Une brèche historique met en lumière les failles de Unity
Image d'illustration. UnityUnity Technologies / PR-ADN
Unity Technologies a été vulnérable pendant huit ans avant que la faille ne soit enfin corrigée.
Tl;dr
- Une faille critique touchant toutes les versions d’Unity depuis 2017 a été découverte en juin 2025 après huit ans d’exposition.
- Classée 8,4 sur l’échelle CVSS, elle permettait une exécution de code local et un accès à des données sensibles, sans exploitation connue à ce jour.
- Unity Technologies et ses partenaires ont diffusé des correctifs et des protections, mais certaines plateformes comme Linux restent partiellement couvertes.
Un risque ignoré pendant huit ans
Pendant près d’une décennie, les développeurs utilisant le moteur de jeu multiplateforme Unity sont restés exposés à une faille de sécurité majeure, sans le savoir. Le 4 juin 2025, Unity Technologies a découvert cette vulnérabilité qui touche l’ensemble des versions postérieures à 2017.1, soit une large part du parc installé sur Android, Windows, Linux et macOS. Si le correctif n’a été apporté que le 2 octobre 2025, la brèche existait donc depuis huit ans.
Détails techniques et risques concrets
Le score Common Vulnerability Scoring System (CVSS) attribué – un sévère 8,4 – révèle la gravité de ce défaut : il s’agit d’un risque dit d’« unsafe file loading » pouvant permettre à un attaquant d’exécuter du code localement et de s’emparer d’informations sensibles selon le système d’exploitation visé. Pourtant, selon les équipes de Unity, rien n’indique que cette vulnérabilité ait été exploitée jusqu’à présent ni qu’elle ait eu un impact avéré sur les utilisateurs ou clients. Toutefois, dans le doute, mieux vaut rester vigilant.
Mises à jour et solutions recommandées
Dès la découverte de la faille, l’entreprise a incité sa communauté à télécharger sans délai les versions corrigées via le Unity Hub ou l’Unity Download Archive. Pour ceux qui utilisent encore des applications construites avec des versions affectées, des outils sont proposés pour corriger les failles sur Android, Windows et macOS. Il subsiste cependant certaines limitations : ces outils ne couvrent ni les environnements protégés par des dispositifs anti-triche ou anti-altération ni le système Linux.
Voici les principales mesures prises pour atténuer ce risque :
- Microsoft Defender a reçu une mise à jour pour détecter cette vulnérabilité ;
- Valve ajoute ses propres protections contre la faille ;
- L’écosystème Android, déjà doté de systèmes de détection avancée de malwares, bénéficie aussi de gardes-fous supplémentaires.
Sécurité : rester attentif malgré un risque limité
Même si aucun incident n’a été constaté à ce jour – situation assez rare au vu de l’ancienneté du problème –, il reste conseillé aux créateurs comme aux joueurs de renforcer leurs défenses. La prudence est parfois une question de réflexe : envisager des solutions robustes contre le vol d’identité ou actualiser régulièrement ses logiciels constitue une parade simple face à l’imprévu numérique.