Un développeur, surnommé Cra0kalo, a identifié une faille présente sur Steam. Celle-ci permet d’intégrer n’importe quel code dans la page d’un profil de la plateforme. Ce genre de défaillance technique, appelée cross-site scripting (XSS), permet d’injecter et de diffuser facilement des malwares qui se déploient dans notre navigateur via les champs texte des sites web ou des applications qui utilisent des interfaces web.
Ce type d’attaque redirige souvent les internautes vers une autre page pour pratiquer du phishing, lancer un ransomware ou leur dérober des informations.
Démonstration pratique
Cra0kalo a publié sur son compte Twitter une démonstration concrète de la faille. Quand l’utilisateur visite son lien, il télécharge automatiquement un logiciel (inoffensif) mis à cet endroit par Cra0kalo.
Steam aurait réagi plutôt rapidement : la faille semble être corrigée.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.