La fuite de GTA 6 pourrait être imminente, le groupe de hackers ShinyHunters s'adressant à Rockstar Games avec Redemption

Le groupe de pirates ShinyHunters a placé Rockstar Games sur son site de fuites du dark web, revendiquant l'accès aux données cloud du studio par le biais d'un outil d'analyse tiers compromis. Le groupe a fixé au 14 avril la date limite de paiement de la rançon. Payez, ou les données seront rendues publiques.

Selon The CyberSec Guru, un chercheur en cybersécurité qui suit l'incident, ShinyHunters a posté l'ultimatum directement sur son site de fuite, ciblant le créateur de Grand Theft Auto avec une demande de paiement. Les attaquants affirment qu'ils n'ont pas pénétré directement dans Rockstar ou dans son entrepôt de données Snowflake. Ils sont passés par Anodot, une plateforme SaaS que Rockstar utilise pour la surveillance des coûts dans le nuage et la détection des anomalies dans les dépenses. Les ShinyHunters ont extrait des systèmes d'Anodot des jetons d'authentification - des références numériques qui permettent à un service de communiquer avec un autre sans avoir à saisir manuellement un mot de passe. L'instance Snowflake de Rockstar faisant confiance à ces jetons, les attaquants ont accédé à l'environnement comme s'il s'agissait d'un processus interne légitime.

Snowflake lui-même ne semble pas avoir été compromis. La plateforme a authentifié des informations d'identification valides, ce qui est exactement ce pour quoi elle a été conçue. La défaillance s'est produite au niveau de la couche d'intégration: Anodot détenait des autorisations de lecture étendues sur l'entrepôt Snowflake de Rockstar, et une fois Anodot compromis, ces autorisations ont été transférées aux attaquants. ShinyHunters aurait procédé à des exportations de bases de données pendant un certain temps avant que quoi que ce soit ne soit signalé. Comme le schéma d'accès imitait une activité de surveillance normale, l'équipe de sécurité de Rockstar n'avait aucune raison évidente d'intervenir.

Image: Page d'état d'Anodot via The CyberSec Guru

Selon The CyberSec Guru, la violation concernerait des données d'entreprise plutôt qu'une fuite de code de jeu. L'exposition signalée comprend les plans de marketing de Rockstar pour GTA 6, mais pas le code source du jeu. L'étendue de ce qui a été accédé n'est pas encore claire. À l'heure où nous écrivons ces lignes, Rockstar Games et sa société mère Take-Two Interactive n'ont fait aucun commentaire. Ce silence est conforme à la manière dont les deux sociétés ont géré les incidents précédents.

Rockstar n'est pas la seule cible de cette vague. ShinyHunters a récemment réclamé les données de plus de 400 entreprises liées à des intégrations Salesforce. Parmi les victimes citées figurent Cisco, la société de télécommunications canadienne Telus et le fournisseur néerlandais Odido. Les messages publiés sur les forums par le groupe font également allusion à des données de la Commission européenne. Le point commun entre tous ces cas est l'accès par des tiers - un outil compromis créant une exposition en aval dans des dizaines ou des centaines d'organisations.

ShinyHunters opère depuis environ 2020. Le groupe cible les API, les systèmes d'identité et les couches d'intégration plutôt que les utilisateurs individuels. Parmi les violations revendiquées par le passé figurent 500 gigaoctets de code source Microsoft en 2020, 270 millions d'enregistrements d'utilisateurs de Wattpad, ainsi que des données d'AT&T et de Ticketmaster. Le groupe est également lié à la vague de vols d'informations d'identification liée à Snowflake, qui a touché de nombreuses entreprises en 2025. Ils savent comment générer une couverture médiatique et utiliser la pression publique comme moyen de pression sur les cibles.

Rockstar n'en est pas à son premier coup d'essai. En 2022, un adolescent a divulgué les premières images de GTA VI après avoir compromis les canaux Slack du studio. Cette violation était opportuniste. Celle-ci est plus méthodique et passe par les chaînes d'approvisionnement des logiciels d'entreprise plutôt que par le compte d'un seul employé.

GTA VI est le jeu le plus attendu depuis des années, et cette attente rend les données internes de Rockstar particulièrement précieuses. Si les ShinyHunters ont accédé aux instances de Snowflake liées aux opérations de Rockstar, l'exposition potentielle s'étend aux dossiers financiers de GTA Online et Red Dead Online, aux dépenses des joueurs et aux analyses géographiques, aux calendriers de marketing et aux accords contractuels avec Sony, Microsoft, les acteurs vocaux et les concédants de licence de musique. Le délai de paiement de la rançon est fixé au 14 avril. Si les données des joueurs font surface avant cette date, Rockstar sera confrontée aux exigences de divulgation du GDPR et de la CCPA, à une éventuelle surveillance de la FTC et à un risque de recours collectif, tout en se préparant à un lancement important.

Jusqu'à présent, rien ne prouve que des mots de passe de joueurs individuels ou des détails de cartes de paiement aient été consultés. La violation semble concerner l'ensemble de l'entreprise. Néanmoins, l'activation de l'authentification à deux facteurs sur les comptes Rockstar Social Club est une précaution raisonnable.

Il m'est difficile de rejeter d'emblée cette allégation, étant donné le nombre d'entreprises qui ont déjà confirmé les dommages causés par les opérations de ShinyHunters à travers les vagues d'intégration de Snowflake et de Salesforce. Nous pouvons rappeler les récentes activités d'embauche de Rockstar, en particulier la recherche de personnel pour les tests d'assurance qualité, et si l'entreprise continue à garder le silence, le suivi de signaux opérationnels similaires - comme les hausses de recrutement de testeurs ou les restructurations internes - pourrait fournir des preuves indirectes de la réalité des données volées et de la quantité de ces données que le studio considère comme sensibles. Étant donné que l'exposition signalée concerne des dossiers d'entreprise et des plans de marketing plutôt que du code source, je soupçonne que les données pourraient également contenir des détails sur la façon dont le moteur de jeu de Rockstar a réellement changé - le moteur que le studio aurait reconstruit à partir de zéro pour GTA 6, et l'un des actifs techniques les plus étroitement gardés dans l'industrie.

Le point d'entrée de cette brèche n'était pas un mot de passe faible ou un pare-feu mal configuré. Il s'agissait d'un jeton d'authentification stocké dans une plateforme d'analyse tierce à laquelle Rockstar a accordé un large accès à son entrepôt de données. La rotation des jetons, les politiques d'accès au moindre privilège, la surveillance des sorties et l'authentification multifactorielle sur les comptes de service sont les recommandations standard. La plupart des entreprises n'appliquent toujours pas ces quatre recommandations. Les entreprises qui apparaissent ce mois-ci sur le site de fuite de ShinyHunters apprennent ce qu'il en coûte de cette lacune.

Ce rapport est basé sur des déclarations d'acteurs de la menace et sur des enquêtes en cours. Rockstar Games n'a pas confirmé l'ampleur de la violation.

L'ancien développeur de Rockstar Games, Rob Carr, qui a travaillé comme concepteur sonore sur Red Dead Redemption et Grand Theft Auto V, a récemment participé au podcast Kiwi Talkz et a parlé de l'approche "illimitée" de Rockstar en matière de développement - la philosophie qui consiste à construire chaque élément du jeu au niveau le plus élevé possible. Le budget de GTA VI approchant les 3 milliards de dollars, les commentaires de Carr suggèrent que les ambitions du studio en matière d'échelle et de détails pourraient dépasser tout ce qu'il a fait jusqu'à présent.