Selon un communiqué, CD Projekt RED, le développeur polonais de Cyberpunk 2077, The Witcher, et propriétaire de la boutique en ligne GOG.com, a été victime d’une violation de données menée par des inconnus exigeant une rançon. La déclaration a été publiée le 9 février 2021 via le compte Twitter officiel du CDPR:
Mise à jour importante pic.twitter.com/PCEuhAJosR
– CD PROJEKT RED (@CDPROJEKTRED) 9 février 2021
Le communiqué de CD Projekt RED note que le 8 février 2021, l’entreprise a découvert qu’elle était victime d’une «cyberattaque ciblée» qui avait compromis certains de ses systèmes internes. L’auteur, qui n’a pas encore été identifié, a collecté certaines des données de l’entreprise et a laissé une note de rançon. Certains appareils de l’entreprise – peut-être des postes de travail ou des serveurs – ont été chiffrés avec succès par l’attaquant, mais les sauvegardes de CDPR restent intactes. Depuis lors, l’infrastructure informatique a été sécurisée et le processus de restauration des données a commencé. À sa connaissance, les données des joueurs ou utilisateurs des services de CD Projekt RED n’ont pas été violées. CD Projekt RED a déclaré qu’il n’accepterait pas les demandes de l’attaquant ou ne négocierait pas. Il est en contact avec les autorités polonaises et les spécialistes de la médecine légale informatique, et coopérera avec eux pour enquêter sur l’incident.
Une capture d’écran de la note de rançon de l’attaquant, un fichier texte brut, a également été publiée. Dans ce document, l’attaquant prétend avoir violé l’un des serveurs du CDPR a acquis («vidé») des copies complètes du code source pour Cyberpunk 2077, The Witcher 3: Wild Hunt, Gwent, et une «version inédite de Sorceleur 3«. Ils ont également affirmé détenir des documents relatifs à la comptabilité, à l’administration, à la justice et à d’autres questions liées aux opérations internes de l’entreprise. L’attaquant a exigé que CD Projekt RED les contacte dans les 48 heures pour régler la rançon, sous peine de voir leur code source «vendu ou divulgué en ligne» et leurs documents «envoyés à nos contacts dans le journalisme de jeu».
Les violations de données et les attaques par rançon sont de plus en plus courantes à mesure que de plus en plus d’entreprises se connectent. Les éditeurs et les développeurs de jeux sont des cibles populaires à la fois pour les tentatives de rançon potentielles ou simplement pour acquérir des données sensibles, telles que des prototypes de jeux ou des informations personnelles. Par exemple, Nintendo a subi deux violations majeures rien qu’en 2020: l’une affectait les comptes de centaines de milliers d’utilisateurs d’identifiants Nintendo, et l’autre conduisait à la publication d’un grand nombre d’informations de développement pour des systèmes comme la Nintendo 64 et la Wii.
Pour le moment, les différents services de CD Projekt RED ne semblent pas affectés, y compris GOG.com. Bien que la société ait déclaré qu’aucune donnée utilisateur n’a été exposée par la violation, il peut être judicieux d’actualiser vos informations d’identification utilisateur si vous gérez des comptes sur un service ou un jeu géré par CDPR.
