89 millions de comptes Steam piratés : le vrai du faux sur cette énorme fuite

89 millions de comptes Steam piratés : le vrai du faux sur cette énorme fuite

C'est la panique dans le monde du gaming ! Steam, la célèbre plateforme de jeu, aurait été victime d'un piratage compromettant les données de 89 millions d'utilisateurs, dont les SMS de double authentification.

SMS, dont les numéros de téléphone, le contenu et le statut des messages, les métadonnées, et même les coûts de routage des SMS. Alors, faut-il s'inquiéter ?

Piratage Steam : Valve dément toute fuite de ses serveurs

Pour protéger au maximum ses utilisateurs, Steam a mis en place un système de double authentification (2FA), de sorte que lorsque ceux qui souhaitent se connecter renseignent leurs identifiants, un SMS leur est envoyé avec un code à renseigner. Ainsi, même si le mot de e a fuité, le cybercriminel ne peut pas s'y connecter sans accès au smartphone. Sauf que l'échantillon publié par Machine1337 contient un registre de ces SMS...

Heureusement, Valve a tenu à rassurer les joueurs dans un communiqué. En réalité, la plateforme n'a pas été visée par une cyberattaque. L'entreprise dément toute faille de sécurité sur ses serveurs, mais confirme cependant que d'anciens SMS de double authentification ont bien été récupérés par un pirate.

Le message de Machine1337 © Underdark.ai via LinkedIn

Piratage Steam : quelles sont les mesures à prendre ?

En théorie, il ne s'agit de rien de grave, car les mots de e et les informations de paiement n'ont pas fuité. De plus, la fuite est composée uniquement d'anciens messages avec des codes à usage unique valables pendant seulement quinze minutes. Ils sont donc inutilisables depuis longtemps. Enfin, si les données détenues par Machine1337 contiennent bien des numéros de téléphone, "les données divulguées n'associaient pas les numéros de téléphone à un compte Steam, à des mots de e, à des informations de paiement ou à d'autres données personnelles", assure Valve.

L'entreprise tient à rassurer au maximum les joueurs, leur rappelant que, à chaque fois "qu'un code est utilisé pour modifier votre adresse e-mail ou votre mot de e Steam à l'aide de SMS, vous recevrez une confirmation par e-mail et/ou par messages sécurisés Steam. Vous n'avez pas besoin de changer vos mots de e ou vos numéros de téléphone à la suite de cet événement".

Ainsi, les informations en possession du pirate ne sont pas censées pouvoir aboutir à des attaques. Attention toutefois, la fuite permet de savoir qu'un numéro de téléphone appartient à une personne qui a un compte Steam, ce qui peut permettre de réaliser une campagne de phishing en usurpant l'identité de Steam. Aussi, nous ne pouvons que recommander, si ce n'est déjà fait, d'activer la double authentification. Il est également possible de vérifier quels appareils sont connectés au compte Steam, afin de pouvoir déconnecter ceux qui sont suspects. Enfin, il faut rester vigilant vis-à-vis des mails soi-disant envoyés par la plateforme, car il peut s'agir de tentatives de phishing pour récupérer les identifiants. De son côté, Valve continue d'enquêter sur l'origine de la fuite. Les premières pistes portent à croire qu'un tiers impliqué dans l'envoi de codes de connexion aurait été victime d'une cyberattaque.