Tech by VICE

L'homme qui avait fait du piratage de MMO un emploi à plein temps

Pendant 20 ans, Manfred a tiré l'essentiel de ses revenus de l'exploitation de failles de sécurité dans les jeux en ligne de type MMO.

par Lorenzo Franceschi-Bicchierai
31 Juillet 2017, 8:14am

Manfred piratant un jeu vidéo dans un bar de Las Vegas. (Image : Lorenzo Franceschi-Bicchierai/Motherboard)

Le personnage se tient immobile, attendant des instructions. Nous sommes dans le monde virtuel de WildStar Online, un jeu massivement multijoueurs en ligne qui se déroule sur une planète fictive, Nexus. Un pirate informatique du nom de Manfred tape frénétiquement des lignes de commandes dans un terminal. Au bout de quelques secondes, la quantité de monnaie virtuelle de son personnage, indiquée dans un coin de l'écran, explose. Elle atteint brutalement les 18 000 000 000 000 000 000, ou 18 quintillions. C'est assez d'or pour ne savoir qu'en faire.

Manfred me montre l'une de ses vidéos de démo de piratage tandis que je me tiens à ses côtés dans un bar de las Vegas, où nous sirotons une boisson comme deux clients parfaitement ordinaires. Manfred, qui n'a pas souhaité révéler son vrai nom, m'explique qu'il pirate des jeux en ligne depuis près de vingt ans. Son mode opératoire varie sensiblement en fonction du jeu sur lequel il travaille, mais la base du système est toujours à peu près la même : il trompe le jeu pour obtenir des objets spéciaux ou de l'argent virtuel auxquels il n'a pas droit. Il vend ensuite ces articles à d'autres joueurs contre de l'argent réel, ou les met aux enchères sur des marchés gris tels que l'Internet Game Exchange, qui lui servent d'intermédiaire.

Au taux de change actuel, Manfred estime qu'il possède environ 397 billions de dollars en monnaie WildStar. Cette somme peut paraître démesurée, mais il ne peut pas en tirer un revenu équivalent dans la vie réelle : il est contraint par les aléas de la demande. Or, il n'existe pas suffisamment de joueurs WildStar avides de heaumes et de cotes de mailles pour qu'il puisse devenir multi-milliardaire.

"Les meilleurs piratages sont ceux qui passent inaperçus. Ils vous permettent de changer les règles au nez et à la barbe de tout le monde."

Lorsque j'ai discuté à Manfred juste avant son intervention à la Def Con, il m'a expliqué que son intention était d'entrer dans la salle de conférence, de montrer sa technique et de repartir comme il était venu, "comme un fantôme" dont on n'entendrait plus jamais parler. Il tient une grande fierté de sa discrétion, qu'il entretient depuis deux décennies. Lors de toutes ces années de travail anonyme et silencieux, il dit avoir découvert plus de 100 vulnérabilités zero day dans plus de 20 jeux en ligne, ce qui lui a permis de pirater et de commercialiser des objets virtuels au quotidien. Rapidement, cette activité est devenue un travail à plein temps.

Contrairement à nombre de pirates spécialisés en jeux vidéo, Manfred ne triche pas dans le but d'obtenir un avantage sur ses adversaires et de se garantir des victoires faciles. Non, il pirate des jeux simplement parce que c'est son job.

"Les meilleurs piratages sont ceux qui passent inaperçus. Ils vous permettent de changer les règles au nez et à la barbe de tout le monde," explique Manfred. "Quand vous hackez un jeu en ligne, il faut absolument rester invisible. Il ne faut pas perturber les joueurs et leurs habitudes, et surtout, il ne faut pas que les développeurs s'en aperçoivent. Personne ne doit se douter que votre technique de piratage est seulement possible."

Samedi dernier, Manfred est sorti de l'ombre pour la première fois de sa vie afin de raconter son histoire au public de la Def Con. Au début, il envisageait de pirater WildStar Online en public en exploitant une vulnérabilité zero day - à l'unique condition que son intervention ne soit pas filmée. Les organisateurs ont refusé, expliquant que tous les intervenants étaient filmés et qu'il ne pouvaient pas faire d'exception. Il a donc renoncé à son projet, au grand désespoir de l'assistance.

Manfred a commencé sa "carrière" sur Ultima Online, l'un des premiers MMO. À l'époque, il revendait la monnaie virtuelle et les objets obtenus de manière frauduleuse en les proposant sur eBay, puis sur des marché en ligne chinois.

Il a refusé de me dire combien d'argent il avait amassé au total au cours de sa carrière. En revanche, il a daigné m'expliquer le sens qu'il donnait à son activité. Manfred ne pirate plus pour battre les autres joueurs, mais se voit comme un fournisseur de service : en quelque sorte, il propose des achats d'application, et s'est lancé dans ce business lucratif avant même que les boutiques d'applications n'existent.

"Je n'aime pas parler de piratage", me confie Manfred en riant. "Disons que mon job consiste à trouver des fonctionnalités inattendues dans le protocole."

Screenshot de WildStar. Image : NCSOFT.

La genèse du hack

Tout a commencé en 1997, quand il jouait à Ultima Online. À l'époque, il ne disposait que d'une connexion à distance minable, et était régulièrement tué lors de combats avec des joueurs disposant d'une connexion à large bande plus rapide. Pour compenser cette injustice, il a commencer à chercher des moyens de rétablir l'équilibre entre eux et lui. Il a commencé à pirater le jeu.

Un jour gris et pluvieux où l'ennui se faisait particulièrement sentir, Manfred a découvert le bug qui changerait le cours de sa vie. Dans Ultima Online, il existait un nombre maximum de maisons qui pouvaient être construites par les joueurs dans l'univers du jeu : les habitations constituaient donc une ressource limitée. Ce jour là, il a compris comment supprimer les maisons des autres joueurs et s'approprier leur terrain, ce qui lui permettait de construire davantage de bâtiments et de se développer plus vite que les autres.

Plus tard, il a eu l'idée de mettre un château Ultima Online sur eBay pour voir si quelqu'un l'achèterait. Il l'a vendu près de 2 000$. (Depuis, il en a écoulé une centaine, pour un prix moyen similaire).

"Hé, c'est de l'argent réel !" s'est-il dit à l'époque. "En fait, ça m'a permis de financer mes études. J'ai vendu des maisons et des châteaux Ultima Online pendant trois ou quatre ans, et c'est comme ça que j'ai pu obtenir un diplôme dans une fac américaine sans m'endetter."

Le personnage de manfred (en violet), après qu'il a volé une maison à un autre joueur. Crédits : Manfred.

Ses ravages sur Ultima Online n'étaient que le prélude à une carrière d'escroc des MMO. Durant les vingt années qui ont suivi, Manfred a trouvé des vulnérabilités lucratives sur Lineage 2, Shadowbane, Final Fantasy XI, Dark Age of Camelot, Lord of The Rings Online, RIFT, Age of Conan, Star Wars New Republic, Guild Wars 2 et deux autres jeux moins connus.

"J'étais le principal vendeur d'objets sur la majorité de ces jeux", explique Manfred avec fierté.

Dans Dark Age of Camelot, par exemple, il a exploité un bug lui permettant de se connecter et de se déconnecter sans être détecté par le système de jeu, ce qui lui permettait de cloner son personnage à l'envi, et donc de cloner tous les objets et l'argent associés à ce personnage.

"Je pouvais créer autant d'argent que je le désirais. Ni les joueurs ni l'éditeur du jeu ne m'avaient grillé", ajoute Manfred. "Ça a été mon revenu principal pendant 12 ans."

"Je n'aime pas parler de piratage. Disons que mon job consiste à trouver des fonctionnalités inattendues dans le protocole."

La plupart du temps, ses techniques de piratage et son petit commerce souterrain sont restés invisibles. Il y a eu une exception, cependant : Shadowbane. Le jeu était extrêmement facile à pirater, selon Manfred. Il suffisait d'envoyer des données - n'importe lesquelles - au serveur, et le jeu les acceptait sans méfiance aucune. Le chaos que lui et d'autres joueurs ont créé à cette occasion a été repéré par le magazine Wired en 2003.

"Ça a été mon dernier hack malveillant", explique Manfred. "Ensuite, j'ai fait en sorte de disparaître dans l'ombre, et j'ai pris grand soin de ne plus jamais être détecté par qui que ce soit."

Manfred estime qu'il est probablement le seul homme au monde qui vit entièrement du piratage de MMO depuis 20 ans. Il n'en est pas moins qu'une foule de gens pirate des jeux en ligne dans le but de tricher et de renverser des opposants, voire de gagner un peu d'argent.

"C'est un univers impitoyable", lance-t-il. "Il y a beaucoup d'argent à se faire avec les MMO, alors les gens ne se privent pas."

Dans cet univers impitoyable, on ne trouve pas que des pirates qui travaillent pour leur propre compte. En 2011, un groupe de pirates a été arrêté en Corée du Sud pour hacké des jeux vidéo et généré des revenus pour le gouvernement de Corée du nord. La police sud-coréenne a expliqué que l'équipe avait gagné 6 millions de dollars en deux ans.

Du larcin au bien commun

Pour Manfred, faire son coming out de hacker et raconter publiquement son histoire a un but précis : encourager la communauté des gamers à être plus attentive aux questions de sécurité informatique, qui deviennent centrales dans le monde d'aujourd'hui. Or, la plupart des hacks qu'il a réalisés il y a 20 ans exploitent des bugs qui existent toujours aujourd'hui.

"Le piratage de MMO est un rituel que l'on refait sans cesse : jouer à un jeu, trouver les vulnérabilités, se faire bannir, changer de jeu, etc.", explique Manfred pendant la conférence.

Il me dit qu'à présent, il en a fini avec le piratage de jeux vidéos. Il s'est trouvé un boulot honorable dans une agence de consulting, et ça lui va très bien.

"Je me suis bien amusé", avoue-t-il. "Mais le monde a changé, le modèle économique des boites de jeu vidéo a changé. Aujourd'hui, de nombreux éditeurs gagnent de l'argent en proposant des achats in-game, et j'estime qu'il n'est pas éthique de casser cette stratégie économique. Depuis un moment, je n'étais plus trop à l'aise avec ce que je faisais. J'avais des scrupules."

Le piratage de WildStar en direct devait être son ultime hack, mais Manfred y a finalement renoncé. Il compte faire un rapport à NCSOFT, l'éditeur du jeu, sur la vulnérabilité concernée. Il compte aussi les aider à la réparer, car c'est désormais un homme sérieux.

L'univers du gaming est toujours impitoyable. Mais à présent, Manfred s'éloigne sur son cheval au soleil couchant, un bob de pirate au grand coeur vissé sur la tête.