Steam a connu le 25 décembre un incident sérieux : un problème au niveau du cache a permis à certains usagers d'accéder à des profils de tiers et d'afficher des données privées. Les causes du problème viennent d'être élucidées.

Cinq jours après la défaillance de la plateforme Steam, qui a permis à certains utilisateurs d’accéder aux profils d’autres membres du service, des explications viennent d’être données sur l’incident.

Il s’agissait bien d’un problème de cache, qui s’est déclenché à la suite de deux évènements distincts : les soldes hivernales qui ont débuté fin décembre et une attaque DDOS de grande ampleur qui cherchait à perturber le bon fonctionnement du service en le rendant inopérant.

Soldes hivernales et attaque DDOS à l’origine des troubles.

Valve, l’éditeur de Steam, explique que la conjugaison des soldes et de l’attaque — dont le principe consiste à  envoyer d’innombrables requêtes pour empêcher le fonctionnement du serveur — a conduit l’un de ses partenaires à déployer des règles de cache afin de minimiser l’impact d’un trafic exceptionnel causé d’une part par les soldes du site, très appréciées des joueurs, et d’autre part par le DDOS.

Les premières règles s’avérant insuffisantes, une autre configuration a alors été déployée pour gérer l’afflux des visiteurs et les requêtes hostiles. Or, celle-ci n’a pas été paramétrée correctement. C’est à partir de ce moment-là que certains usagers ont commencé à voir des informations ne leur appartenant pas. Et si l’incident a été bénin pour une partie des utilisateurs, d’autres ont eu une belle frayeur.

« Les réponses incorrectes de la boutique ont varié d’un usager à l’autre, certains voyant la page d’accueil dans une langue différente de la leur, tandis que des membres ont pu afficher la page du compte d’un tiers », explique Valve.

Parmi les données sensibles qui ont pu être vues figurent l’e-mail, qui peut servir à une campagne d’hameçonnage pour obtenir des informations privées, l’adresse de facturation, les quatre derniers chiffres du numéro de téléphone Steam Guard, l’historique d’achat et les deux derniers chiffres de leur carte bancaire mais pas les données bancaires, les mots de passe ou des indications permettant de se connecter ou de passer une transaction à la place du propriétaire du compte.

compte
Un exemple d’accès anormal.

À la suite de cet incident, Valve explique avoir pris la décision de couper totalement l’accès à sa boutique afin d’éviter qu’il ne prenne plus d’ampleur. Une nouvelle configuration a été déployée pour le cache et toutes les autres ont été vérifiées. Valve s’est ensuite coordonné avec ses partenaires pour vérifier la mise à jour du cache de leur côté et se débarrasser des données résiduelles qui auraient pu persister.

Reste une question : la défaillance du cache a-t-elle entraîné une fraude quelconque ? Non, répond Valve. Même s’il y a eu environ 34 000 personnes dont certaines informations ont pu être vues par d’autres, aucun accès illicite causé par le bug du cache n’est à signaler. Cela dit, Valve va poursuivre ses investigations afin d’identifier et de contacter les individus concernés pour les briefer sur ce qu’il s’est passé.

Partager sur les réseaux sociaux

Articles liés