contre la triche, Blizzard utilise depuis juillet 2005 des logiciels “sentinelles” (warden ) pour détecter les programmes influant sur les sessions de jeu World of Warcraft.Wikipédia nous apprend que cette technologie avait auparavant déjà été utilisée pour d’autres jeux produits par Blizzard, tels que StarCraft ou Diablo II. Le principe de ces warden est simple: déterminer ce qui sur un ordinateur donné relève d’un programme de triche, sans véritable récolte d’information. Ils ne sont là que pour dire “Oui” ou “Non” à la question: “Est-ce un programme de triche?” Le warden “visite” donc bien les données personnelles des joueurs avec leur consentement, puisqu’en s’inscrivant à World of Warcraft, les joueurs acceptent précisément de laisser un accès au client Blizzard sur leurs machines* pour, explique le développeur, mieux lutter contre la triche.
La nouveauté de ce mois de novembre, grossièrement, c’est que le warden, qui se démultiplie (polymorphe) pour examiner les fichiers est devenue “furtive”, en ce sens qu’elle ne laisse plus de trace de ses mutations précédentes. Tout ceci grâce à un nouveau système de cryptage sans cesse renouvelé. En simplifiant à l’extrême, on peut considérer que Blizzard récupère les données “Oui”/”Non” sans conserver de moyen de lecture du cryptage utilisé pour obtenir ces informations. Le fait que ce cryptage varie rend d’autant plus difficile pour les tricheurs les moyens de se tenir à jour face aux technologies du warden. (Pour plus de précisions techniques, se reporter au post: “In Plain English”)
- Quels risques pour les utilisateurs?
Le problème? Un accès par un logiciel tiers aux données personnelles sans traces évidentes de ses visites. Et une manière, pour un esprit malveillant, de récolter des informations ou d’implémenter des programmes nuisibles.
L’auteur du post In Plain English se défend d’accuser Blizzard d’intentions malhonnêtes, mais soulève tout de même le problème des risques inhérents à ce type de programme, qu’il s’agisse de Blizzard ou de toute autre entreprise qui ferait usage de cette technologie. De fait, c’est suite à la mauvaise interprétation de son premier message qu’il a publié In Plain English, insistant lourdement sur le fait qu’il réclame de la transparence et non l’arrêt de l’utilisation des warden. Il aurait même déjà réfléchi à des possibilités de lutter contre la triche à l’aide des warden sans maintenir cette opacité.
On en débat donc, sur les forums francophones comme sur les anglo, avec des titres du genre “Blizzard nous hack”. Le portail Mondespersistants.com se fend d’un article “Blizzard vous espionne“, beaucoup plus modéré dans son contenu que dans son titre.
- “Nous faisons notre travail (…) sans récolter de données personnelles”
Pour rappel, en 2005 déjà, certains montraient du doigt les warden, comme le site US rookit.com . Voici les explications de Blizzard à l’époque, qui insiste sur le fait que les informations personnelles n’ont aucun intérêt pour le développeur :
…we can’t get into what specifically it does look at, but we can say that all it tells us is whether a computer is hacking World of Warcraft. If the scan alerts us that hacking is taking place, we take action against the account, basically cutting off the access of that account to the game. Note that we have absolutely no need for any personal information from the player’s machine to take that action. That is, we can completely do our job and shut down a cheater’s account without gathering any personal data from his or her computer. Again, we have no use or desire for any personally identifying information that a player may have on his or her computer, and this particular security measure we have in place for World of Warcraft does not look at any such information on a player’s computer.
* [Mise à jour au 19.11] L’EULA FR précise uniquement:
Afin de lutter contre au mieux contre toute personne ne respectant pas volontairement nos Conditions d’Utilisation et/ou le Contrat de Licence de l’Utilisateur Final, Blizzard Entertainment utilise dorénavant un utilitaire « anti-triche » fonctionnant simultanément avec le jeu. Cet utilitaire procède à des inspections limitées (« limited scans ») :
(i) de la mémoire vive (RAM) utilisée par World of Warcraft afin de confirmer ou d’infirmer que le client du jeu World of Warcraft n’a pas été altéré ou piraté comme précisé dans nos Conditions d’Utilisation.
(ii) du processus de World of Warcraft afin de déterminer si un programme tiers non autorisé ou un code informatique a été attaché au processus de World of Warcraft.
(iii) La liste des processus du système d’exploitation afin de vérifier si un programme de piratage ou de triche est utilisé en violation de nos Conditions d’Utilisation.
E. Pour aider Blizzard Entertainment à mettre fin aux agissements des utilisateurs qui se servent de logiciels pirates ou de ” triches ” (” cheat “) pour obtenir un avantage sur d’autres joueurs, vous acceptez par la présente que Blizzard Entertainment a le droit d’obtenir certaines informations sur votre ordinateur et ses composants, y compris par l’accès aléatoire à la mémoire, la carte graphique, le processeur, et les unités de stockage de votre ordinateur. Ces informations ne seront utilisées que pour identifier les ” tricheurs ” et dans aucun autre but ;
