C’est à peine croyable : encore une mauvaise nouvelle autour de Star Citizen, alors que la version 1.0 n’est toujours pas là.
Le studio de Star Citizen, Cloud Imperium Games (CIG), a signalé un incident de confidentialité après une attaque « systématique » et « sophistiquée », qui a entraîné un accès non autorisé à certains de ses systèmes de sauvegarde, y compris un accès limité à des données personnelles d’utilisateurs. Le studio affirme que l’incident ne représente pas un risque de sécurité et qu’aucune donnée financière ou de paiement n’a été dérobée. Malgré cela, CIG est critiqué pour la manière dont il a rendu l’incident public, et pour le temps qu’il lui a fallu pour le faire. Un message a été publié sur le site de Roberts Space Industries, qui indique :
« Le 21 janvier 2026, CIG a été la cible d’une attaque systématique et sophistiquée, entraînant un accès non autorisé à certains systèmes de sauvegarde, y compris un accès limité aux données personnelles des utilisateurs. CIG a réagi rapidement pour contenir l’activité, bloquer tout accès supplémentaire à ces données et à ses systèmes, et nous avons mis à jour nos paramètres de sécurité afin de garantir que nos jeux et nos utilisateurs ne soient pas en danger. Bien que CIG continue de surveiller la situation, nous ne considérons pas que l’incident présente un risque pour la sécurité de nos utilisateurs. Les données concernées se limitent à des informations de compte de base (c’est-à-dire métadonnées, coordonnées, nom d’utilisateur, date de naissance et nom).
Aucune information financière ou de paiement n’était stockée dans les systèmes concernés, et aucune n’était accessible. Les mots de passe ne sont pas affectés, et l’accès était en lecture seule. Il n’y a pas eu d’injection ni de modification de données. Nous surveillons de près la situation et nos systèmes afin d’éviter tout nouvel incident. Nous prenons également des mesures pour évaluer et détecter si des données accessibles ont été rendues publiques. À ce stade, rien n’indique une telle activité. Nous partageons cette mise à jour par souci de transparence. Toutefois, nous ne pensons pas que cet incident aura un impact sur nos utilisateurs », précise le communiqué.
Ce message n’apparaît pas comme un lien sur la page d’accueil de RSI. D’après le subreddit Star Citizen, les utilisateurs n’ont pas été informés par e-mail de la faille. Les canaux de réseaux sociaux de Star Citizen n’en parlent pas non plus. À la place, l’annonce apparaîtrait dans une fenêtre pop-up lorsque les joueurs se connectent à leur compte Star Citizen. L’affaire n’aurait pris une ampleur plus large qu’après que des joueurs l’ont signalée à The Register. Des critiques portent aussi sur le délai avant la divulgation, même si certains soutiens estiment que six semaines n’est pas déraisonnable dans ce type de cas. Il a fallu des mois pour que l’incident de confidentialité de Notepad++ soit connu, alors qu’en 2023, lorsque Insomniac a subi une attaque importante, le studio l’a rendu public en l’espace d’une semaine.
Comment
byu/arcticgamez from discussion
instarcitizen
Plus inquiétant encore : des données ont été dérobées. Même si CIG a minimisé le risque en soulignant l’absence d’informations financières dans les données concernées, certains observateurs estiment que les informations accessibles pourraient servir à des attaques de « social engineering », d’autant que le studio n’a pas détaillé ce que contenaient exactement les métadonnées. Selon un utilisateur de Reddit, si ces métadonnées incluaient des e-mails, des noms et des dates de naissance, cela pourrait permettre l’envoi de campagnes de phishing dangereuses à l’ensemble de la base d’utilisateurs…
Source : PCGamer, The Register
