Les comptes de 89 millions de joueurs sur Steam ont-ils été réellement piratés comme l’assure un hacker ? Valve, qui gère la plateforme de jeux, a tenu à réagir. Le groupe dément.
Un vol de données pour des comptes Steam
Tout est parti d’une publication sur LinkedIn par Underdark.ai, une société spécialisée dans la sécurité informatique. Elle rapporte qu’un certain Machine1337 a mis en vente les données de 89 millions de joueurs Steam sur le dark web. Le prix est de 5 000 dollars.
L’information a surtout circulé sur X quand un utilisateur, Mellow_Online1, a relayé la fuite venant d’Underdark.ai. Il serait question de journaux d’envoi des SMS de vérification pour autoriser la connexion à un compte Steam, des numéros de téléphone des joueurs et de nombreuses métadonnées supplémentaires.
Il a ensuite indiqué que la plateforme Twilio pourrait avoir un lien avec la fuite, étant donné qu’il y a des numéros et des SMS. Mais Twilio a démenti avoir une quelconque implication. « Rien n’indique que Twilio ait été victime d’un piratage. Nous avons examiné un échantillon des données trouvées en ligne et rien n’indique que ces données aient été obtenues auprès de Twilio », a indiqué un porte-parole à BleepingComputer.
La réaction de Valve
Au vu de la panique de plusieurs joueurs, Valve a tenu à réagir au supposé piratage de Steam. Le groupe indique :
Il se peut que vous ayez entendu des rumeurs à propos de fuites d’anciens SMS précédemment envoyés à la clientèle Steam. Nous avons examiné les SMS en question, et avons conclu qu’il ne s’agissait PAS d’une brèche des systèmes Steam.
Nous recherchons toujours la source de la fuite. La tâche est d’autant plus compliquée qu’aucun SMS n’est encodé pendant le transit, et que tout message de ce type est acheminé via plusieurs fournisseurs jusqu’à votre téléphone.
La fuite comprenait d’anciens messages SMS contenant des codes à usage unique valables pendant une période de 15 minutes, et les numéros de téléphone auxquels ils avaient été envoyés. Les données divulguées n’ont pas associé les numéros de téléphone aux comptes Steam, aux mots de passe, aux informations de paiement ou à d’autres données personnelles. Les anciens SMS ne peuvent pas être utilisés pour compromettre la sécurité de votre compte Steam, et chaque fois qu’un code est utilisé pour modifier votre e-mail ou votre mot de passe Steam par SMS, vous recevez une confirmation par e-mail ou par message sécurisé de Steam.
Il y a donc eu une fuite de données avec les SMS de vérification et les numéros de téléphone de comptes Steam. Mais Valve assure que la fuite ne vient pas de sa plateforme. D’où vient-elle dans ce cas ? Mystère pour le moment.
