La plateforme Steam connaît ce vendredi 25 décembre un souci grave : ce qui semble être un bug au niveau du cache permet d'accéder aux profils d'autres utilisateurs. Si les mails sont affichés en entier, les données bancaires ne sont pas visibles.

En cette soirée de Noël et alors que les soldes se multiplient, des tas d’utilisateurs de Steam ont remarqué qu’ils avaient accès aux comptes d’autres personnes. Fin de numéros de cartes bancaires, adresses mail et historiques d’achats pouvaient dans certains cas être affichés. A priori, il s’agissait d’un souci de cache du côté des serveurs de Valve, éditeur de la plateforme. Nous avons testé cela sur notre compte et nous avons bien eu accès aux informations d’un autre utilisateur.

compte

Si le problème exact n’est pas connu, un modérateur a affirmé sur Reddit que les développeurs étaient déjà en train de travailler sur le souci. En attendant, il était recommandé de ne pas se connecter à son compte et de retirer le lien avec son compte Paypal depuis l’interface du service de paiement en ligne (et non depuis Steam).

Vers 22h, Valve a décidé de couper la plateforme. Tout accès depuis le client Steam amenait à un écran noir. Un modérateur des forums Steam a affirmé autour de 23 heures que la plateforme n’avait pas été hackée et que les informations sur les cartes bancaires étaient censurées et non visibles par les utilisateurs.

Comme le demande la loi américaine, les données bancaires complètes des utilisateurs ne sont jamais écrites en clair et en entier sur les pages de profil : seuls les quatre derniers numéros sont visibles, même par les utilisateurs légitimes d’un compte. Il n’y a donc rien à craindre car ces données sont inutilisables. Seule votre adresse mail complète pouvait être accessible. 

Vers minuit, Steam est revenu en ligne. Valve a affirmé à The Verge dans la nuit de vendredi à samedi que le service était pleinement fonctionnel, qu’il n’y avait « aucun problème connu » et que le souci de configuration des serveurs n’avait duré qu’une heure. Les éditeurs de Steam avancent également qu’ils pensent qu’aucune action ne pouvait être faite à partir des comptes Steam que les utilisateurs ont pu voir pendant cette fenêtre d’une heure.

Partager sur les réseaux sociaux

Articles liés