Rainbow Six Siege victime d’une grave faille de sécurité : des milliards de points R6 distribués, comptes bannis aléatoirement

Pendant les vacances de Noël, le jeu en ligne Rainbow Six Siege a été touché par un incident majeur de sécurité.

De nombreux joueurs ont rapporté avoir reçu des milliards de points R6 en quelques instants, certains ayant même obtenu des cosmétiques rares réservés aux développeurs. Parallèlement, des comptes ont été bannis ou réactivés de manière aléatoire, sans explication.

Face à cette situation chaotique, Ubisoft a immédiatement coupé tous les serveurs sur toutes les plateformes (PC, PS4, PS5, Xbox One, Xbox Series X/S) ainsi que la boutique en jeu, et a annoncé qu’il procéderait à un retour en arrière (rollback) des données de transaction pour restaurer l’état antérieur à l’incident.

Selon la page officielle d’état des services d’Ubisoft, à 14 heures (heure de Taïwan) le 28 décembre, les fonctions essentielles, authentification, matchmaking, boutique en jeu, étaient toutes hors ligne ou gravement instables. Bien que l’entreprise affirme enquêter activement sur la cause de ces anomalies, elle n’a fourni aucune estimation de la durée de la panne.

Ubisoft a décrit l’incident de manière très vague, utilisant des termes comme « événement serveur » ou « dysfonctionnement du service », évitant soigneusement les mots « piratage » ou « faille de sécurité ». Cette communication floue a suscité la colère des joueurs, nombreux à souligner que la nature même des modifications — crédits massifs, objets exclusifs attribués, bannissements arbitraires — ne peut s’expliquer par un simple bug.

Des internautes ont notamment fait remarquer qu’Ubisoft a laissé le jeu en ligne pendant plusieurs heures après le début des anomalies, augmentant ainsi les risques d’exploitation et de confusion.

Nous sommes au courant d’un incident affectant actuellement Rainbow Six Siege. Nos équipes travaillent sur une résolution.

We're aware of an incident currently affecting Rainbow Six Siege. Our teams are working on a resolution.

We will share further updates once available.

— Rainbow Six Siege X (@Rainbow6Game) December 27, 2025

Selon les informations qui circulent en ligne, il ne s’agirait pas d’un simple exploit de jeu. Le compte spécialisé en cybersécurité Vx-Underground affirme qu’au moins un groupe de pirates aurait exploité une vulnérabilité dans les serveurs backend de Siege pour obtenir des privilèges administratifs, notamment la capacité de modifier les inventaires, d’accorder des crédits illimités et de bannir des comptes à volonté.

La valeur totale des points R6 distribués a été estimée à l’équivalent de 339 billions de dollars américains, une somme évidemment fictive, mais illustrant l’ampleur de la manipulation.

Plus inquiétant encore, certains messages système et enregistrements de bannissement auraient été modifiés pour y inclure des moqueries ciblant la direction d’Ubisoft, suggérant que l’objectif des attaquants n’était pas seulement de causer des dégâts, mais aussi de démontrer leur contrôle total sur l’infrastructure et de dénoncer ce qu’ils perçoivent comme une négligence chronique en matière de sécurité.

Un détail particulièrement troublant : plusieurs comptes bannis auraient eu leurs identifiants modifiés de sorte que leurs initiales forment les paroles de la chanson « Billie Jean » de Michael Jackson, ajoutant une dimension symbolique à l’attaque.

Selon le média Android Headlines, cette intrusion n’aurait pas été menée par un seul acteur, mais plutôt par plusieurs groupes de pirates coordonnés ou indépendants. Outre ceux qui ont manipulé les services en jeu, d’autres auraient accédé à des dépôts Git internes d’Ubisoft, y récupérant des codes sources, des SDK et des documents techniques couvrant des titres remontant aux années 1990. Un autre groupe aurait même exfiltré des données sensibles d’utilisateurs qu’il tenterait actuellement de monnayer auprès d’Ubisoft.

Certaines sources affirment même que l’infrastructure interne d’Ubisoft aurait été compromise depuis longtemps, et que l’incident de Rainbow Six Siege ne serait qu’un « leurre » destiné à détourner l’attention du public d’une brèche bien plus grave.

Face aux craintes des joueurs, notamment ceux qui, par mégarde, auraient dépensé des crédits frauduleux, Ubisoft a assuré que personne ne sera pénalisée pour avoir reçu ou utilisé involontairement ces ressources anormales. Toutefois, de nombreux créateurs de contenu et streamers recommandent vivement de ne pas se connecter au jeu en attendant la fin de l’enquête, et de ne surtout pas utiliser ces objets ou crédits.

Des experts en cybersécurité conseillent également aux joueurs de changer immédiatement leur mot de passe Ubisoft, de supprimer temporairement leurs méthodes de paiement associées et de rester vigilants face aux tentatives de phishing.

À ce jour, Ubisoft n’a toujours pas reconnu officiellement une violation de sécurité, se contentant de mentionner des « investigations en cours ». Alors que les serveurs restent hors ligne à l’échelle mondiale, la communauté exige non seulement une explication claire, mais aussi des compensations pour les pertes potentielles, notamment la crainte que les objets obtenus légitimement pendant la période de panne soient effacés lors du rollback.

L’incident soulève des questions pressantes sur la robustesse des infrastructures de jeu en ligne et sur la transparence des éditeurs face aux cybermenaces croissantes.