Google et Epic sont à blâmer pour le fiasco de Fortnite sur la sécurité

La version Android de Fortnite est devenue un champ de bataille entre Google et Epic Games, l'éditeur du jeu, les deux parties accusant l'autre de compromettre la sécurité des utilisateurs.

Malheureusement, les deux entreprises ont raison. Mais s'ils s'opposent à propos de la réduction des millions de dollars générée par le succès fulgurant d'Epic, les joueurs en paient le prix.

Google a raison de critiquer Epic

La décision d'Epic de distribuer la version Android de Fortnite par l'intermédiaire de son propre site Web au lieu de Google Play contrariait Google et avec raison.

Google prélève 30% des revenus sur chaque application publiée dans Google Play et Epic Games ne veut pas céder ce qui serait probablement une bonne partie du changement à Google. Le jeu a généré des revenus de 1 milliard de dollars au cours de sa première année; Sur iOS, Fortnite a généré 200 millions de dollars au cours des cinq premiers mois.

En juillet, Epic a également réduit sa part des revenus générés par Unreal Engine Marketplace de 30% à 12%, et le PDG, Tim Sweeney, a attribué cette évolution en partie au succès de Fortnite. Cela se passait quelques semaines avant qu'Epic ne publie la version Android de Fortnite, probablement pour justifier sa propre décision de rejeter les frais de Google Play.

De nombreux développeurs n'apprécient pas ces frais, mais seule une entreprise de la portée et de la réputation d'Epic peut échapper à la visibilité offerte par Google Play. (Apple facture des frais identiques dans son App Store, mais iOS n'offre aucune option pour le chargement latéral d'applications en dehors de l'App Store.)

L'auto-distribution de Fortnite pour Android donne également à Epic un accès aux utilisateurs situés dans des régions telles que la Chine, où Google Play n'est pas disponible, sans avoir à déployer des méthodes de distribution distinctes. Mais les revenus supplémentaires justifient-ils la pratique peu sûre de publier le jeu en dehors de Google Play?

Google Play n'est pas sans faille de sécurité, mais c'est l'endroit le plus sécurisé pour publier une application Android. On pourrait soutenir qu'en tant qu'éditeur professionnel réputé et respecté, Epic adhérerait à des pratiques de codage sécurisées et n'infligerait jamais intentionnellement de code malveillant à ses applications. Mais il est toujours nécessaire de disposer d'une deuxième, d'une troisième et peut-être d'une quatrième paire de professionnels de la révision et de l'audit de votre code et de votre application pour détecter les failles de sécurité, comme Google l'a ultérieurement démontré lors de la découverte d'une faille avec le programme d'installation Android Fortnite.

Ce qui rend vraiment la décision d’Epic dangereuse, c’est que les utilisateurs doivent modifier la sécurité par défaut de leur téléphone pour permettre l’installation d’applications provenant de sources autres que Google Play. Cela ouvre une boîte de Pandore de problèmes de sécurité et rend les utilisateurs vulnérables à de nombreux types de cyber-attaques . Par exemple, un système de phishing bien planifié pourrait attirer les utilisateurs vers un faux site Web qui installe une version malveillante de l'application à partir d'une source autre que les serveurs d'Epic Games.

Ainsi, la décision d'Epic d'exposer les utilisateurs à des risques de sécurité dans le but de récupérer une partie infime de ses revenus ne peut être qualifiée que d'égoïste.

Epic a raison de critiquer Google

Comme Epic n’a pas publié Fortnite dans Google Play, Google n’a aucune obligation de le consulter. Mais la société a tout mis en œuvre pour analyser l'application et - peut-être au grand plaisir de Google - a-t-elle découvert une grave vulnérabilité de type «homme dans le disque» dans l'application d'installation de Fortnite.

Cela signifie que lorsque le téléphone d'un utilisateur contient déjà une application malveillante, il peut détourner le processus d'installation de Fortnite pour installer une version du jeu infectée par un programme malveillant au lieu de la version authentique.

Les efforts de Google sont louable, des dizaines de millions d’utilisateurs joueront au jeu mobile dans les mois à venir. Et Epic a déployé une mise à jour dans les 48 heures qui suivent la notification du bogue.

Mais malgré la demande de Epic que Google attendez Quatre-vingt-dix jours avant la divulgation du bogue, Google a rendu public le fil de discussion Issue Tracker sept jours après la résolution du problème par Epic. "La sécurité des utilisateurs est notre priorité absolue. Dans le cadre de notre surveillance proactive des logiciels malveillants, nous avons identifié une vulnérabilité dans le programme d'installation de Fortnite", a déclaré Google.

Mais le fait qu’elle ait révélé la vulnérabilité si tôt remet en question cette "priorité absolue". En rendant le fil public, l'ingénieur de Google a déclaré la décision conformé à sa politique de divulgation des vulnérabilités, qui stipule: "Nous avertissons immédiatement les fournisseurs des vulnérabilités, les détails étant partagés en public avec la communauté défensive après 90 jours, ou plus tôt si le fournisseur publie un correctif".

Tim Sweeney, PDG d’Epic, a qualifié cette démarche d’attaque irresponsable et a accusé Google de mettre en danger les utilisateurs "au cours de ses efforts de lutte contre les relations publiques contre la distribution de Fortnite par Epic en dehors de Google Play".

• Guide du débutant à Fortnite: 12 conseils pour votre premier match Guide du débutant à Fortnite: 12 conseils pour votre premier match
• Fortnite sur Android: mains sur le Samsung Galaxy S9 + Fortnite sur Android: mains sur le Samsung Galaxy S9 +
• Comment débloquer le skin exclusif Galaxy de Fortnite Comment débloquer le skin exclusif de Fortnite Galaxy

Sweeney a raison. Google avait de nombreuses raisons de faire preuve de plus de souplesse et de retenue dans la publication du bogue s'il s'était réellement soucié de la sécurité de ses utilisateurs. N'oublions pas qu'il s'agit d'une application distribuée en dehors de Google Play, ce qui signifie que son processus de mise à jour risque de ne pas être aussi fluide que celui d'autres applications publiées dans le Play Store. De plus, comme des dizaines de millions d’utilisateurs l’ont déjà installée, attendre quelques semaines de plus pour s’assurer que tout le monde a mis à jour l’application n’aurait pas fait mal.

La hâte de Google de divulguer les indices de bogues sur des motifs inavoués, le plus évident étant la vengeance sur Epic Games pour avoir contourné son Play Store. Bien que Google ne puisse pas faire grand chose pour forcer Epic à modifier le modèle de distribution de Fortnite, sa sanction est un message adressé à tout développeur qui souhaite éviter de passer à Google Play, où les utilisateurs dépensent environ 20, 1 milliards de dollars par an.

Tant Google que Epic Games regorgent d’argent, mais dans leur lutte acharnée pour tirer plus de profits de leurs logiciels et de leur plate-forme, ils nuisent aux utilisateurs qu’ils prétendent servir.