Un développeur a découvert une faille de sécurité de type cross-site scripting (XSS) sur la plateforme Steam. Cette défaillance technique permettait de diffuser des malwares depuis les profils de joueurs. Steam a affirmé qu'elle avait été corrigée sur le champ.

Un développeur, surnommé Cra0kalo, a identifié une faille présente sur Steam. Celle-ci permet d’intégrer n’importe quel code dans la page d’un profil de la plateforme. Ce genre de défaillance technique, appelée cross-site scripting (XSS), permet d’injecter et de diffuser facilement des malwares qui se déploient dans notre navigateur via les champs texte des sites web ou des applications qui utilisent des interfaces web.

Ce type d’attaque redirige souvent les internautes vers une autre page pour pratiquer du phishing, lancer un ransomware ou leur dérober des informations.

Démonstration pratique

Cra0kalo a publié sur son compte Twitter une démonstration concrète de la faille. Quand l’utilisateur visite son lien, il télécharge automatiquement un logiciel (inoffensif) mis à cet endroit par Cra0kalo.

Steam aurait réagi plutôt rapidement : la faille semble être corrigée.

À lire sur Numerama : Ransomware  : des pirates bloquent les serrures électroniques d’un hôtel de luxe

Partager sur les réseaux sociaux