Piratage chez Ubisoft : 13 millions de dollars évaporés dans le système de monnaie virtuelle
Un acteur malveillant a réussi à forcer les coffres numériques d'Ubisoft. La brèche a siphonné l'équivalent de 13 millions de dollars en actifs virtuels, exposant une fois de plus les points de pression des écosystèmes financiers fermés.
L'architecture compromise
L'attaque n'a pas ciblé une blockchain publique, mais le système propriétaire de monnaie virtuelle de l'éditeur. Ce modèle, centralisé par nature, présente un point de défaillance unique : le serveur qui en gère la logique et les soldes. Le pirate a exploité cette vulnérabilité structurelle, contournant les contrôles pour créer ou détourner des actifs à grande échelle.
Les conséquences immédiates
La perte, chiffrée à 13 millions de dollars, représente une fuite de capitaux pure et simple. Pour les joueurs, cela se traduit par une dévaluation potentielle de leur portefeuille virtuel et une érosion de la confiance dans l'économie du jeu. Pour Ubisoft, c'est un coup direct à la marge, une facture salée pour des systèmes de sécurité jugés insuffisants.
Leçon pour la finance numérique
Cet incident sert de rappel brutal : tout système qui détient de la valeur devient une cible. La différence entre une « monnaie virtuelle » de jeu et un actif crypto décentralisé n'est pas juste technique ; c'est une question de résilience. L'un repose sur la fortification d'un château, l'autre sur l'incapacité à corrompre un réseau entier. Certains gestionnaires d'actifs traditionnels doivent regarder cela d'un œil amusé, se disant que même dans le monde numérique, on retrouve les vieux problèmes de garde et de contrôle – simplement avec un code d'accès en plus.
La sécurité n'est pas un bonus ; c'est le produit de base. Quand elle fait défaut, la valeur s'évapore aussi vite que des crédits dans un jeu.
Ubisoft s'engage à ne pas bannir les comptes pour utilisation non autorisée de crédits
D'après la grille tarifaire d'Ubisoft, les packs de 15 000 crédits R6 sont vendus 99,99 $. Cela signifie que pour obtenir les 2 milliards de crédits R6, un joueur devrait dépenser environ 13,33 millions de dollars. Outre les crédits en jeu distribués, les pirates ont compromis les systèmes de modération qui appliquaient des bannissements et des débanissements aléatoires, et ont manipulé le compteur de bannissements pour afficher des messages personnalisés.
Une restauration est en cours et, par la suite, des tests de contrôle qualité approfondis seront effectués afin de garantir l'intégrité des comptes et l'efficacité des modifications. L'équipe s'efforce de permettre aux joueurs de réintégrer le jeu au plus vite. Sachez que ce problème est… https://t.co/cG4zBIBBGB
— Rainbow Six Siege X (@Rainbow6Game) 28 décembre 2025
Des joueurs ont partagé des captures d'écran sur Xbox montrant de fausses notifications de bannissement et ont modifié les messages en jeu, affectant tous les comptes sur PC, PlayStation et Xbox. Ubisoft a précisé qu'aucun joueur ne sera banni pour avoir dépensé des crédits sans autorisation. Toutes les transactions effectuées après 11h00 UTC le 27 décembre seront annulées. L'entreprise a également expliqué que le système de notification de bannissement a été désactivé et que tous les messages observés étaient non autorisés.
La plateforme Tom Clancy's Rainbow Six Siege a finalisé sa restauration et ses tests en conditions réelles. Un lancement progressif a été effectué auprès d'un groupe restreint de joueurs, tandis que le Marché reste fermé. Le processus de restauration a nécessité des tests de contrôle qualité approfondis afin de vérifier l'intégrité des comptes. Les premiers tests ont été menés avec succès. Ubisoft a également procédé à un lancement progressif auprès d'un groupe limité de joueurs, et la vérification en conditions réelles a été effectuée.
L'entreprise a confirmé la réouverture des serveurs de jeu après la conclusion de ses tests en conditions réelles, et le jeu est désormais accessible à tous les joueurs. L'éditeur français prévient cependant que des temps d'attente peuvent être nécessaires pour se connecter, le service étant en phase de montée en charge.
Faille de sécurité dans Rainbow Six Siege liée à MongoBleed
Un rapport publié par Cyber Security News a révélé que la faille de sécurité chez Ubisoft était liée à une vulnérabilité MongoBleed, permettant potentiellement des fuites de mémoire et une élévation de privilèges vers des dépôts internes. L'éditeur français de jeux vidéo n'a pour l'instant fourni aucune information concernant la nature de la fuite ou l'exfiltration de données.
Les joueurs qui ne se sont pas connectés entre le 27 décembre à 10h49 UTC et le 29 décembre ne constateront aucun changement dans leur inventaire. Ubisoft précise toutefois que pour ceux qui ne se sont pas connectés après le 27 décembre à 10h49 UTC, un faible pourcentage pourrait temporairement perdre l'accès à certains objets qu'ils possèdent.
L'éditeur français de jeux vidéo a reconnu l' dent samedi et s'est proposé d'enquêter et de résoudre le problème. L'entreprise a précisé que les investigations et les corrections se poursuivront au cours des deux prochaines semaines. Ubisoft a toutefois maintenu la boutique en ligne fermée jusqu'à nouvel ordre, le temps que les investigations se poursuivent.
La possibilité de revenir en arrière dans les crédits de Tom Clancy's Rainbow Six Siege n'aurait pas été envisageable si le jeu avait été développé sur une technologie décentralisée. Alex Smirnov, cofondateur de deBridge, a révélé qu'une telle annulation dans les écosystèmes décentralisés engendre des problèmes systémiques affectant les passerelles, les dépositaires, les utilisateurs et les contreparties ayant agi de bonne foi durant la période concernée.
La franchise Rainbow Six Siege, lancée en 2015, attire actuellement trac 34 000 joueurs par jour, selon les données d'Active Player. Le jeu est disponible sur PC, PlayStation 4, Xbox One, PlayStation 5 et Xbox Series X|S.
Les plus brillants experts en cryptomonnaies lisent déjà notre newsletter. Envie de participer ? Rejoignez-les .
