Le programme de bug bounty Hacktivity a révélé il y a quelques heures deux vulnérabilités critiques affectant des jeux de Nintendo, toutes deux signalées et corrigées en moins de 24 heures par Nintendo. Petit détail et non des moindres, il s'agit de failles sur la Nintendo Switch 2, dont le très célèbre Mario Kart World !
Splatoon 3 – Faiblesse dans l’anti-triche
Une faille a été identifiée dans le système d’anti-cheat de Splatoon 3, plus précisément dans la randomisation de la seed utilisée par le mécanisme de sécurité. Le problème provenait de l’utilisation d’un générateur pseudo-aléatoire cryptographiquement faible (PRNG), permettant à un attaquant de contourner certaines protections du jeu.
Type : Use of Cryptographically Weak PRNG
Chercheur : hana2736
Statut : Corrigé et divulguée : il y a 16 heures
Mario Kart World – Fuite ASLR en mode LAN
Une seconde vulnérabilité concernait Mario Kart World. En mode LAN, une fuite d’ASLR (Address Space Layout Randomization) a été découverte, exposant des informations sensibles sur l’agencement mémoire du jeu. Ce type de fuite peut faciliter des attaques plus avancées en réduisant l’efficacité des protections mémoire.
Type : Information Disclosure
Chercheur : kinnay
Statut : Corrigé et divulguée il y a 16 heures
Ces correctifs rapides démontrent une bonne maturité en matière de sécurité côté Nintendo et l’importance des programmes de divulgation responsable comme Hacktivity dans l’écosystème du jeu vidéo. La faille la plus intéressante est probablement celle de Kinnay que l'on connait déjà pour avoir reportée de nombreux faille permettant la mise en oeuvre de chaîne ROP. A noter que la faille a été corrigée dans la version 1.5.0 de Mario Kart World sortie le 21 janvier 2026.