Unity Technologies a publié un correctif pour résoudre une faille de sécurité qui aurait pu permettre l'exécution de code malveillant dans les jeux Android développés avec sa plateforme, pouvant potentiellement voler desdenttels que les phrases de récupération des portefeuilles crypto.
Dans son avis , Unity a déclaré que la faille présentait un risque élevé ; toutefois, aucune exploitation ni aucun impact sur les utilisateurs n'ont été constatés. Elle a été identifiée pour la première fois dent 4 juin par RyotaK, chercheur en cybersécurité chez GMO Flatt Security Inc., et classée sous la référence CWE-426 : Chemin de recherche non fiable.
Unity Technologies, fournisseur d'outils de développement 3D en temps réel, alimente plus de 70 % des 1 000 meilleurs jeux mobiles au monde.
Un bug d'Unity affectait les versions de l'éditeur et exposait les applications au chargement de fichiers
D'après les informations divulguées , la vulnérabilité affectait plusieurs plateformes, notamment Android, Windows, macOS et Linux. Une version corrigée d'Unity Runtime a été publiée le 2 octobre et les développeurs sont invités à mettre à jour leurs logiciels afin d'éviter tout risque d' exploitation .
Cette vulnérabilité, notée 8,4 sur CVSS, a également été signalée par RyotaK. Elle indique que des applications malveillantes installées sur les appareils pourraient détourner les autorisations accordées aux applications Unity, permettant ainsi aux attaquants d'exécuter du code arbitraire à distance.
Le directeur de la communauté, Larry « Major Nelson » Hryb, a publié un avis de sécurité indiquant que les applications utilisant les versions affectées de l'éditeur Unity étaient vulnérables aux attaques par chargement de fichiers et par inclusion de fichiers locaux.
Les attaquants pourraient exploiter cette faille pour obtenir un accès privilégié à l'application vulnérable. Les systèmes Windows étaient exposés à un risque deux fois plus élevé en présence d'un gestionnaire d'URI personnalisé enregistré, que les attaquants pourraient utiliser pour déclencher le chargement de bibliothèques à distance.
La vulnérabilité de Unity Runtime, présente dans les versions antérieures au 2 octobre, permettait l'« injection d'arguments », ce qui pouvait entraîner le chargement de code depuis des emplacements non prévus. En cas de compromission, un attaquant pouvait exécuter des commandes arbitraires ou exfiltrer des informationsdentdepuis un appareil affecté.
Le correctif est en ligne, les projets commencent à se reconstruire
Unity a confirmé en fin de semaine dernière que des correctifs sont désormais disponibles pour tous les développeurs et leur a conseillé de reconstruire leurs projets avec une version corrigée de l'éditeur Unity. L'entreprise recommande également d'appliquer l'outil de correctifs Unity Application Patcher aux versions existantes pour Android, Windows ou macOS, puis de procéder aux tests et au redéploiement.
Salut les développeurs XR ! Vous avez peut-être vu une notification d'Unity ce matin.
Une vulnérabilité dans Unity (à partir de la version 2017.1) permet le chargement non sécurisé de fichiers / l'inclusion de fichiers locaux qui peut conduire à l'exécution de code ou à la divulgation de données dans les applications compilées.
Pour remédier à cela, vous devez soit… pic.twitter.com/h2PhFCQeX6
— Robi ᯅ (@xrdevrob) 3 octobre 2025
Dans un communiqué officiel, Unity a réaffirmé qu'« aucune preuve d'exploitation active » n'avait été constatée et qu'aucun client n'était concerné. L'entreprise a ajouté que des mesures d'atténuation immédiates avaient été communiquées aux développeurs afin de prévenir toute exposition future.
Sur Android, cette vulnérabilité pouvait permettre l'exécution de code ou une élévation de privilèges, tandis que sur Windows, Linux (de bureau et embarqué) et macOS, elle pouvait engendrer des risques liés aux privilèges. L'avis de Unity précisait que les jeux sur console n'étaient pas concernés, contrairement aux applications mobiles et de bureau développées sur des versions vulnérables d'Unity, qui étaient exposées à des menaces.
Vendredi dernier, Microsoft a également publié une alerte de sécurité confirmant que les équipes de développement de jeux Windows examinaient et mettaient à jour les titres potentiellement concernés. Windows Defender a depuis été mis à jour afin de détecter et de bloquer toute faille de sécurité connue liée à cette vulnérabilité.
Des pirates informatiques utilisent des jeux pour voler des données privées
L'industrie du jeu vidéo dans son ensemble est confrontée à des menaces de logiciels malveillants, développés par des pirates informatiques qui dissimulent des jeux, voire du contenu téléchargeable, sous l'apparence de contenu légitime. Ces pirates cachent des logiciels malveillants dans des jeux populaires, des démos ou des modifications distribuées via des canaux non officiels.
Les joueurs peuvent, sans le savoir, aider les pirates informatiques en téléchargeant des versions piratées de jeux comme Grand Theft Auto V, God of War ou Mortal Kombat 1, infectées par des logiciels malveillants cachés tels que Crackonosh. Une fois installé, ce virus informatique exploite discrètement les ressources de l'ordinateur de l'utilisateur pour miner des cryptomonnaies comme le Monero (XMR), et ce, « silencieusement ».
Certains acteurs malveillants injectent du code malveillant via des mises à jour post-lancement ou redirigent les utilisateurs vers des sites externes hébergeant des fichiers infectés. Après avoir réussi à inciter les joueurs à télécharger le jeu préinstallé, ils volent leurs données personnelles, leurs identifiants de jeu ou leurs informations dent portefeuille de cryptomonnaies .
Dans sa déclaration, Hryb a exhorté les développeurs et les utilisateurs à toujours mettre à jour leurs systèmes d'exploitation, à activer les mises à jourmatic et à utiliser un logiciel antivirus fiable. Il a également affirmé que la sécurité était une « responsabilité partagée » dans le secteur du jeu vidéo, car des millions d'utilisateurs interagissent quotidiennement avec des applications basées sur Unity.
