Nos enfants sont-ils les nouveaux pigeons du web ? D’après un rapport publié début mars par l’entreprise russe Kaspersky, spécialisée en cybersécurité, les jeux vidéo en ligne tels que Minecraft ou Fortnite, et les plateformes (Roblox...), qui brassent quotidiennement des dizaines de millions d’utilisateurs, sont particulièrement visés par les pirates informatiques. 7 millions d’attaques liées à des jeux populaires pour enfants ont ainsi été détectées en 2022, soit une augmentation de 57 % par rapport à 2021 selon les experts.
Un chiffre important, mais qui ne prend pourtant pas en compte l’ensemble des arnaques couramment pratiquées dans ces jeux, estime Bruno Vétel, maître de conférences en sciences de l’information et de la communication à l’université de Poitiers, spécialiste en socioéconomie des jeux en ligne. Pour le chercheur, si les jeunes joueurs sont généralement ciblés en raison de leur manque d’expérience dans le domaine, ces derniers acquièrent progressivement les compétences nécessaires pour ne plus se faire avoir.
Ce chiffre de 7 millions d’attaques vous étonne-t-il ? Pensez-vous que l’étude menée est fiable ?
Kaspersky est une entreprise très réputée dans le monde de la sécurité informatique, mais elle est russe… et elle a déjà été critiquée pour des problèmes de fuites d’information. Depuis la guerre en Ukraine, beaucoup d’entreprises ont décidé d’arrêter d’utiliser ses logiciels (d’antivirus), à l’instar du ministère de la Défense américain. L’un des problèmes de cette étude est surtout qu’elle est réalisée par une entreprise qui vend une solution pour répondre au problème qu’elle pointe elle-même du doigt. Ce n’est pas très objectif.
Kaspersky a des bases de données de détection d’intrusion remontées par son antivirus mais elle est juge et partie puisqu’elle statue elle-même sur la définition d’une intrusion. Le chiffre évoqué de 7 millions d’arnaques n’est donc finalement pas énorme car sa définition de l’arnaque focalisée sur des piratages de comptes de clients de jeux vidéo est, à mon sens, assez restrictive. Par exemple, la question des arnaques entre joueurs lors de reventes «ingames» – c’est-à-dire en cours de partie dans le jeu –, passe complètement sous les radars. Concrètement, les équipements rares des personnages peuvent être revendus à d’autres joueurs contre de l’argent du jeu qui peut ensuite être converti en argent réel via des plateformes illégales ou se situant dans une zone grise.
Ces économies parallèles s’appuient sur ce qu’on appelle le «gold farming».
Oui, c’est vraiment la base d’un marché secondaire très peu sécurisé pour les clients. Il mobilise des personnes issues de pays à la main-d’œuvre non qualifiée et peu chère. Ces dernières sont rémunérées pour jouer et accumuler le plus d’objets ou de monnaie du jeu possible pour ensuite les revendre sur ces plateformes de courtage à des joueurs qui estiment ne pas avoir assez de temps pour les collecter eux-mêmes. Dans les pays occidentaux, des joueurs mineurs peuvent aussi se faire de l’argent de poche avec le gold farming. La lutte des entreprises contre ces pratiques est parfois assez molle car ce système participe au bon fonctionnement de l’économie interne de certains jeux.
En quoi les jeux vidéo et plateformes à destination des enfants et adolescents sont-ils propices aux arnaques ?
On apprend généralement à se protéger seulement une fois qu’on s’est fait avoir. Ce qui explique aussi pourquoi il y a des techniques d’arnaques en ligne massives, qui essayent de toucher le plus possible de victimes potentielles. Il faut attraper des «novices», des gens qui ne sont pas méfiants, et plus on sollicite un grand nombre de personnes, plus on a de chances que les pigeons mordent à l’hameçon. C’est un trait caractéristique des arnaques en ligne.
Les techniques décrites par Kaspersky sont plutôt des techniques de phishing, c’est-à-dire qu’on crée un logiciel qui reproduit le site web ou le jeu vidéo pour ensuite demander à l’utilisateur son mot de passe ou ses identifiants. Le but est de trouver un moyen de se connecter au vrai compte du joueur et de s’en saisir pour revendre son contenu contre de l’argent réel.
Si le jeune âge des utilisateurs est à prendre en compte, j’ai remarqué en travaillant sur Dofus qu’il y avait aussi une question de classe sociale. Les joueurs venant de milieux plus populaires se faisaient arnaquer à des âges plus avancés que des jeunes issus de classes moyennes ou supérieures. Car les compétences nécessaires pour ne pas se faire avoir en ligne sont souvent acquises dans le milieu familial et scolaire, notamment via les examens, l’assimilation des erreurs et échecs scolaires, le développement d’une réflexivité vis-à-vis de ses propres expériences et du comportement des autres. Tout cela se développe progressivement durant l’adolescence. Or, quand on est un peu mieux armé en termes de capital culturel et social, on développe généralement ces compétences un petit peu plus rapidement.
Les risques pour les enfants ne sont-ils pas exacerbés par le fait qu’il y a de plus en plus d’argent réel qui circule dans les jeux en ligne ?
Le risque est différent. Avant, il y avait une séquence où on payait puis une autre où l’on jouait, comme le jeu d’arcade à la fête foraine. Et petit à petit, le service s’est fragmenté via les jeux en ligne, les systèmes d’abonnement mensuel puis les systèmes de monétisation à l’intérieur des jeux. On a déplacé les moments du paiement, ils sont de plus en plus fréquents au cours de l’activité ludique et pour des montants de plus en plus bas. On paye peu mais très souvent. Cela accroît les risques d’arnaque lorsque le design de ces plages de monétisation n’est pas bien conçu, il est plus difficile pour le joueur de les différencier des autres formes de triche.
On s’aperçoit que dans les jeux en ligne les plus à la mode, les priorités ont été inversées : le «game design» – le processus de création et de mise au point des règles et autres éléments constitutifs d’un jeu –, qui favorisait l’amusement devient secondaire au profit du «business model» qui garantit le maximum de profits.
Que doivent dire les parents à leurs enfants pour éviter qu’ils se fassent rouler ?
Au niveau du phishing, à part la jeunesse des clients des services de jeux vidéo, il n’y a pas vraiment de spécificité aux jeux en ligne. Cela reste de l’hameçonnage pur et simple. Outre l’installation d’un antivirus, il faut donc essayer de sensibiliser les joueurs à l’importance des mots de passe et leur dire de se méfier des interfaces qui ressemblent à celles officielles des jeux mais auxquelles on n’accède pas via le même cheminement. Par exemple, les plus jeunes se font souvent avoir en tapant le nom de leur jeu dans un moteur de recherche et en cliquant sur le premier lien qui apparaît. Or, si les arnaqueurs sont malins, ils créent une copie du site en question et payent pour qu’il soit en tête des référencements.
Après, il faut aussi que les enfants apprennent à se faire avoir pour justement développer des compétences qui leur permettront de ne pas revivre l’expérience. Reste à savoir où l’on met le curseur de l’exposition aux risques. Concernant les arnaques lors des échanges marchands à l’intérieur des jeux, les entreprises qui fournissent les jeux ont normalement beaucoup plus de moyens d’action pour réguler. Elles peuvent changer le design des interfaces de microtransaction pour éviter qu’on puisse les détourner.
Elles proposent aussi des outils de surveillance qui permettent au client de faire lui-même la police. C’est une logique un peu pernicieuse, qui responsabilise les joueurs alors que le problème de base est lié à la conception du service qui se veut à la fois ludique et marchand. Les adultes courent le risque de se désintéresser du passe-temps de leur enfant. Ils commettent souvent l’erreur de considérer ces jeux soit comme des passe-temps puérils, soit comme des dispositifs technologiques complexes à comprendre. Il faut plutôt les appréhender comme des dispositifs marchands et sociaux comme tant d’autres, à mi-chemin entre des fêtes foraines et des casinos, où l’on peut croiser des tricheurs.