Vulnérabilités liées aux actifs tiers

*Ce contenu est traduit en utilisant l'IA (Beta) et peut contenir des erreurs. Pour consulter cette page en anglais, clique ici.

Les actifs tiers provenant de la Creator Store (Toolbox) sont une source courante de risques de sécurité, car ils peuvent contenir des scripts malveillants appelés backdoors. Ces scripts donnent à leurs créateurs un accès non autorisé côté serveur à votre expérience, leur permettant de manipuler son état, de voler des données sensibles ou de perturber l'expérience de vos joueurs.

Les backdoors sont particulièrement dangereux car ils apparaissent souvent dans des modèles autrement légitimes. Un bâtiment ou un véhicule apparemment innocent pourrait contenir un script qui s'active lorsque certaines conditions sont remplies, comme lorsqu'un joueur spécifique rejoint ou qu'une commande particulière est exécutée. Lorsqu'un modèle contient des scripts, cela est indiqué dans l'interface utilisateur de la Toolbox avant et lors de l'insertion.

Roblox modère les modèles pour des scripts malveillants à la fois de manière proactive et en réponse à des signalements, mais ce processus ne garantit pas la suppression de tous ces scripts.

Protéger votre jeu

La défense la plus efficace contre les backdoors est le sandboxing. Lorsque vous insérez un modèle, vous devez contenir ses scripts pour empêcher le code malveillant d'atteindre des API sensibles ou d'affecter des systèmes en dehors du modèle lui-même.

  1. Réglez SandboxedInstance sur Experimental dans Workspace.
  2. Dans la fenêtre des Propriétés, réglez la propriété Sandboxed du modèle sur true.
  3. Configurez la propriété Capabilities pour accorder uniquement les autorisations spécifiques dont l'actif a besoin pour fonctionner.

Soyez particulièrement vigilant à l'égard des capacités Network, DataStore, AssetRequire, CapabilityControl ou LoadString accordées aux actifs tiers, à moins que vous ne compreniez exactement pourquoi l'actif en a besoin. Ces capacités donnent accès à des systèmes puissants que les backdoors exploitent couramment.

Avant d'utiliser un actif, inspectez soigneusement ses scripts. Faites particulièrement attention au code obfusqué ou exceptionnellement complexe. Les acteurs malveillants utilisent souvent des techniques trompeuses pour cacher du contenu nuisible, comme utiliser des espaces vides pour positionner du code malveillant hors de l'écran lorsqu'il est visualisé dans l'éditeur studio. Envisagez de privilégier les actifs communautaires très bien notés qui ont été vérifiés par d'autres développeurs, mais rappelez-vous que la popularité ne garantit pas la sécurité. Pour des conseils complets sur la configuration des restrictions de script, voir Capabilities de Script.

©2026 Société Roblox. Roblox, le logo Roblox et Powering Imagination font partie de nos marques déposées aux États-Unis et dans d'autres pays.