Des pirates informatiques exposent les faiblesses de l'économie numérique d'Ubisoft grâce à un bug affectant 13 millions de dollars de crédits joueurs

Ubisoft, le géant français du jeu vidéo, a été contraint d'interrompre son service en ligne Rainbow Six Siege ce week-end suite à une faille de sécurité sur ses serveurs. Cette faille a permis à des pirates de distribuer 13,33 millions de dollars de crédits sur les comptes des joueurs. 

D'après une mise à jour publiée sur X ce week-end par l'équipe d'Ubisoft Rainbow Six Siege, les comptes des joueurs ont été inondés de près de 2 milliards de crédits R6, la monnaie premium du jeu. Suite à cetdent, Ubisoft a été contraint de fermer tous ses serveurs et la boutique, et a lancé un plan de restauration pour toutes les transactions compromises. 

Ubisoft s'engage à ne pas bannir les comptes pour utilisation non autorisée de crédits

D'après la grille tarifaire d'Ubisoft, les packs de 15 000 crédits R6 sont vendus 99,99 $. Cela signifie que pour obtenir les 2 milliards de crédits R6, un joueur devrait dépenser environ 13,33 millions de dollars. Outre les crédits en jeu distribués, les pirates ont compromis les systèmes de modération qui appliquaient des bannissements et des débanissements aléatoires, et ont manipulé le compteur de bannissements pour afficher des messages personnalisés. 

Une restauration est en cours et, par la suite, des tests de contrôle qualité approfondis seront effectués afin de garantir l'intégrité des comptes et l'efficacité des modifications. L'équipe s'efforce de permettre aux joueurs de réintégrer le jeu au plus vite. Sachez que ce problème est… https://t.co/cG4zBIBBGB

— Rainbow Six Siege (@Rainbow6Game) 28 décembre 2025

Des joueurs ont partagé des captures d'écran sur Xbox montrant de fausses notifications de bannissement et ont modifié les messages en jeu, affectant tous les comptes sur PC, PlayStationet Xbox. Ubisoft a précisé qu'aucun joueur ne sera banni pour avoir dépensé des crédits sans autorisation. Toutes les transactions effectuées après 11h00 UTC le 27 décembre seront annulées. L'entreprise a également expliqué que le système de notification de bannissement a été désactivé et que tous les messages observés étaient non autorisés. 

La plateforme Tom Clancy's Rainbow Six Siege a finalisé sa restauration et ses tests en conditions réelles. Un lancement progressif a été effectué auprès d'un groupe restreint de joueurs, tandis que le Marché reste fermé. Le processus de restauration a nécessité des tests de contrôle qualité approfondis afin de vérifier l'intégrité des comptes. Les premiers tests ont été menés avec succès. Ubisoft a également procédé à un lancement progressif auprès d'un groupe limité de joueurs, et la vérification en conditions réelles a été effectuée. 

L'entreprise a confirmé la réouverture des serveurs de jeu après la conclusion de ses tests en conditions réelles, et le jeu est désormais accessible à tous les joueurs. L'éditeur français prévient cependant que des temps d'attente peuvent être nécessaires pour se connecter, le service étant en phase de montée en charge. 

Faille de sécurité dans Rainbow Six Siege liée à MongoBleed

Un rapport publié par Cyber ​​Security News a révélé que la faille de sécurité chez Ubisoft était liée à une vulnérabilité MongoBleed, permettant potentiellement des fuites de mémoire et une élévation de privilèges vers des dépôts internes. L'éditeur français de jeux vidéo n'a pour l'instant fourni aucune information concernant la nature de la fuite ou l'exfiltration de données.

Les joueurs qui ne se sont pas connectés entre le 27 décembre à 10h49 UTC et le 29 décembre ne constateront aucun changement dans leur inventaire. Ubisoft précise toutefois que pour ceux qui ne se sont pas connectés après le 27 décembre à 10h49 UTC, un faible pourcentage pourrait temporairement perdre l'accès à certains objets qu'ils possèdent. 

L'éditeur français de jeux vidéo a reconnu l'dent samedi et s'est proposé d'enquêter et de résoudre le problème. L'entreprise a précisé que les investigations et les corrections se poursuivront au cours des deux prochaines semaines. Ubisoft a toutefois maintenu la boutique en ligne fermée jusqu'à nouvel ordre, le temps que les investigations se poursuivent. 

La possibilité de revenir en arrière dans les crédits de Tom Clancy's Rainbow Six Siege n'aurait pas été envisageable si le jeu avait été développé sur une technologie décentralisée. Alex Smirnov, cofondateur de deBridge, a révélé qu'une telle annulation dans les écosystèmes décentralisés engendre des problèmes systémiques affectant les passerelles, les dépositaires, les utilisateurs et les contreparties ayant agi de bonne foi durant la période concernée.

La franchise Rainbow Six Siege, lancée en 2015, attire actuellementtrac34 000 joueurs par jour, selon les données d'Active Player. Le jeu est disponible sur PC, PlayStation 4, Xbox One, PlayStation 5 et Xbox Series X|S.