89 millions de comptes Steam piratés : le vrai du faux sur cette énorme fuite

C'est la panique dans le monde du gaming ! Steam, la célèbre plateforme de jeu, aurait été victime d'un piratage compromettant les données de 89 millions d'utilisateurs, dont les SMS de double authentification.

Steam est la plateforme de distribution de jeux vidéo dématérialisés la plus populaire et la plus complète du marché, que ce soit pour des joueurs occasionnels ou des gamers passionnés. Le launcher – lanceur en français – est donc une cible de choix pour les cybercriminels, d'autant plus qu'on y trouve également des données bancaires. Aussi, c'est un véritable tremblement de terre qui a frappé la plateforme ce 15 mai. Un pirate du nom de Machine1337 affirme sur le Dark Web avoir piraté 89 millions de comptes Steam, ce qui serait absolument catastrophique pour les joueurs, puisque cela correspond à environ deux tiers des comptes de la plateforme. C'est bien simple, ce serait un des plus gros piratages jamais recensés dans le secteur du jeu vidéo. Les données compromises incluraient des informations liées à la double authentification par SMS, dont les numéros de téléphone, le contenu et le statut des messages, les métadonnées, et même les coûts de routage des SMS. Alors, faut-il s'inquiéter ?

Piratage Steam : Valve dément toute fuite de ses serveurs

Pour protéger au maximum ses utilisateurs, Steam a mis en place un système de double authentification (2FA), de sorte que lorsque ceux qui souhaitent se connecter renseignent leurs identifiants, un SMS leur est envoyé avec un code à renseigner. Ainsi, même si le mot de passe a fuité, le cybercriminel ne peut pas s'y connecter sans accès au smartphone. Sauf que l'échantillon publié par Machine1337 contient un registre de ces SMS...

Heureusement, Valve a tenu à rassurer les joueurs dans un communiqué. En réalité, la plateforme n'a pas été visée par une cyberattaque. L'entreprise dément toute faille de sécurité sur ses serveurs, mais confirme cependant que d'anciens SMS de double authentification ont bien été récupérés par un pirate.

Piratage Steam : quelles sont les mesures à prendre ?

En théorie, il ne s'agit de rien de grave, car les mots de passe et les informations de paiement n'ont pas fuité. De plus, la fuite est composée uniquement d'anciens messages avec des codes à usage unique valables pendant seulement quinze minutes. Ils sont donc inutilisables depuis longtemps. Enfin, si les données détenues par Machine1337 contiennent bien des numéros de téléphone, "les données divulguées n'associaient pas les numéros de téléphone à un compte Steam, à des mots de passe, à des informations de paiement ou à d'autres données personnelles", assure Valve.

L'entreprise tient à rassurer au maximum les joueurs, leur rappelant que, à chaque fois "qu'un code est utilisé pour modifier votre adresse e-mail ou votre mot de passe Steam à l'aide de SMS, vous recevrez une confirmation par e-mail et/ou par messages sécurisés Steam. Vous n'avez pas besoin de changer vos mots de passe ou vos numéros de téléphone à la suite de cet événement".

Ainsi, les informations en possession du pirate ne sont pas censées pouvoir aboutir à des attaques. Attention toutefois, la fuite permet de savoir qu'un numéro de téléphone appartient à une personne qui a un compte Steam, ce qui peut permettre de réaliser une campagne de phishing en usurpant l'identité de Steam. Aussi, nous ne pouvons que recommander, si ce n'est déjà fait, d'activer la double authentification. Il est également possible de vérifier quels appareils sont connectés au compte Steam, afin de pouvoir déconnecter ceux qui sont suspects. Enfin, il faut rester vigilant vis-à-vis des mails soi-disant envoyés par la plateforme, car il peut s'agir de tentatives de phishing pour récupérer les identifiants. De son côté, Valve continue d'enquêter sur l'origine de la fuite. Les premières pistes portent à croire qu'un tiers impliqué dans l'envoi de codes de connexion aurait été victime d'une cyberattaque.