{"id":2461,"date":"2026-03-06T13:57:31","date_gmt":"2026-03-06T12:57:31","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/arc-raiders-lisait-vos-dms-discord-en-douce\/"},"modified":"2026-03-06T13:57:31","modified_gmt":"2026-03-06T12:57:31","slug":"arc-raiders-lisait-vos-dms-discord-en-douce","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/arc-raiders-lisait-vos-dms-discord-en-douce\/","title":{"rendered":"ARC Raiders lisait vos DMs Discord en douce"},"content":{"rendered":"

Le Discord Game SDK<\/strong>, c’est ce petit bout de code que les devs de jeux vid\u00e9o int\u00e8grent pour afficher votre statut, g\u00e9rer les invitations entre potes… sauf que dans ARC Raiders, le truc ouvrait carr\u00e9ment une connexion compl\u00e8te au serveur Discord. Du coup, vos DMs priv\u00e9s se retrouvaient jusqu’il y a peu, logu\u00e9s en clair sur votre disque dur.<\/p>\n

C’est Timothy Meadows, un ing\u00e9nieur en s\u00e9curit\u00e9, qui a d\u00e9couvert le pot aux roses. En fouillant dans les fichiers de log du jeu (le chemin exact c’est AppDataLocalPioneerGameSavedLogsdiscord.log<\/code>), il est tomb\u00e9 sur des conversations priv\u00e9es Discord en clair.<\/p>\n

Et cerise sur le g\u00e2teau, le fichier contenait aussi le Bearer token d’authentification Discord du joueur. En gros, la cl\u00e9 qui donne acc\u00e8s \u00e0 TOUT votre compte !<\/p>\n

Le probl\u00e8me vient du fait que le SDK se connecte avec un token utilisateur complet, exactement comme le ferait l’app Discord elle-m\u00eame. La gateway pousse alors tous les events vers cette connexion, y compris les messages priv\u00e9s.<\/p>\n

Sauf que le jeu ne filtre rien et balance TOUT dans un fichier log sur le disque. Ce n’est donc pas une backdoor volontaire mais juste du code mal branl\u00e9 qui ne trie pas ce qu’il re\u00e7oit.<\/p>\n

Meadows a bien s\u00fbr tent\u00e9 de signaler la faille \u00e0 \nEmbark Studios<\/a> \nun mois avant de rendre l’info publique. Mais comme d’hab, pas de r\u00e9ponse et pas de bug bounty non plus…<\/p>\n

Du coup, il a publi\u00e9 tranquillou ses trouvailles sur son blog le 3 mars et Embark a r\u00e9agi 2 jours plus tard avec un hotfix qui d\u00e9sactive enfin le logging du SDK.<\/p>\n

Seuls les joueurs ayant li\u00e9 leur compte Discord \u00e0 ARC Raiders sont touch\u00e9s et c’est peut-\u00eatre votre cas…. Mais bon, vu que le jeu vous le propose d\u00e8s l’installation, y’a probablement pas mal de monde dans le lot.<\/p>\n

Le token Bearer avait une dur\u00e9e de validit\u00e9 d’environ 167 heures (en gros, une semaine), ce qui laisse une sacr\u00e9e fen\u00eatre pour quiconque aurait acc\u00e8s au fichier log. Un malware, un pote curieux, un PC partag\u00e9 en LAN… les sc\u00e9narios ne manquent pas… Suite \u00e0 cela, Embark a sorti le communiqu\u00e9 classique en mode “vos donn\u00e9es n’ont pas quitt\u00e9 votre machine, on n’a rien lu, on ne lira rien<\/em>“. OK, cool story bro, sauf que le vrai souci c’est pas Embark en fait, c’est Discord car leur SDK donne un acc\u00e8s beaucoup trop large aux devs tiers.<\/p>\n

Car quand vous liez votre compte \u00e0 un jeu, vous pensez autoriser l’affichage de votre pseudo et de votre statut et pas du tout l’acc\u00e8s \u00e0 vos DMs. D’ailleurs, apr\u00e8s l’incident, la page d’autorisations du jeu est pass\u00e9e de “cette application ne peut PAS lire vos messages<\/em>” \u00e0 “cette application PEUT lire et envoyer des messages<\/em>“. Hop, ni vu ni connu !<\/p>\n

C\u00f4t\u00e9 protection, c’est pas la mer \u00e0 boire, suffit de changer votre mot de passe Discord dans les r\u00e9glages de l’app (\u00e7a invalide tous les tokens actifs), Et d\u00e9sactivez l’int\u00e9gration Discord dans les param\u00e8tres d’ARC Raiders, puis supprimez le fichier discord.log<\/code> dans le dossier du jeu.<\/p>\n

Attention, si vous \u00eates du genre parano, faites aussi le m\u00e9nage dans vos autorisations Discord, parce que ARC Raiders est s\u00fbrement pas le seul jeu \u00e0 avoir ce genre de probl\u00e8me…<\/p>\n

Bref, m\u00e9fiez-vous des jeux qui demandent \u00e0 se connecter \u00e0 votre Discord… c’est pas la premi\u00e8re fois que \u00e7a tourne mal !<\/p>\n

\nSource<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"