Il y a quelques jours, Valve annonçait la mise en place d'un délai de trois jours pour les échanges réalisés entre joueurs sur Steam, quand l'un d'eux n'est pas équipé d'un système de double authentification mobile. La mesure n'a pas plu à tout le monde, et l'éditeur tente de se justifier auprès des sceptiques.
Valve fait face à un gros problème. Dans un billet publié sur Steam, la firme de Gabe Newell explique que chaque jour, de plus en plus d'utilisateurs voient leurs comptes compromis, ou sont victimes de vols de leurs objets. À chaque fois le mode opératoire est le même, détaille l'éditeur. D'abord, les pirates prennent le contrôle du compte, puis ils échangent les objets qui lui sont liés avec un complice, qui les revendra ensuite sur la place de marché de Steam. L'étape suivante consiste à dépenser l'argent ainsi obtenu en achetant des jeux sous la forme de « Steam Gifts » qui seront ensuite revendus à prix cassés sur des plateformes grises, type G2A ou Kinguin.
Dupliquer n'est pas jouer.
Quand ce type de piratage se produit, Valve remet à flot les utilisateurs touchés en leur redonnant les objets perdus, ainsi que leur solde. Cependant cela oblige l'éditeur à dupliquer les objets disparus, celui-ci n'ayant pas la possibilité de les récupérer lorsqu'entre-temps ils ont été achetés par un autre utilisateur innocent.
« Dupliquer les objets volés dévalue tous les objets équivalents dans notre économie. Cela peut être marginal sur les objets les plus communs, mais pour les plus rares, cela peut potentiellement augmenter de façon significative le nombre total d'unités existantes », explique Valve.
Une période de quarantaine pour limiter la casse
Comme nous l'expliquions il y a deux semaines, l'éditeur a décidé de prendre des mesures drastiques pour endiguer ce phénomène. Cela passe principalement par la mise en place d'échanges à deux vitesses. Dans le cas où les deux utilisateurs disposent d'un Steam Guard Mobile Authenticator (un système de double authentification maison sur mobile), ils peuvent valider la transaction instantanément via l'application Steam installée sur leur smartphone (Android ou iOS).
Dans le cas contraire, un délai de trois jours est nécessaire pour que la transaction soit validée. Cela laisse le temps à l'utilisateur de revenir sur sa décision si l'échange est défavorable, mais aussi de signaler à Valve que son compte à été piraté si c'était le cas. Le délai est réduit à un maximum d'un jour si les deux parties sont amies depuis plus d'un an.
Le nombre de comptes volés « continue d'augmenter »
Pour justifier ce choix, Valve a décidé de donner quelques chiffres. L'éditeur déclare que chaque mois, 77 000 comptes sont piratés et pillés, soit environ un toutes les 35 secondes. « Nous avons l'habitude de penser que si vous êtes assez malins au sujet de la sécurité de votre compte, vous êtes protégés. Il est facile de partir du principe que les gens dont les comptes sont volés sont des nouveaux ou des utilisateurs naïfs qui partagent leurs mots de passe ou cliquent sur des liens douteux. Ce n'est tout simplement pas le cas » ajoute-t-il. « Ce ne sont pas les nouveaux et les naïfs qui sont touchés, ce sont les joueurs professionnels de CS:GO, des contributeurs de Reddit, des traders d'objets etc. et les pirates peuvent attendre des mois s'il le faut pour atteindre leur cible ».
Valve précise enfin que son choix de passer par une solution maison intégrée dans l'application Steam lui permet d'éviter que les pirates passent par un service tiers (type Google Authenticator) pour confirmer les échanges. Le but est également d'imposer un périphérique tiers auquel le pirate ne peut pas avoir accès. Une solution qui pourrait être employée depuis votre PC n'aurait donc aucun intérêt.
Commentaires (85)
#1
Les “objets” ce sont les pseudo-cartes à collectionner inutiles qui s’agglutinent lorsqu’on joue à X ou Y jeu ?
#2
« Nous avons l’habitude de penser que si vous êtes assez malins au
sujet de la sécurité de cotre compte, vous êtes protégés. Il est facile
de partir du principe que les gens dont les comptes sont volés sont des
nouveaux ou des utilisateurs naïfs qui partagent leurs mots de passe ou
cliquent sur des liens douteux. Ce n’est tout simplement pas le cas » ajoute-t-il. « Ce ne sont pas les nouveaux et les naïfs qui sont touchés, ce sont les joueurs professionnels de CS:GO, des contributeurs de Reddit, des traders d’objets etc. et les pirates peuvent attendre des mois s’il le faut pour atteindre leur cible ».
Pourtant, à part avec un mot de passe type “123456”, j’ai du mal à imaginer comment on peut se faire pirater son compte…ou bien une grosse attaque de social engineering de ce type, mais là le problème serait plutôt du côté des procédures de Valve.
#3
Non il y a aussi les skins pour cs go par exemple, que tu peux revendre très cher…
#4
#5
#6
Les addons d’un jeu me fait plus penser à " />
#7
Tu sais que tu peux les vendre contre du vrai pognon ? " />
J’ai acheté quelques jeux (en solde) grace à ces “cartes inutiles” " />
#8
Tu peux te faire 300€ avec certains objets… (Non non je n’explique pas comment des gens peuvent claquer autant de tune là dedans)
#9
Il parait que certain objets sur CS GO se revendent extrêmement cher.
#10
D’ailleurs, je n’ai jamais rien compris à ce délire de skin…
Comment une simple texture peut coûter des centaines voir des milliers d’euros ???
Merde quoi, une simple texture…
#11
#12
#13
L’offre et la demande, il y a des skin super rare, donc soit t’as une chance de cocu, soit tu sors la CB.
Notamment pour les couteaux. " />
Il y a un vrai marche pour ça, tu as des sites de paris (compétition de cs) pour ces skins etc….
#14
#15
La question est : Est ce que les pirates peuvent voler vos objets sans que vous leur ayez donné votre mot de passe ?
Si oui -> gros problème de sécurité
Si non -> bah c’est aux utilisateurs d’apprendre à garder leurs Identifiants (ceux de leur compte bancaire par exemple)
#16
C’est comme avec un maillot de foot, ou la prix de vente n’a strictement rien a voir avec le coût de production.
Ce que tu achètes c’est un kiki tout dur… Y a des gens qui ont besoin de s’en acheter un, et de le renouveller en plus… (Non je n’ai pas parlé de la pomme, je n’en ai pas parlé)
#17
En début de semaine j’ai reçu plusieurs SMS avec le code de Steam pour réinitialiser les accès…
Du coup, content d’avoir mis cette double authentification.
#18
#19
#20
#21
Le plus simple étant de monté un vrai site d’actu CS et de te demander de t’enregistrer avec une addresse mail de secours. Sur tous les inscrits, tu essayes de te logger sur le compte mail avec le mdp du site. Si ça marche, hop procédure de reset de steam et voilà, quand tu n’as pas juste à te logger sur steam avec la fameuse adresse mail et le mot de passe. Il suffit de 1 sur 100, sur 100000 inscrits tu gagnes 1000 compte steam…
#22
Très gros raccourci. La monnaie a une valeur indexé sur du réel. Pas un skin.
#23
Enfin en l’occurrence, il s’agit un JV pas d’un bout de papier qui date de plusieurs centaines d’année…
M’enfin bon, au lieu de revendre mes caisses, je pense que je vais les ouvrir, on ne sait jamais? " />
#24
« Dupliquer les objets volés dévalue tous les objets équivalents dans notre économie. Cela peut être marginal sur les objets les plus communs, mais pour les plus rares, cela peut potentiellement augmenter de façon significative le nombre total d’unités existantes », explique Valve.
Le problème de base c’est précisément de considérer que des trucs virtuels dont la pseudo rareté est sciemment organisée pourraient avoir la moindre valeur réelle, et plus encore de considérer ce marché de gogos comme une véritable économie.
#25
En effet, j’avais zappé ce point!
Il y quelques temps je suis passé à un mot de passe par site, au moins pour les comptes sensibles (autant on me pirate mon compte NXi, je ne perdrai pas grand chose, autant mon compte steam…), sur la base du “la sécurité d’un mot de passe est égale à la sécurité du compte le moins sécurisé sur lequel il est employé”.
Par conte le phishing, c’est toujours efficace, mais impossible pour le pirate de cibler un joueur particulier.
#26
#27
Sont gentils Steam concernant leur appli.
Moi je la veux bien la double authentification, mais elle n’existe pas sur WP…
J’ai la double authentification pour d’autres choses comme pour WOW, GW2 et même mon Synology et tout existe sur WP pour ces acteurs.
On ne sait pas pourquoi Steam zappe les possesseurs de WP, il ne répondent même pas aux demandes sur leur forum à ce sujet.
#28
Mais à quoi bon se prendre la tête " />
Il a des personnes assez folles pour payer …. ça ne t’intéresse pas … alors vend le " />
Tu peux avoir un truc gratuit que tu peux vendre pour de l’argent, et vous trouvez le moyen de vous plaindre ? " />
Je dis pas si on vous obligait de l’acheter " />
Perso, j’essaye pas de comprendre, j’en profite " />
Hop 50 centimes pour une crate de TF2, merci " />
#29
Tu récupère un couteau c’est minimum 40€ " />
Il y a aussi les caisses que tu peux revendre parfois chère. Surtout les nouvelles. " />
#30
Vraiment on se réjouit d’avoir fait un bénéfice inférieur à 1 euros ? On est devenu si pauvre que ça ? " />
#31
#32
Merci pour le tuyau. " />
Parce que bon, j’avais des caisses, elles ne valaient à vendre alors je les ai données enfin échangée contre une skin de DEagle. " />
#33
Tu répètes ça plusieurs fois par semaine ça te fait 5-10€ disponibles dans le wallet lorsque les soldes commencent :p
#34
#35
Remarque ça marche aussi en parti pour certaines marchandises bien réelles.
Par exemple le diamant, ont est capable de fabriquer du diamant artificiel de meilleure qualité et moins chers que le naturelle, pourtant c’est le naturel qui coûte le plus cher.
#36
Quand tu peux te payer des jeux en ayant vendu 6 ou 7 objets virtuels, yep " />
C’est comme ça que je me suis payé Bioshock à 2€ " />
#37
ça s’appelle un travail à terme, j’en ai déjà un " />
#38
#39
#40
j’ignorais que ça pouvait aussi débloquer du contenu. Jusqu’ici ça ressemblait juste à une collection d’images à l’utilité très relative (en dehors de la possibilité de les vendre [et dont l’achat me semble encore plus inutile ^^‘]).
#41
#42
Faut voir, mais perso, j’ai du mettre 15€ sur mon steam pour achter CS GO, et aujourd’hui, en achetant et revendant des skins, j ‘ai dû récupérer 800€ sur paypal et j’ai encore 400€ sur mo compte steam. Donc, moi, j’aime bien ce système :)
#43
Pour combien d’heures de jeu ?
#44
#45
#46
Oh dur. " />
#47
Un peu comme d’hab je pense, du phishing (site qui reproduit toute l’interface de login à Steam et de propose de te logger).
après normalement, c’est à ça que sert le steamguard, empêcher le log en envoyant un code par mail.
mais il suffit de fisher aussi la boîte mail si tu connais son addresse (ou même si le mdp a été dumpé dans des attaques sur des databases mal sécurisées (syndrome du même mot de passe partout).
Disons que les possibilités ne manquent pas.
#48
1 toutes les 35 secondes? y’a que moi que ça choque un système aussi poreux? comment on arrive à ce genre de dérive sans que le système se bloque? y’a du brute-force qui n’est pas bloqué? des comptes mails piraté aussi? je trouve ça super bizarre autant de comptes piraté en si peu de temps.
#49
Tu veux dire les cartes inutiles que je conserver pour les badges (Car oui, j’aime bien) et le double que je revend dans le MarketPlace ? (J’ai 15€ dans mon wallet, grâce à ce système) :p
Tu peux donc me donner les cartes inutiles " />
#50
j’ai pas tout compris à ce truc de double authentification… ça veux dire que avec ça d’activé, à chaque fois que je démarre mon ordinateur (avec steam en mode auto) il faudra inséré le code reçu par SMS?
#51
#52
#53
#54
#55
#56
#57
Doesn’t matter, had CS !
#58
Et voilà, j’ai voulu bien faire en tentant d’activer leur 2FA mais ça n’a pas bien marché et maintenant j’ai perdu l’accès à mon compte Steam ! Il n’a pas voulu de mes codes reçus par SMS mais il s’est tout de même défini comment ayant activé l’authentification mobile. Pfff !
Quelle merde ce truc. Il suffisait d’utiliser Google Authenticator ou Authy !
#59
#60
#61
Clair mais on sait pourquoi. Gabe n’aime pas le market windows qui vient concurrencer le sien. Il a donc decidé de faire chier ses clients.
#62
#63
#64
#65
#66
#67
Mettre 300 € dans un truc pour une double identification, sérieux ! (j’espère que c’est une blague et je vais le prendre comme cela)
Bon c’est pas pour mes quelques jeux (moins de 15 sur cette plateforme) que je vais y passer.
#68
Tu peux le recevoir par mail
#69
L’e-mail, le même que celui qui sert à mon compte Steam donc que le pirate à aussi. hum pas top cela.
#70
#71
#72
Avec la protection par mail steam considère que t’es pas protégé, te met un bandeau pour te demander de mettre l’application, et t’applique(ra) la quarantaine.
#73
En fait… si, il demande a chaque fois que tu rentres ton password
J’ai testé, j’avais la double auth par mail qui s’activait lorsque j’utilisais un nouvel ordi
En passant sur l authenticator mobile, il me demande un code a chaque login, y compris sans changer de machine.
Du coup grosse faille du truc : si tu perds ton téléphone, t’es niqué !
Comme il y a quand meme beaucoup plus de chances perdre son telephone (perte, vol, casse, panne) que son pc, je repasse sur l’authentification par mail, et steam va me mettre la quarantaine, super…
#74
“Ne jamais prendre les gens pour des cons, mais ne jamais oublier qu’ils le sont”
#75
#76
C’est ce que je m’efforce de me dire lors de nos conversations " />
#77
C’est pas très cool ça " />
#78
Lorsque tu actives l’authentification sur mobile et que tu avais renseigné ton numéro de portable avant, ils t’envoient des codes par SMS.
Lorsque c’est juste une connexion depuis un nouveau navigateur, ils t’envoient un code par mail. Sauf si tu as activé l’authentification sur mobile. Ce que j’ai fait et qui ne fonctionne pas, du coup je suis bloqué.
#79
#80
Tu sera moins catégorique quand tu sera de nouveau quoté sur DTC " />
#81
Oui j’en ai ouvert un hier après-midi, toujours aucune nouvelle d’eux…
#82
" />
#83
Normalement, tu as un “recovery code” qui permet de désactiver l’usine à gaz si tu perd ton smartphone.
#84
Si ton email est compromis, t’es de toute façon dans la merde, steam guard ou pas, puisque ça donne potentiellement accès à tous tes comptes
#85
“pillés”, quel vilain mot…
Perso, OSEF de tout ça. avant d’accèder à mon compte steam il leur faudra déjà accéder à mes mail. C’est déjà suffisant comme 2nde protection.