Nous sommes Chris Hymes (Délégué à la protection des données & Responsable de la sécurité des systèmes d'information), Mark Hillick (Directeur sécurité), Clint Sereday (Chef de produit anti-triche), Daniel Hu (Chef de produit protection des données) et Warren Kenny (Chef de produit sécurité des applications), et nous allons vous parler de Riot Vanguard.
Nous avons déjà discuté de Vanguard il y a quelque temps, mais ces dernières semaines, le programme et son pilote en mode noyau ont beaucoup fait parler d'eux. L'inquiétude qui revient le plus souvent concerne la sécurité du pilote et la protection de votre vie privée. Notre ami Paul « Riot Arkem » Chamberlain a répondu à autant de questions qu'il pouvait, mais en tant que groupe de Rioters les plus paranos qui existent, nous voulions lui venir en aide et vous donner une meilleure vision de la façon dont Vanguard est construit, avec la sécurité et la vie privée en son centre.
Un peu d'histoire de la sécurité chez Riot
Il y a quelques années, nous avons publié un article (en anglais) sur l'évolution de la sécurité chez Riot. Nous avions présenté notre approche comme :
- la gardienne de la culture de Riot orientée vers les joueurs,
- nourrie par vos retours et attentive au public,
- et attachée à offrir des solutions, pas des obstacles.
C'était vrai en 2017 et ça l'est toujours autant en 2020. Notre équipe anti-triche s'est assurée que Vanguard soit construit en coordination étroite avec nos équipes sécurité et protection des données, à toutes les étapes du développement. Nous comprenons que notre décision d'avoir bâti le pilote en mode noyau puisse inquiéter, et que vous êtes un certain nombre à vouloir en savoir plus sur la technologie derrière Vanguard. Nous ne pouvons pas vous donner trop de détails sur les spécificités techniques sans risquer de compromettre Vanguard, mais nous irons aussi loin qu'il est raisonnable de le faire ci-dessous et nous pouvons vous garantir que ces explications ont été relues par nos experts sécurité en interne et en externe.
Ce qu'il faut retenir, c'est que nous ne laisserions jamais Riot implémenter quoi que ce soit sans être certains que la vie privée et la sécurité des données des joueurs et des joueuses ont été traitées avec le sérieux qu'elles méritent. Gardons cela à l'esprit et étudions la philosophie derrière Vanguard et les fondations de son architecture.
La philosophie de Riot Vanguard
- Riot s'est engagé à atteindre l'intégrité compétitive la plus élevée dans ses jeux. Nous voulons que vous jouiez dans un monde où vous n'avez jamais à remettre en question votre talent ou celui de votre adversaire.
- Notre lutte contre la triche évolue sans cesse et nous cherchons toujours de meilleurs moyens d'atteindre nos objectifs. Les cas vont de tentatives de contrôle de la mémoire du client à la recherche de méthodes pour modifier le système d'exploitation sous-jacent.
- Si nos programmes anti-triche n'agissaient qu'au niveau utilisateur, ils perdraient en efficacité contre les logiciels malveillants qui s'attaquent à un niveau de privilège plus élevé. Par exemple, une des communautés de triche les plus avancées a utilisé l'accès direct à la mémoire (DMA) pour rediriger la mémoire vers un ordinateur différent afin de la traiter ultérieurement.
- Vanguard est une solution qui nous aidera à atteindre notre objectif d'intégrité compétitive tout en nous permettant d'adapter constamment nos armes dans cette guerre contre les tricheurs.
- Vanguard ne collecte ni ne traite aucune information personnelle supplémentaire par rapport au système anti-triche actuel de League of Legends. Riot ne cherche pas à en savoir plus sur vous ou votre appareil que ce dont il a besoin pour maintenir l'intégrité élevée du jeu. Les données que nous collectons sont utilisées uniquement pour faire tourner le jeu et les services liés à son intégrité comme Packman et Vanguard.
L'architecture de Riot Vanguard
- Vanguard est composé de trois éléments : le client, le pilote et la plateforme.
- Le client (mode utilisateur) traite toutes les alertes anti-triche quand le jeu tourne.
- Le client doit communiquer avec la plateforme pour recevoir ces alertes et pour vous permettre de jouer.
- Le client considère qu'un appareil est de confiance seulement s'il reconnaît le pilote. Les appareils suspects ne peuvent pas lancer VALORANT.
- Le pilote (en mode noyau) est utilisé par le client pour valider l'état de la mémoire et du système ainsi que pour garantir que le client n'a pas été manipulé.
- Le pilote se déclenche dès le démarrage pour empêcher les logiciels de triche de se charger avant l'initialisation du client.
- Le pilote peut être désinstallé à tout moment (chercher « Riot Vanguard » dans Ajouter ou supprimer des programmes) mais VALORANT ne peut pas tourner sans lui.
- Le pilote ne collecte ou n'envoie aucune information de votre appareil à nous.
- Le pilote a été signé par le propre certificat électronique de Riot, qui a lui-même été signé par Microsoft selon leur processus de signature de code.
Et maintenant ?
Cela fait 6 ans que, pour vous prouver notre détermination à protéger votre sécurité et votre vie privée, nous avons mis nos bugs à prix sur HackerOne. Nous avons récompensé les chercheurs en sécurité avec près de deux millions de dollars en primes et sur un large éventail de problèmes qui couvre tout ce avec quoi les joueurs interagissent. Aujourd'hui, nous annonçons la création d'une catégorie spéciale pour les vulnérabilités de Vanguard associée à des primes encore plus élevées. Nous voulons que vous continuiez à jouer en toute sérénité et nous investissons pour tenir nos promesses. Si vous pensez avoir trouvé un défaut dans Vanguard qui risque de mettre en péril la sécurité et la vie privée des joueurs et des joueuses, envoyez-nous tout de suite une requête et vous pourriez recevoir une belle prime. Consultez notre page sur HackerOne pour plus de détails.
Nous ne laisserions jamais Riot implémenter quelque chose que nous n'arriverions pas à assumer vis-à-vis de la confiance que nous accordent les joueurs et les joueuses (et nous ne pensons pas que c'est ce que voudrait Riot). Vous avez absolument le droit de nous interroger et de nous remettre en question mais une chose est certaine : nous ne travaillerions pas dans ce domaine si nous n'avions pas à cœur la confiance que vous nous accordez ainsi que la protection de votre vie privé, et si nous pensions que ce n'est pas la même chose pour Riot. Nous sommes des joueurs, comme vous, et nous n'avons pas envie d'installer sur nos ordinateurs des programmes en lesquels nous n'avons pas une confiance absolue.
Nous comptons sur vous pour continuer d'exiger de nous que nous protégions à la fois l'intégrité compétitive de nos jeux et votre vie privée.