Une série de piratages de prise de contrôle de compte a incité la Premier League anglaise à promettre d’introduire des contrôles d’authentification à deux facteurs (2FA) dans son jeu officiel Fantasy Premier League (FPL) à partir de la saison prochaine.

FPL compte plus de huit millions de joueurs, qui s’inscrivent avec une adresse e-mail et un mot de passe standard, bien que 2FA ne soit pas proposé en option.

Une vague de hacks cette saison a vu des attaquants viser apparemment des équipes performantes classées dans le top 100 000.

Le nombre précis de tentatives de prise de contrôle de compte n’est pas clair, mais il suffit de rechercher le terme ‘pirater’ sur FantasyPL Reddit montre que de nombreuses personnes affirment avoir été touchées, et le problème est loin d’être isolé.

Dans certains cas, les comptes ont été supprimés et de nombreuses victimes ont eu du mal ou n’ont pas réussi à récupérer les points perdus de la ligue de football fantastique.

Le jeu FPL est gratuit et les chances de gagner un prix, comme un voyage pour voir un match de football ou des produits de Premier League, sont minces, voire nulles.

Néanmoins, de nombreux participants à la FPL consacrent un temps considérable à la recherche et à la sélection de leur équipe sur une période de plusieurs mois, dans le but de surpasser et de surpasser leurs amis et collègues dans les nombreuses ligues privées qui caractérisent le jeu.

Le jeu a également engendré une communauté dynamique de chaînes YouTube, de discussions et de sites Web de sélection d’aide d’équipe (plusieurs abonnements).

Fantasy Premier League est une plateforme de football fantastique extrêmement populaireFantasy Premier League est l’une des plateformes de football Fantasy les plus populaires au monde

Les pirates ont effectué de nombreux transferts, entraînant des déductions de points sur des comptes compromis et une chute de classement sévère qui peut facilement ruiner la saison d’un joueur. Les mécréants non encore identifiés ont également changé les noms des équipes de victimes.

Le motif des attaquants (saboter des rivaux, pure diablerie ou autre chose) et encore moins leur identité reste flou.

La Premier League a réagi à la prévalence croissante des piratages au cours des dernières semaines sur son compte Twitter officiel, conseillant aux utilisateurs de changer fréquemment ou mettre à jour son mot de passe régulièrement – une pratique qui a suscité le mépris des experts en sécurité des mots de passe.

« La mise à jour régulière des mots de passe est un vieux conseil et un mauvais conseil… vous [should] utilisez des mots de passe longs et uniques pour chaque service… associés à 2FA », a déclaré Per Thorsheim, expert en sécurité et fondateur de la conférence PasswordsCon. La gorgée quotidienne.

Tout démarre

Fin septembre, plus tôt dans la saison de football 21/22, la Premier League – qui est dirigée sous les auspices de la Football Association (FA) – a proposé une déclaration accusant les utilisateurs d’incidents de prise de contrôle de compte sur le partage des informations de connexion avec un tiers anonyme. sites Internet.

« Il n’y a aucune indication ou preuve d’une faille de sécurité sur les comptes de ces personnes via fantasy.premierleague.com ou l’application mobile Premier League », a-t-il déclaré. mentionné à l’époque.

Les joueurs FPL utilisent souvent des sites Web ou des applications tiers pour faciliter la gestion de l’équipe. Beaucoup sont supposés utiliser les mêmes identifiants de connexion sur plusieurs sites, ce qui les laisse ouverts aux attaques de bourrage d’informations d’identification si un site qu’ils ont visité subit une violation.

La gorgée quotidienne a sollicité l’expertise de l’expert en violation Troy Hunt, le fondateur du célèbre moteur de recherche de violation de données Ai-je été pwned?qui nous a expliqué que les circonstances des piratages portaient la marque d’attaques par credential stuffing.

Un site d’assistance aux fans populaire, Fantasy Football Hub, a connu une incident de sécurité plus tôt cette année, lorsqu’il est apparu qu’il n’avait pas réussi à utiliser un hachage fort pour les mots de passe. Les mots de passe des utilisateurs ont été compromis par l’incident, a admis Fantasy Football Hub.

On ne sait pas quelle influence, le cas échéant, ce problème a eu sur le problème croissant des prises de contrôle de compte FPL.

Changement de règle controversé

L’escalade des incidents de prise de contrôle de comptes au cours des dernières semaines a porté le problème à ébullition.

La semaine dernière le La Premier League a mis en œuvre un changement de règleinterdisant aux managers d’effectuer plus de 20 transferts en une seule semaine de jeu, sauf dans les cas où des transferts illimités peuvent être effectués sans pénalité (par exemple lorsque le jeton Free-Hit une fois par saison est joué).

Le passage de la Premier League pour modifier les règles du jeu plutôt que d’introduire 2FA a suscité la colère de la communauté et, sous le poids de la pression des fans, la Premier League a cédé mardi (25 janvier) en promettant d’introduire 2FA – bien que, seulement à partir de la saison prochaine.

« Nous continuerons à prendre des mesures pour protéger la sécurité des comptes et nous nous engageons à introduire l’authentification à deux facteurs pour la saison 2022/23 », a déclaré le dit la Premier League via son compte Twitter officiel.

Dans une association article de blog sur le site Web de la Premier League, les organisateurs du jeu ont imputé la vague de prises de contrôle de comptes à des violations de sites Web tiers – une preuve supplémentaire à l’appui de la théorie du bourrage d’informations d’identification – sans nommer de suspects particuliers :

« Un certain nombre de managers de Fantasy Premier League ont vu leur équipe compromise d’une manière ou d’une autre au cours de la semaine dernière. Nous sommes désolés que leur saison ait été impactée de cette manière et la frustration que cela a causée.

« Il n’y a aucune indication ou preuve d’une faille de sécurité sur les comptes de ces managers FPL via fantasy.premierleague.com ou l’application mobile Premier League.

« Malheureusement, les responsables FPL concernés avaient utilisé la même combinaison d’adresse e-mail et de mot de passe sur d’autres sites Web ou applications tiers qui ont été impliqués dans des failles de sécurité dans le passé. Ces violations ne se limitent pas aux sites Web ou aux applications qui fournissent des informations ou des services liés à FPL.

« Nous aimerions profiter de cette occasion pour rappeler à tous les responsables FPL que l’utilisation de la même combinaison d’adresse e-mail et de mot de passe sur d’autres sites met en danger la sécurité de votre équipe FPL. »