La plateforme de jeux Steam nie fermement que son infrastructure a été piratée. Un hacker prétend en effet détenir des données de 89 millions d’utilisateurs, mais selon l’entreprise, ces données sont relativement sans valeur.
Il y a quelques jours, des communiqués faisaient état qu’un pirate informatique aurait proposé un ensemble de données de 89 millions d’utilisateurs de Steam dans le web clandestin pour 5.000 dollars. Cette plateforme permet aux gens d’acheter et de jouer à des jeux par voie numérique. Pour beaucoup, le compte est la porte d’accès à une grande partie de leur collection de jeux.
L’auteur a rendu publique une petite partie de l’ensemble des données, qui contenait des SMS utilisés pour la vérification en deux étapes. Il a rapidement été suggéré que la fuite de données provenait de Twillio, un fournisseur qui facilite ce genre de service, mais le journaliste en ligne anonyme Mellow_Online1 déclare à présent sur X que l’entreprise le dément, et que Steam affirme en outre ne pas utiliser Twillo.
Codes non valables
Dans une réaction, Steam prétend que ses systèmes n’ont pas été piratés. Elle mène elle-même une enquête sur la fuite de données et fait observer que les SMS d’authentification à deux facteurs (2FA) circulent entre Steam et les téléphones des utilisateurs via différents fournisseurs et ne sont souvent pas cryptés.
Cela souligne également que les données divulguées publiquement sont relativement sans valeur. ‘Il s’agit d’anciens SMS contenant des codes à usage unique valables 15 minutes seulement’, déclare-t-on chez Steam. ‘Les numéros de téléphone auxquels ils ont été envoyés, se trouvent également dans le gisement de données, mais ils ne sont pas liés à un compte Steam ou à d’autres données personnelles.’
Aucun compte en danger
Steam ajoute que les utilisateurs n’ont pas besoin de prendre de mesures, comme changer leur mot de passe. Il leur est cependant conseillé de toujours se montrer prudents avec les messages concernant les comptes ou la sécurité de ceux-ci. L’entreprise fait en outre référence à son propre Steam Mobile Authenticator, qui fournit également une vérification en deux étapes, mais de manière plus sécurisée.
Il n’est donc pas tout à fait clair de savoir d’où proviennent les données divulguées et si le gisement en question contient réellement des données personnelles de 89 millions d’utilisateurs. Il n’en reste pas moins qu’il ne s’agit pas d’une énorme fuite de données chez Steam ou chez un partenaire direct de l’entreprise, et l’impact sur la sécurité des comptes est à ce stade clairement très limité.