Même avec une certaine ironie, c’est moche
Dans un tweet surprenant — et inquiétant — qui est apparu ce matin sur la timeline des personnes abonnées à CD Projekt, le studio polonais indique avoir été victime d’une cyber-attaque ciblée. Evidemment, la situation a évoluée en véritable chantage de la part des netrunners pirates.
Important Update pic.twitter.com/PCEuhAJosR
— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021
- Hier, nous avons découvert que nous avons été victimes d’une cyberattaque ciblée, en raison de laquelle certains de nos systèmes internes ont été compromis. Un acteur non identifié a obtenu un accès non autorisé à notre réseau interne, collecté certaines données appartenant au groupe capital CD PROJEKT, et a laissé une note de rançon dont nous rendons public le contenu. Bien que certains appareils de notre réseau ont été chiffrés, nos sauvegardes sont intactes. Nous avons déjà sécurisé notre infrastructure informatique et commencé à restaurer les données.
Il s’agirait d’une attaque par ransomware tout ce qu’il y a de plus classique, mais manque de bol pour les pirates, le système de sauvegarde de l’entreprise a fonctionné et aucune donnée ne semble avoir été perdue.
Nous ne céderons pas aux demandes ni ne négocierons avec l’acteur, sachant que cela peut éventuellement conduire à la publication des données compromises. Nous prenons les mesures nécessaires pour atténuer les conséquences d’une telle dissémination, notamment en se approchant de toutes les parties qui pourraient être touchées par cette violation.
Dans la note de rançon laissée par les pirates (sérieux, les mecs ont dit “epically pwnd”, quoi), ces derniers affirment avoir volé le code source de The Witcher 3, de Gwent, du serveur réseau pour Cyberpunk 2077 (dont le multijoueur est toujours en développement) et… la fameuse première version de The Witcher 3 que les simples mortels n’ont encore jamais vu. Histoire d’en rajouter une couche, de nombreux documents administratifs sensibles auraient été volés.
Capcom est passé par une angoisse similaire en fin d’année dernière, et de grosses fuites ont eu lieu. Ne pas céder à la demande des pirates est sûrement la bonne chose à faire, mais CD Projekt est désormais vulnérable à la divulgation de documents sensibles qui pourraient nuire à l’entreprise. Bien que ça ne lui ai pas très bien réussi avec Cyberpunk 2077, CD Projekt joue une fois de plus la carte de la transparence.
Heureusement, aucune données personnelles liées aux joueurs n’auraient été comprises. Prenez le temps de changer votre mot de passe GOG, tout de même.
Nous enquêtons toujours sur l’incident, mais pour le moment, nous pouvons confirmer que — à notre connaissance — les systèmes compromis ne contenaient aucun les données de nos joueurs ou utilisateurs de nos services. Nous avons déjà contacté les autorités compétentes, y compris les forces de l’ordre et le président du bureau de protection des données personnelles, ainsi que des spécialistes de l’informatique forensique, et nous coopérerons étroitement avec eux afin d’enquêter de manière approfondie sur cet incident.
Si certaines données venaient à être divulguées dans les prochains jours ou prochaines semaines, on espère que cela ne mettra pas en péril le travail du studio polonais qui a déjà pas mal de problèmes sur les bras.
