BerneyBoy (lequel fête le premier anniversaire de BerneyBoy's Map Design) m'a informé que SecurityFocus a depuis quelques jours un topique dénonciateur de bogues de sécurité trouvés sur le client de jeu en ligne produit par GameSpy Industries : GameSpy Arcade, lequel présente des bogues qui lui ont été depuis longtemps signalés. Au rappel, ce programme est utilisé par de nombreux jeux sur PC comme Medal of Honor : Allied Assault ou encore No One Lives Forever : A Spy in H.A.R.M.'s Way.

En fait, Luigi Auriemma, qui effectue des recherches et des tests de sécurité durant ses passe-temps, les a contacté à maintes reprises et jamais les bogues n'ont été corrigés. Il y a quelques jours, plutôt que d'avoir planché à la correction de bogues trouvés il y a déjà plusieurs mois, GameSpy Industries a mis ses responsables juridiques sur le dossier : ces derniers ont contacté Mr Auriemma afin de le semer de cesser la publication des résultats de ses recherches.

The stuff is composed by my proof-of-concepts and advisories written to test and explain the bugs in the Gamespy's products found and signaled to them a lot of months ago and completely ignored by Gamespy.

[... T]he best example is just a remote buffer-overflow found and signaled to Gamespy at the end of May 2003 and still existent in the actual version of the program RogerWilco.

Le plus amusant dans le courriel que lui ont écrit les juristes de GameSpy, rapporte Luigi, c'est ceci :

À l'inverse de tout simplement aviser GameSpy de ces vulnérabilités, en publiant ce programme au monde vous facilitez le crash intentionnel des serveurs de GameSpy par d'autres.

Il affirme qu'il a toujours contacté GameSpy lorsqu'il découvrait un bogue et qu'après des mois, ces derniers n'avaient toujours pas été corrigés :

J'ai tenté de contacter Gamespy CHAQUE FOIS que j'ai trouvé des nouveaux bogues et ce À PLUSIEURS REPRISES mais ils ont TOUJOURS ignoré mes avertissements ou, comme il est arrivé pour le premier bogue de RogerWilco, ils ont simplement fait semblant de corriger le bogue en m'insultant moi et ma recherche.

Le courriel d'un Mo au format PDF (c'est énorme !) parle ensuite de violations du DMCA (Digital Millennium Copyright Act, voir ce site très intéressant qui est contre), des lois américaines ainsi que de crime. Luigi ajoute :

C'est vraiment honteux de voir une compagnie envoyer de l'argent à des juristes inutiles plutôt que de corriger rapidement leur produit incroyablement boggué sans oublier de supporter ceux qui cherchent les bogues... ce que GameSpy souhaite c'est détruire toute la révélation et la libre information préférant encourager le secret et l'ignorance.

Je ne crois pas qu'il est bon pour les usagers de GameSpy de savoir que le but principal de GameSpy est uniquement de se protéger eux-même plutôt que de protéger ses usagers et clients.

Si toutes ces affirmations sont vraies, il ne serait pas une mauvaise chose d'éviter à tout pris l'utilisation des programmes produits par la compagnie, dont RogerWilco, GameSpy Arcade, GameSpy 3D et autres....