Pour comprendre comment fonctionnent les tricheurs, vous devez comprendre leur adversaire : l'anti-triche. Les systèmes de protection modernes sont des suites logicielles complexes fonctionnant simultanément à plusieurs niveaux. Voyons comment ils fonctionnent de l'intérieur.

Deux niveaux de fonctionnement : mode utilisateur et mode noyau

Tous les anti-triche peuvent être classés selon leur niveau de privilège.

Anti-triche en mode utilisateur

Fonctionnent au même niveau que les programmes classiques (Ring 3). Ils peuvent :

  • Analyser les processus — rechercher les tricheurs connus par signatures (hachages de fichiers, chaînes de mémoire)
  • Vérifier l'intégrité des fichiers — comparer les sommes de contrôle des fichiers de jeu avec les valeurs de référence
  • Surveiller l'accès à la mémoire — suivre quels processus lisent la mémoire du jeu
  • Vérifier les fenêtres — rechercher les superpositions placées sur le jeu

Limitation : un anti-triche en mode utilisateur ne peut pas voir ce qui se passe dans le noyau. Une triche au niveau du noyau peut complètement se cacher d'un tel scanner.

Anti-Cheats en mode noyau

Fonctionner au niveau du noyau du système d'exploitation (Ring 0) – le même niveau où les pilotes de périphérique s'exécutent. Cela leur donne des fonctionnalités pratiquement illimitées :

  • Accès complet à la mémoire — y compris la mémoire du noyau où les tricheurs peuvent se cacher
  • Interception des appels système — suivi de tous les accès à la mémoire, aux fichiers et au registre
  • Inspection des pilotes — recherche de pilotes non autorisés ou vulnérables
  • Surveillance avant le jeu — une certaine charge au démarrage de Windows
  • Détection des processus cachés — même si un tricheur cache son processus, un anti-triche en mode noyau peut le trouver

Les anti-triches en mode noyau incluent : Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty).

Méthodes de détection de base

1. Numérisation de signature

La méthode la plus ancienne et la plus basique. L'anti-triche maintient une base de données de signatures — des séquences d'octets uniques caractéristiques des astuces connues. Pendant l'analyse, il recherche des correspondances dans :

  • Modules chargés et DLL
  • Mémoire du processus de jeu
  • Fichiers sur le disque
  • Pilotes du noyau

Contournement : les développeurs trichent obscurcissent le code (changent les signatures) à chaque mise à jour. C'est pourquoi les tricheurs qui entrent dans la base de données de signatures obtiennent le statut Détecté : leur "empreinte digitale" unique est connue de l'anti-triche.

2. Surveillance de la mémoire

L'anti-triche suit les processus et les pilotes qui accèdent à la mémoire du jeu :

  • Hooks API – fonctions d'interception telles que ReadProcessMemory, WriteProcessMemory
  • Protection des pages mémoire – définition d'indicateurs spéciaux sur les régions critiques de la mémoire du jeu
  • Notifications de rappel – enregistrement des notifications pour la création de nouveaux processus, threads création, chargement du module

3. Contrôles d'intégrité

Anti-cheat vérifie que le code et les ressources du jeu n'ont pas été modifiés��:

  • Hashages de section de code — sommes de contrôle de section exécutables comparées aux valeurs de référence
  • Détection de hook — recherche de fonctions modifiées (instructions jmp/call qui ne devraient pas être là)
  • Contrôles IAT/EAT — les tables d'importation/exportation ne doivent pas contenir substitutions

4. Vérification des pilotes

Pilotes du système de contrôle anti-triche en mode noyau :

  • Liste blanche/liste noire — Pilotes autorisés et interdits par hachage ou signature
  • Vérification de la signature — Windows nécessite des signatures pour le chargement du pilote (Secure Boot + DSE). Les astuces contournent cela via des pilotes signés vulnérables (BYOVD) ou un mappage
  • Détection de pilote mappé — recherchant du code dans le noyau non enregistré en tant que pilote légitime

5. Analyse comportementale

Les anti-triches modernes vont au-delà de l'analyse : ils analysent le comportement des joueurs :

  • Anomalies statistiques - pourcentages de tirs à la tête inhumains, suivi parfait à travers les murs
  • Analyse des entrées - schémas de mouvements de la souris, vitesse de réaction, uniformité des frappes
  • Vérifications côté serveur - le serveur compare les actions des joueurs avec ce qu'ils "devraient voir" (visibilité de l'ennemi, temps de réaction)
  • Machine Learning — certains anti-triche (Ricochet) utilisent des modèles ML pour identifier les comportements atypiques

L'analyse comportementale est la raison pour laquelle même un triche non détecté peut conduire à un bannissement s'il est utilisé de manière trop agressive.

Anti-cheats majeurs : Détails

Anti-triche facile (EAC)

Jeux : Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt : Showdown

Niveau : Mode noyau

Principales fonctionnalités :

  • Les composants du noyau se chargent au lancement du jeu
  • Analyse agressive de la mémoire du noyau
  • Mises à jour fréquentes de la base de données de signatures
  • Collecte de télémétrie du système
  • Vérification de l'intégrité des fichiers du jeu

EAC est l'un des anti-triche les plus répandus. Sa force réside dans la fréquence de mise à jour : de nouvelles signatures sont ajoutées régulièrement, ce qui rend la vie plus difficile aux développeurs de tricheurs. Guide EAC détaillé →

BattlEye

Jeux : Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Niveau : Mode noyau

Clé fonctionnalités :

  • Pilote noyau avec accès approfondi
  • Analyse active en mode utilisateur et en mode noyau
  • Heuristique côté serveur – analyse comportementale côté serveur
  • Liste noire des pilotes vulnérables
  • Systèmes d'interdiction de vague et d'interdiction instantanée

BattlEye est connu pour son travail agressif côté client : il inspecte en profondeur le système et utilise de nombreux rappels pour la surveillance. Guide détaillé de BattlEye →

Vanguard

Jeux : Valorant

Niveau : Mode noyau (se charge au démarrage de Windows)

Principales caractéristiques :

  • Démarre au démarrage du système d'exploitation — pas lorsque le le jeu se lance, mais lorsque l'ordinateur s'allume
  • Nécessite un démarrage sécurisé et un TPM
  • Bloque les pilotes vulnérables avant le lancement du jeu
  • Surveille le système en continu
  • Banni instantané des tricheurs détectés

Vanguard est l'anti-triche grand public le plus agressif. Son démarrage précoce rend le contournement beaucoup plus difficile que celui des concurrents. Guide Vanguard détaillé →

Ricochet

Jeux : Call of Duty (Warzone, MW, BO6)

Niveau : Mode noyau + côté serveur

Principales fonctionnalités :

  • Côté client au niveau du noyau pilote
  • Composant serveur avec ML — apprentissage automatique pour l'analyse comportementale
  • « Punition » au lieu d'interdictions instantanées – peut activer le bouclier contre les dommages et réduire la visibilité des tricheurs
  • Modifie les méthodes de détection chaque saison

Le caractère unique de Ricochet réside dans son accent mis sur le serveur. Même si le composant client ne détecte pas la triche, l'analyse du serveur peut identifier un tricheur par son comportement. Guide détaillé de Ricochet →

VAC (Valve Anti-Cheat)

Jeux : CS2, Team Fortress 2, Dota 2

Niveau : Mode utilisateur

Principales caractéristiques :

  • Fonctionne entièrement en mode utilisateur (Ring 3)
  • Analyse des signatures des processus et des modules
  • Vague d'interdictions — collecte des données silencieusement, bannit en masse des semaines/mois plus tard
  • Aucun composant au niveau du noyau

VAC ne semble plus doux que ses concurrents, mais sa stratégie de "collecte silencieuse" est trompeuse : une triche peut fonctionner pendant des semaines, puis une vague d'interdiction frappe. Complété par Overwatch (analyse des replays des joueurs) et VACNet (système ML pour CS2).

Ce que les anti-cheats savent de votre système

Les anti-triches en mode noyau collectent des informations détaillées :

  • HWID — disque, carte mère, carte réseau, GPU, identifiants RAM
  • Liste des processus — tous en cours d'exécution programmes
  • Pilotes chargés — liste complète avec hachages
  • Programmes installés — via le registre
  • Windows — liste des fenêtres et leurs propriétés
  • Connexions réseau — connexions actives

Ces informations sont envoyées aux serveurs anti-triche pour analyse. C'est exactement pourquoi un usurpateur HWID est un élément essentiel de la protection.

Évolution : des signatures à l'IA

Les anti-triches deviennent plus intelligents :

  • Années 2000 — analyse pure des signatures, mode utilisateur
  • Années 2010 — pilotes en mode noyau, développés télémétrie
  • Années 2020 — apprentissage automatique, analyse comportementale, vérifications côté serveur, chargement de démarrage anticipé

La tendance est claire : l'analyse comportementale côté serveur devient plus importante que l'analyse côté client. Cela signifie que même un tricheur parfaitement masqué peut être détecté grâce à un jeu suspect. C'est pourquoi un un bon comportement dans le jeu est tout aussi important que la qualité de la triche.

Comment cela affecte la sélection des triches

  • Anti-triche en mode utilisateur (VAC) → même une simple triche externe peut rester indétectée pendant longtemps
  • Mode noyau sans démarrage anticipé (EAC, BattlEye) → nécessite une triche au niveau du noyau ou un DMA
  • Mode noyau avec démarrage anticipé (Vanguard) → cas le plus difficile, DMA est l'option la plus fiable
  • Analyse côté serveur (Ricochet) → l'indétectabilité technique ne suffit pas ; un gameplay légitime est nécessaire

En savoir plus sur les types de triche et leur interaction avec les anti-triche : Comment fonctionnent les tricheurs.

Catalogue IVSOFTE – codes de triche avec le statut actuel de chaque anti-triche. Parcourir le catalogue →