Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Valve revient sur le bug de Noël de Steam et va contacter les utilisateurs touchés

On commençait à trouver le temps long

Valve revient sur le bug de Noël de Steam et va contacter les utilisateurs touchés

Le 31 décembre 2015 à 09h15

Valve a enfin pris la parole officiellement au sujet de son gros couac du 25 décembre. La firme de Gabe Newell revient sur le souci de configuration du cache de Steam en précisant qu'il fait suite à une attaque par déni de service. Elle contactera l'ensemble des utilisateurs dont les données personnelles ont été affichées à autrui.

Il aura donc fallut attendre près d'une semaine pour que Valve réagisse réellement au souci rencontré par ses utilisateurs le soir de Noël. Pour rappel, le 25 décembre entre 21 h et minuit (heure française) la plateforme a en effet présenté un comportement plus qu'anormal. La page principale de la boutique Steam s'affichait dans une autre langue que celle habituellement demandée par l'utilisateur. Et si à ce moment-là on cherchait à accéder aux détails de son propre compte, les informations d'un autre client étaient alors affichées à l'écran. 

Les données transmises étaient partielles mais néanmoins significatives. On pouvait ainsi voir en un clic leur adresse email, celle éventuellement liée à leur compte PayPal, leur historique de transaction, l'adresse de facturation, les quatre derniers chiffres du numéro de téléphone utilisé pour SteamGuard, ou encore les deux derniers chiffres de leur carte de paiement. Depuis cet évènement, Valve s'était simplement fendu d'un communiqué laconique distribué à quelques sites que l'on pourrait résumer ainsi : « Circulez, il n'y a rien à voir ».

Une attaque, mais surtout un problème de configuration

C'est donc hier soir que Valve s'est décidé à communiquer. L'occasion de fournir des explications plus détaillées, mais aussi des présenter (enfin) ses excuses au sujet de cet incident.

Tout a débuté de façon fort banale pour l'éditeur avec une attaque par déni de service (DoS) visant ses serveurs. « Des attaques contre la boutique Steam et Steam en général arrivent régulièrement, et les équipes de Valve s'en occupent seules ou avec l'aide de partenaires externes et typiquement, elles n'affectent pas les utilisateurs » assure la plateforme. 

Le soir du 25 décembre, le trafic vers la boutique Steam était selon Valve 20 fois supérieur à la moyenne observée pendant la période de promotions en cours. « En réponse à cette attaque spécifique, des règles de cache gérées par un partenaire [NDLR : un CDN, type Cloudflare] ont été déployées afin de minimiser l'impact sur les serveurs de la boutique et assurer que le trafic légitime soit bien assuré ».

Cela a fonctionné pour une première vague d'attaques, mais par la suite une deuxième phase d'assaut a pris le relais. Valve a alors déployé une deuxième configuration pour son cache, plus restrictive mais celle-ci était mal paramétrée et a mis en cache le trafic pour les utilisateurs authentifiés sur Steam. « Cette erreur de configuration a eu pour conséquence que certains utilisateurs voyaient des réponses de la boutique Steam qui étaient générées pour d'autres utilisateurs. »

Cela concernait donc l'ensemble des pages de la boutique, ce qui explique pourquoi certains la voyaient dans une langue étrangère, mais également la fameuse page de détails du compte.

Valve tente de limiter les dégâts

Deux cas se présentent alors selon Valve. Si pendant la période du bug vous avez tenté d'afficher des pages sur les sites ou le client de Steam, les informations qui vous étaient destinées ont pu être montrées à d'autres utilisateurs. Si vous n'étiez pas actif à ce moment-là, vos informations personnelles n'ont alors jamais pu être présentées à qui que ce soit d'autre.

De son côté, Valve assure travailler avec ses partenaires afin d'identifier l'ensemble des personnes concernées par ce problème afin de pouvoir les contacter personnellement. L'éditeur affirme également qu'étant donné qu'aucune action n'était possible sur les comptes d'un tiers lors de l'incident, il n'est pas nécessaire pour les utilisateurs concernés de changer leur mot de passe ou leurs moyens de paiement, ceux-ci n'ayant pas été compromis. 

Une communication qui arrive (trop ?) tard

Au vu de la panique générée par cette « erreur de configuration » et de ses conséquences apparemment très limitées, on se demande encore pourquoi Valve n'a pas réagi plus tôt, préférant laisser ses utilisateurs s'inquiéter de l'éventuelle compromission de leurs informations dans l'intervalle.

S'il faut parfois du temps pour comprendre les tenants et les aboutissants d'une panne, un service comptant plus de 125 millions de clients ne devrait pas les laisser sans aucune nouvelle pendant plusieurs jours, se contentant de distribuer un communiqué de quelques phrases à la presse spécialisée. D'autant plus dans une période d'affluence pour elle et quand il est question d'accès à des données personnelles.

Espérons que cette mésaventure serve de cas d'école, et surtout qu'elle serve aux équipes de Valve pour revoir leurs procédures pour cette nouvelle année.

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Winderly a écrit :



Certains préfèrent être certains d’avoir des clés legit, qui seront pas blacklistées pour un oui ou un non.

D’autres préfèrent jouer, parfois ça passe, parfois ils perdent…





Je suis OK avec toi… c’est pourquoi je privilégie toujours des revendeurs qui ont une bonne réputation (Instant Gaming, GamesPlanet…).

Bon, si en plus ils acceptent le Bitcoin c’est encore mieux (ce que Steam refuse obstinément, certainement car Gabe Newell est un largué…).

https://www.reddit.com/r/Bitcoin/comments/1bp8ol/we_need_to_get_steam_to_accept_…


votre avatar

Merci pour cet article.

Je parcoure souvent /r/Steam et je n’y ait pas trouvé la réponse à ma question :



Munit des diverses infos d’un compte (historique des achats, tout ca) est-il possible en théorie de contacter le support pour réclamer la propriété d’un compte Steam qui ne nous appartient pas?



Par le passé il y a déjà eu des entourloupes de ce genre qui exploitaient le support Steam..

Et je n’aimerait pas que cela me tombe dessus.<img data-src=" />

Une idée de la réponse, Kévin? Les INpactien(ne)s?



Pour mes infos de paiement/facturation, pour peu que Steam respecte ce que je lui demande quand j’achète (la case à ne pas cocher) alors je n’ai pas de soucis à me faire. Même ma CB est expirée :p

votre avatar

Il est bien dit que si tu n’as pas essayer de visiter ces pages tu ne risque rien dans tous les cas.



Perso j’ai vu la boutique en russe, je me suis servis un verre et je suis retourné sur l4d2.

votre avatar

Et la TVA? Et les impôts? Et les salariés de ces entreprises? Et l’origine des clefs?

votre avatar

On a le droit de revenir sur un incident de cette (presque) fin d’année et de comparer Valve à Free Mobile ou pas ?



<img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />



<img data-src=" />

votre avatar

Non, désolé, c’est interdit…. c’est le dernier jour de l’année et on ne parle pas des sujets qui fâchent….

bon, c’est sur qu’on ne va plus parler de rien… mais tant pis…

votre avatar







Der Weise a écrit :



Et la TVA? Et les impôts? Et les salariés de ces entreprises? Et l’origine des clefs?





C’est sur que si je me pose toutes ces questions philosophiques avant d’acheter un pov’ jeux, j’aurais jamais le temps de fêter dignement mon réveillon…


votre avatar







BTCKnight a écrit :



C’est sur que si je me pose toutes ces questions philosophiques avant d’acheter un pov’ jeux, j’aurais jamais le temps de fêter dignement mon réveillon…






votre avatar







BTCKnight a écrit :



C’est sur que si je me pose toutes ces questions philosophiques avant d’acheter un pov’ jeux, j’aurais jamais le temps de fêter dignement mon réveillon…





Moi j’aurais un peu de mal à nourrir des voleurs mais après chacun ses choix


votre avatar

Oui, la communication de Valve est arrivée bien trop tardivement. Une semaine pour attendre une réponse officielle, alors que dès le 26 décembre, Valve savait qu’elle avait subit une attaque par déni de service, ce n’est pas professionnel. En fait, c’est tout le contraire… Pourquoi avoir attendu une semaine pour dire ce qu’il s’était passé ? C’est se tirer une balle dans le pied.



Mais Valve n’est pas la première entreprise à prendre son temps pour annoncer à ses clients qu’elle a subit une attaque par une ou plusieurs personnes malveillantes. Certaines, même, ne le disent pas. Cela se sait alors officieusement, via des employés, qui préfèrent toujours garder l’anonymat.

Médiatiquement, il est certain qu’une société de la taille de Valve, et quelque soit le type d’attaque qu’elle subit, se fera toujours critiqué pour ne pas avoir pris les mesures de sécurité adéquates. Sans parler de la colère de ses clients… Mais il faut savoir prendre ses responsabilités !

votre avatar

Et Amazon ? Et Google ? Et Microsoft ?



Tu pourras demander aux particuliers de jouer le jeu quand ceux qui brassent des millions le joueront.

C’est comme l’écologie, triez vos poubelles, moi je vais voter en Corrèze en avion.



Personne ne respecte les règles, sauf les c*, c’est triste à dire mais ça ressemble à ça.

votre avatar

Merci !

votre avatar







Tienosim a écrit :



Moi j’aurais un peu de mal à nourrir des voleurs mais après chacun ses choix



Ta phrase peut tellement viser n’importe qui:

Valve,

les revendeurs de clefs,

les joueurs qui piratent pour “ne pas nourrir des voleurs”



Bref, tout le monde en somme.


votre avatar

En Valve time, ils ont communiqué plutôt rapidement je trouve ! <img data-src=" />

votre avatar







Slash a écrit :



En Valve time, ils ont communiqué plutôt rapidement je trouve ! <img data-src=" />





Haha certain aurait dis HL3 confirmé :P


votre avatar

faut pas leur en vouloirs, c’est les période festives, avec l’alcool forcément le temps de réaction diminue <img data-src=" />

votre avatar

Sur Steam, c’est PaySafeCard comme moyen de paiement uniquement. Pas de mauvaise surprise ni de données sensibles laissées sur leurs serveurs&nbsp;<img data-src=" />

votre avatar

“Pour nous faire pardonner on lance le chantier HL3” <img data-src=" />



On peut toujours rêver <img data-src=" />

votre avatar

Sur n’importe quel site, je ne stock jamais mes informations de contact (quoi que j’ai encore trouvé un site l’autre jour qui les stockait automatiquement, il faut les supprimer a posteriori). Du coup, au pire ils avaient les 2 derniers chiffres de mes précédents achats. Mais bon, sachant que je n’ai pas affiché mon compte sur cette période…

votre avatar

Ça c’est l’ARG en cours via les soldes <img data-src=" />

votre avatar

que le 25? je l’ai eu encore après, le 28 environ 1h.

votre avatar

“Si vous n’étiez pas actif à ce moment-là, vos informations personnelles

n’ont alors jamais pu être présentées à qui que ce soit d’autre.”

Ouf, j’ai échappé (sans le vouloir) au problème.&nbsp;<img data-src=" />

votre avatar

En même temps s’il y aurait eu une vraie fuite de données ils auraient communiqué rapidement et activé la procédure de changement de mot de passe comme ils l’avaient fait début janvier.

Quand je vois que les premiers commentaires sur reddit étaient “how can we sue them?” je comprends qu’ils donnent pas trop de détails :p

votre avatar

je suis intéressé de savoir&nbsp; en quoi consiste le déploiement de configuration de cache pour parer à des attaques DDOS.

votre avatar

En fait le Ddos c’est la situation normale chez Valve, là il y a juste eu une montée en charge exceptionnelle <img data-src=" />

votre avatar

mé nan, filer votre numéro de téléphone à Valve, ça va sécuriser vos données ^^

votre avatar

Bah garder le cache coté serveur limite les accès en base. Chaque IP utilisées par l’attaque ne fera qu’un appel sur la base, les appels suivant seront gérés par le cache.&nbsp;

Il n’est pas possible d’avoir la totalité de la base en cache, donc je pense que les attaquants jouent là-dessus pour trouver des pages qui impactent réellement la base à chaque appel de la page. Si valve ne réagit pas, la limite de la base peut être atteinte et donc ralentir pour l’ensemble des utilisateurs.&nbsp;

Du coup j’imagine que Valve joue sur la configuration du cache pour contrer les attaques DDOS significatives.&nbsp;

En favorisant les pages (plutôt les tables qui sont utilisés par ces pages, mais c’est pour simplifier) qui sont utilisés par les attaquants dans le cache, on limite l’attaque.&nbsp;



Je dirais que c’est à peu près ça le principe, mais si quelqu’un a une autre explication, je suis preneur.&nbsp;

votre avatar







dieudivin a écrit :



Sur Steam, c’est PaySafeCard comme moyen de paiement uniquement. Pas de mauvaise surprise ni de données sensibles laissées sur leurs serveurs <img data-src=" />





Merci du conseil… sauf que je ne comprends toujours pas pourquoi certains achètent encore en direct chez Steam alors que leur prix (souvent même promos comprises) sont plus élevés qu’ailleurs….

https://www.instant-gaming.com/fr/

http://www.dlcompare.fr/

D’autre part, sur certains sites (comme Instant Gaming par exemple) il y a des frais de 1€ en plus lorsqu’on utilise PaysafeCard (et strictement aucun frais si on paye en Bitcoin ou par CB…).


votre avatar







BTCKnight a écrit :



…sauf que je ne comprends toujours pas pourquoi certains achètent encore en direct chez Steam alors que leur prix (souvent même promos comprises) sont plus élevés qu’ailleurs….





Certains préfèrent être certains d’avoir des clés legit, qui seront pas blacklistées pour un oui ou un non.

D’autres préfèrent jouer, parfois ça passe, parfois ils perdent…


Valve revient sur le bug de Noël de Steam et va contacter les utilisateurs touchés

  • Une attaque, mais surtout un problème de configuration

  • Valve tente de limiter les dégâts

  • Une communication qui arrive (trop ?) tard

Fermer