Ce week end, un bug a permis à des utilisateurs lambda de prendre le contrôle de n’importe quel compte Steam. Heureusement pour nous, Valve a aujourd’hui réussi à corriger ce problème
Vous n’étiez surement pas au courant, mais le week-end dernier, des petits malins ont trouvé une faille dans la sécurité des comptes Steam, cette dernière permettait à des individus malintentionnés de prendre le contrôle de n’importe quel compteSteam. Nous ne pouvions pas parler de ce bug avant, car il était tellement facile à exécuter que absolument tout le monde pouvait y arriver. Un bug très embarrassant pour Valve dans sa lutte de protection des comptes avec Steam Guard, mais les responsables de la plateforme ont été en mesure de réparer les dégâts assez rapidement et, aujourd’hui, tout semble être rentré dans l’ordre.
Le bug était lié au code d’activation temporaire que l’on reçoit lorsque l’on établi une demande pour un changement de mot de passe. Ce code d’activation est envoyé automatiquement sur votre adresse mail, vous devez l’insérez dans le champ qui lui est destiné pour poursuivre les étapes. Hors, ce week-end, il était possible de ne rien mettre à la place de ce code et de valider tout simplement. Le système réagissait comme si le bon code avait été entré et permettait ensuite de modifier le mot de passe du compte. La vidéo ci-dessous vous montre clairement et simplement la méthode employée pour permettre de prendre le contrôle de ces comptes.
Dans une déclaration délivrée à nos confrères de chez Kotaku, Valve précise que le problème venait d’un bug qui a été définitivement éradiqué à ce jour. Les utilisateurs concernés par des changements de mot de passe suspects pendant la période donnée devront le changer suite à une réinitialisation de ce dernier par les équipes de Valve
Pour protéger les utilisateurs, nous avons réinitialisé tous les mots de passe sur les comptes qui ont subi des changements de mot de passe suspects pendant cette période, même si ils ont été autrement affectés. Les utilisateurs concernés recevront un email avec un nouveau mot de passe. Une fois que le courrier électronique est reçu, il est recommandé que les utilisateurs se connectent à leur compte via le client Steam afin de définir un nouveau mot de passe.
S’il vous plaît, notez que si un mot de passe de compte a été potentiellement modifié au cours de cette période, le mot de passe en lui-même n’a pas été révélé aux hackers. En outre, si Steam Guard a été activé, le compte a été protégé contre les connexions non autorisées, même si le mot de passe a été modifié.
Nous nous excusons pour cet inconvénient.