Une montagne d’argent
Pour accueillir Tim Sweeney sur la scène du Moscone Center de San Francisco, ce 8 novembre 2018, Thomas Ko tient un sceptre dans la main gauche. Il le pose au sol quand le patron des studios Epic Games apparaît sous les projecteurs et les applaudissements. Ici, son hôte est roi. Comme le bâton doré, le t-shirt du maître de cérémonie lui rend hommage en s’inspirant du jeu vidéo Fortnite. « J’ai dû prendre un selfie en coulisse parce que c’est un moment historique pour moi », admet Thomas Ko. Cet organisateur de la Developer Conference mise sur pied par Samsung est comme un enfant. En face de lui, Tim Sweeney ressemble à un adolescent mal dégrossi dans son pantalon bouffant beige et sa veste grise.
À 48 ans, le fondateur d’Epic Games figure pourtant parmi les 500 personnes les plus riches du monde depuis le 7 janvier 2019. Grâce à la vente de parts de son fonds d’investissement, il est devenu non seulement la première fortune du jeu vidéo mais aussi la 197e tous secteurs confondus. D’après les estimations du journal économique américain Bloomberg, il possède 7,18 milliards de dollars, soit 6,25 milliards d’euros. À lui seul, Fortnite a engendré trois milliards de dollars de bénéfices en 2018. Campé sur cette montagne d’argent, Tim Sweeney se montre rarement, si ce n’est pour recevoir des éloges et raconter l’histoire de son ascension avec un sourire ingénu.
Mais cet empire est-il si solide ? Le 9 janvier 2019, Epic Games a reçu un F – une piètre note – de la part du Better Business Bureau (BBB). Sur les 279 plaintes concernant l’éditeur de jeux vidéo répertoriées par cette organisation non-gouvernementale, dont 271 l’an passé, 247 sont restées lettre morte. Ses propres messages n’ont pas reçu davantage de réponse. Pire, certains utilisateurs dont la carte bancaire avait été créditée sans leur autorisation ont simplement appris de l’entreprise qu’ils ne seraient pas remboursés. Car si Fortnite est gratuit, ses personnages peuvent obtenir de nouvelles tenues, gestuelles ou armes moyennant finance.
« Epic Games trompe les parents et les jeunes en employant des pratiques de facturation douteuses », accuse un internaute sur le site du BBB. « J’ai autorisé un seul achat pour mon fils de 11 ans, pour découvrir ensuite que les informations de ma carte de crédit n’avaient pas été effacées, de sorte que mon fils a pu dépenser 140 dollars en moins de huit jours. » Aucune réponse ne lui a été apportée par téléphone ou par e-mail. « C’est une arnaque », proteste-t-il. Mais en la matière, il y a pire. Parce qu’il a réuni 200 millions de joueurs et brassé quelque 300 millions de dollars les 200 premiers jours, Fortnite « a attiré l’attention de cyber-criminels », pointe un rapport de la société de sécurité en ligne Sixgill. Elle parle même de l’existence d’un « écosystème criminel ».
À l’aide de cartes de crédits volées, ou de fonds illégalement acquis dans les méandres du deep web, des centaines de personnes ont acheté des accessoires sur Fortnite afin de les vendre à un joueur contre de l’argent, quitte à les proposer à des prix attrayants. Ainsi ont-elles pu blanchir leur argent. Ces « acteurs malveillants se moquent des faibles mesures de sécurité d’Epic Games », pointe Benjamin Preminger, analyste à Sixgill. « Ils remarquent que l’entreprise n’a pas l’air de se soucier des joueurs qui se servent du jeu pour frauder. » Entre septembre et début octobre, la firme de sécurité Zerofox a dénombré 53 000 comportement délictueux dans le jeu. Dans 86 % des cas, la vente à prix réduit de la monnaie du jeu, le v-buck, a été réalisée au moyen de publicités sur les réseaux sociaux.
La loterie
Entre un foulard et une casquette de base-ball, le regard d’un hacker se fixe dans une webcam. Derrière lui, une chambre d’adolescent trahit son âge : ce Britannique n’a que 14 ans. L’été dernier, raconte-t-il, 50 livres d’argent de poche (55 euros) ont permis d’enrichir sa panoplie sur Fortnite. À peine ravi, le jeune homme reçoit un terrible e-mail. « On m’apprenait que mon mot de passe avait été changé et qu’une identification à deux facteurs avait été ajoutée par quelqu’un d’autre », décrit-il. « Je me suis senti mal. » Comme d’autres victimes, cet anonyme partage son désarroi sur Twitter, où il croise d’alléchantes propositions. Un internaute lui propose d’acquérir un nouveau compte pour 28 euros, alors qu’il vaut bien davantage. Conscient que ce produit est volé comme le sien, il l’achète néanmoins.
Très vite, l’adolescent se familiarise avec l’univers du recel sur Fortnite. Une équipe de hackers le contacte et partage avec lui son expertise. Les « combos » et autres « proxies » entrent ainsi dans son vocabulaire. On lui montre où trouver de vastes listes de noms d’utilisateurs et de mots de passe publiées à partir de fuites. Il n’a plus qu’à acheter quelques outils de piratage permettant de saisir ces données sur la page d’identification de Fortnite. Devenu maître de la partie d’un autre, il peut dès lors la vendre à une communauté avide de bons plans. En un seul jour, le Britannique force l’accès de plus d’un millier de comptes.
« C’est la loterie, soit vous tombez sur un bon compte ou sur un mauvais », témoigne-t-il. « Les gens aiment les skins rares pour que leur personnage ait de l’allure et qu’ils puissent le montrer à leurs amis. » Conscient de l’illégalité de la manœuvre, l’adolescent affirme avoir persévéré car ses parents, au courant, ne l’en ont pas dissuadé. Or, « vous ne pouvez pas vous faire attraper, personne ne vérifie », observe un hacker slovène de 17 ans. En sept mois, ce dernier aurait gagné un peu moins de 18 000 euros en bitcoins avec l’aide de sa mère. Un Français de 15 ans aurait lui récolté entre 55 et 335 euros par jour. Lors de sa meilleure semaine, 2 500 euros sont arrivés dans ses poches. « J’ai fait d’autres choses mais rien de trop gros », concède-t-il.
Le Britannique, qui a glané 1 500 euros la première semaine, joue aujourd’hui le rôle d’intermédiaire entre hackers, en vendant des comptes qu’ils sait volés. Ces activités sont liées au crime organisé, selon la National Crime Agency. Dès le mois de mars 2018, à la suite d’un article du magazine Forbes, Epic Games a dû reconnaître qu’il était « au courant » des attaques de la part de personnes utilisant « des techniques bien connues ». « Chaque joueur qui pense que son compte a été compromis doit joindre notre service d’assistance », conseillait alors l’entreprise. Près d’un an plus tard, le Better Business Bureau lui a décerné la note F.
Fraude industrielle
Les employés d’Epic Games ne dansent pas toute la journée comme les personnages de Fortnite dans leurs bureaux de Cary, en Caroline du Nord. Sur les deux écrans qu’ils consultent le dos à un mur en briques aux différentes nuances de gris, ils traquent aussi les hors-la-loi. « Nous travaillons constamment contre les tricheurs et ceux qui fournissent les moyens de tricher », affirmait la société en avril 2017. « Nous employons toutes les mesures susceptibles d’assurer que ces tricheurs sont bannis et le restent de Fornite Battle Royale et de l’écosystème d’Epic. » Les contrevenants sont repérés jusque sur YouTube.
Ces criminels ont bâti un système automatisé qui se sert de jeux pour blanchir l’argent des cartes volées.
Le 14 octobre 2017, la vidéo d’un Américain qui expliquait comment contourner les règles de Fortnite a été supprimée. « Je n’ai rien fait de mal », s’est défendu C.R. Après avoir listé 14 infractions aux conditions générales d’utilisation, Epic Games a décidé de porter plainte contre lui. Ce n’est qu’une fois la procédure lancée que l’entreprise s’est aperçue qu’il avait 14 ans. Un procès pour tricherie a déjà été déclenché par PlayStation en 1999. Les jeux World of Warcraft, RuneScape, MapleStory ou encore Overwatch ont aussi donné lieu à des actions en justice. Mais elles impliquaient des adultes.
En juillet 2018, alors que la mère de C.R. cherchait encore un avocat, la société de logiciels Kromtech a publié un rapport sur une activité autrement plus grave, qui touche des jeux vidéo mobiles. Cette fois, il ne s’agit pas simplement de jeunes pirates qui dérobent des comptes ; ils utilisent des cartes bancaires subtilisées dans Clash of Clans, Clash Royale et Marvel Contest of Champions. Un mois plus tôt, les spécialistes de Kromtech ont trouvé une étrange base d’informations bancaires derrière laquelle se cachait un groupe de hackers. Ces « acteurs malveillants ont bâti un système automatisé complexe se servant d’applications gratuites, de jeux, de sites de revente et de Facebook pour blanchir l’argent des cartes volées. » En un mois et demi, d’avril 2018 à juin 2018, quelque 20 000 moyens de paiement obtenus illégalement ont été mis à contribution.
En créant une infinité de comptes différents sur Apple, les hackers ont trouvé une manière d’automatiser le changement de cartes bancaires afin d’utiliser toutes celles qui étaient en leur possession. De même, l’achat et la vente de ressources dans les jeux ont été confiés à un logiciel.
Sans employer une technique aussi industrielle, des personnes étaient dans le même temps en train de vider des comptes bancaires qui ne leur appartenaient pas sur Fortnite. « Est-ce que quelqu’un peut m’aider à obtenir des v-bucks dans le jeu ? » demandait un joueur baptisé gasicca77 sur un forum en avril 2018. DilanAV lui donnait la marche frauduleuse à suivre : « Si le propriétaire de la carte annule le paiement tu seras banni, mais sinon ce ne sera pas le cas, car Epic Games ne vérifie pas si tu te trouves en Chine et que tu achètes avec un moyen de paiement allemand. »
Une fois que des accessoires ont été achetés avec l’argent d’autrui sur Fortnite, ils peuvent être écoulés à des prix alléchants. On en trouve aussi bien sur eBay que sur le deep et le dark web. Sixgill a par exemple repéré une offre de 150 dollars pour un compte complet de Fortnite assorti de 55 000 v-bucks et 50 skins. Le paiement peut-être effectué via PayPal, Bitcoin ou WebMoney (WMZ). Selon les experts de la société de sécurité, « les fraudes impliquant des jeux vidéo, et notamment Fortnite, vont probablement augmenter dans les années à venir ». À moins qu’Epic Games porte son attention sur ces tricheurs-là.
Couverture :