Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Steam : un « bug » laissait n’importe qui changer le mot de passe des comptes

Remy Gaillard serait-il devenu développeur ?

Steam : un « bug » laissait n'importe qui changer le mot de passe des comptes

Le 28 juillet 2015 à 07h00

Durant quelques jours, le service de réinitialisation des mots de passe de Steam faisait face à une importante brèche de sécurité : n'importe qui pouvait changer le mot de passe d'un compte, simplement en connaissant le nom d'utilisateur.

Des failles de sécurité, il en existe de tous les genres, de la plus complexe à la plus simple comme c'était le cas il y a quelques mois pour une page du site de la SNCF qui donnait des salves de données personnelles par simples pressions de la touche F5. Ce week-end, Steam a fait les frais d'une brèche du même niveau, ou presque.

Le mécanisme permettant de récupérer un compte quand on a oublié son mot de passe laissait en effet n'importe qui accéder à votre compte, il suffisait pour cela de connaitre le nom d'utilisateur. Normalement, avant de demander un nouveau mot de passe, ce service envoie un « code de récupération » sur votre adresse email. Il faut alors le saisir dans le formulaire afin de pouvoir entrer un nouveau mot de passe. Une vérification qui permet théoriquement de contrôler l'identité de la personne. Problème, il suffisait de laisser ce champ vide et de cliquer sur « Continue » pour que l'application vous demande de saisir un nouveau mot de passe.

Nos confrères de Kotaku qui ont révélé cette histoire indiquent que Valve était au courant de ce bug dès le 25 juillet, date à laquelle le YouTubeur Elm Hoe l'a détaillé dans une vidéo (voir ci-dessous). Il a été corrigé le jour même, et Steam a décidé de « réinitialiser » les mots de passe des utilisateurs ayant effectué un changement entre le 21 et le 25 juillet. Toutes les personnes concernées ont reçu un email de la part de la plateforme afin de les informer.

Valve précise que les utilisateurs qui ont opté pour la double authentification via Steam Guard ne sont pas concernés puisque l'accès au compte nécessite un second code de sécurité, qu'il n'était pas possible de contourner aussi facilement.

 

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est la faute du stagiaire. <img data-src=" />

votre avatar

ah c’est ballot ! bon heureusement y’a steam guard, un jour j’ai eu une demande de changement de mdp depuis la pologne ou la russie <img data-src=" />

votre avatar







H1N1Virus a écrit :



C’est la faute du stagiaire. <img data-src=" />





c’est le nouveau “First !!1!” ? <img data-src=" />



C’est préoccupant ce genre de bug quand on pousse pour le tout démat’ <img data-src=" />


votre avatar

En même temps, avec SteamGuard comme choix suggéré fortement, quand on le refuse on doit être conscient du risque encouru.



En lisant la news, j’ai cru que c’était justement ce principe qui avait eu une faille, ce qui aurait été fort de café. Bref, si on tient à ses jeux, mieux vaut utiliser steamGuard, qui n’est casse pied que en mode navigateur (on se connecte rarement via Steam sur un PC différent)



La réaction est bonne, mais s’il y a eu des victimes cela risque d’être trop tard (objets en inventaire perdus)

votre avatar







jb18v a écrit :



ah c’est ballot ! bon heureusement y’a steam guard, un jour j’ai eu une demande de changement de mdp depuis la pologne ou la russie <img data-src=" />





De même, mais pas un seul, disons qu’ils ont du spammer une trentaine de fois le changement de compte…


votre avatar







H1N1Virus a écrit :



C’est la faute du stagiaire. <img data-src=" />





Quand toute l’entreprise est composé de stagiaires, difficile de blâmer “le” stagiaire.


votre avatar

Ouais bah ils pourraient dev HL3 plus vite que ça les stagiaires. <img data-src=" />





Et y a la faille stagefright sur android. <img data-src=" />

votre avatar

D’un autre coté, autant qu’il l’aie dévoilé ainsi la faille car cela a forcé Steam/Valve à faire les corrections de suite. Car, sinon, combien de temps aurait-on attendu ?

votre avatar

Mais le code c’est pas justement avec steamguard ?&nbsp;<img data-src=" />

&nbsp;

&nbsp;

&nbsp;

&nbsp;Cette news n’est pas claire… ou c’est moi qui suis pas frais.

votre avatar







jb18v a écrit :



ah c’est ballot ! bon heureusement y’a steam guard, un jour j’ai eu une demande de changement de mdp depuis la pologne ou la russie <img data-src=" />









tazvld a écrit :



De même, mais pas un seul, disons qu’ils ont du spammer une trentaine de fois le changement de compte…



Idem, une bonne 10zaine en un mois l’an dernier…

Heureusement que Steam Guard est là.


votre avatar

Effectivement, sur navigateur je l’ai à chaque connexion (mon navigateur s’autoclean régulièrement). Mais maintenant que je l’ai sur le téléphone, je l’ai à chaque connexion mais c’est plus rapide d’accès que le mail ^^



Et je préfère qu’il me le demande plus régulièrement que pas du tout, surtout quand je vois les tentatives de reset. Par contre j’ai pas trouvé où on peut faire la gestion des ordis enregistrer, je dois faire le ménage dedans vu les noms improbable à chaque fois (genre fdqdfs).

votre avatar







SuperMot a écrit :



Mais le code c’est pas justement avec steamguard ? <img data-src=" />







Cette news n’est pas claire… ou c’est moi qui suis pas frais.



Non, le code c’est la sécu de base, et SteamGuard c’est quand tu essaies de te connecter depuis un nouveau PC, faut le valider depuis le mail automatique envoyé <img data-src=" />


votre avatar

dans steam y a une option qui retire l’acces à tous les autres .

votre avatar

Ca donne franchement l’impression que les devs ont mis un “raccourci” pendant le développement pour pas ce faire chier à envoyer les emails pour les tests et au moment de la mise en prod… ils ont juste oublié <img data-src=" />

votre avatar

Ha oui ! J’avais oublié la demande pour les nouveaux appareils.

&nbsp;

Du coup je me sens rassuré&nbsp;<img data-src=" />

votre avatar

Tu peux aussi ne pas ajouter la machine pour avoir la demande à chaque connexion sur cette machine pour plus de sécurité.

votre avatar

Conscient… ou forcé : mon smartphone est un BlackBerry, j’ai pas de tablette, donc…

votre avatar

Qu’importe le client de connexion (Steam ou Navigateur), si SteamGuard est activé il te sera demandé un code de sécurité.



En effet, le client steam a un ID propre généré par l’installation. Et le navigateur laisse une empreinte elle aussi unique.

votre avatar







tazvld a écrit :



De même, mais pas un seul, disons qu’ils ont du spammer une trentaine de fois le changement de compte…





si on peut spammer le changement de compte sans que çà bloque c’est une grosse faiblesse


votre avatar







tazvld a écrit :



De même, mais pas un seul, disons qu’ils ont du spammer une trentaine de fois le changement de compte…



Si on prend ce pseudo, c’est pas impossible qu’il y juste eu une erreur d’une lettre… du coup le type attendait le code par mail et ne recevant rien recliquait :p


votre avatar

if(isset(\(code) {&nbsp;

verifCode(\)code)&nbsp;

}&nbsp;

et Paf, si on met pas de code on rentre pas dans la vérif. &nbsp;

Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !

votre avatar

Ah c’est le fameux code envoyé par email à chaque connexion inconnue ? En lisant l’article, j’ai cru que c’était le même. Je pensais plutôt à une authentification à deux facteurs avec appli, à la Blizzard…

votre avatar

SteamGuard activé OK, vive la double authentification…

votre avatar







blackdream a écrit :



if(isset(\(code) { 

verifCode(\)code) 



et Paf, si on met pas de code on rentre pas dans la vérif.  

Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !





Et ceux qui ont suivi le BTS, on les reconnait à leur code:

if(isset(\(code) { 

verifCode(\)code) 

} else {

// TODO quand j’aurai du temps

}


votre avatar

En attendant, il reste plein d’utilisateurs avec leur adresse e-mail comme login parce qu’on avait eu le malheur de participer au béta-test de Steam en 2003 et que c’était limité à ça, et Valve prétend ne pas pouvoir nous donner de moyen de le changer.

&nbsp;

Heureusement qu’il y a SteamGuard donc…

votre avatar

Tellement vrai <img data-src=" />

votre avatar







blackdream a écrit :



if(isset(\(code) { 

verifCode(\)code) 



et Paf, si on met pas de code on rentre pas dans la vérif.  

Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !





Je me garderais de donner des leçons si j’étais développeur PHP <img data-src=" />


votre avatar

Bien ! Je vais pourvoir recommencer à jouer à HuniePop en toute sécurité.&nbsp;<img data-src=" />

votre avatar

blackdream a écrit :

if(isset(\(code) {&nbsp;

verifCode(\)code)&nbsp;

}

et Paf, si on met pas de code on rentre pas dans la vérif. &nbsp;

Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !

je connais pas le php mais à mon avis ca ressemble plus à ça

&nbsp;

if( issef( \(code ) {

&nbsp;&nbsp;&nbsp; verif\_code( \)code )

} else if( $NSAIP ) {

&nbsp; &nbsp; // TODO: IF FOUND SAY RUSSIAN OR CHINESE HACK&nbsp;

&nbsp; &nbsp; do_change_password( void )

} else {

&nbsp;// FFA

&nbsp;&nbsp;&nbsp; do_change_password( void )

&nbsp;}

&nbsp;

&nbsp;

&nbsp;<img data-src=" />

votre avatar

Je ne peux pas activer l’application steam sur mon téléphone, elle ne reconnaît pas mon mot de passe de mon compte steam.

votre avatar







TheKillerOfComputer a écrit :



En attendant, il reste plein d’utilisateurs avec leur adresse e-mail comme login parce qu’on avait eu le malheur de participer au béta-test de Steam en 2003 et que c’était limité à ça, et Valve prétend ne pas pouvoir nous donner de moyen de le changer.

 

Heureusement qu’il y a SteamGuard donc…



Ce serait très con, si ton adresse était @ifrance.com


votre avatar

C’est une identification en deux étapes, mais unique <img data-src=" />



En gros lors de cette première connexion par un nouvel appareil (comprendre client), tu génères une clef qui lui est propre. Et tu rentres cette dernière une seule fois pour bien prouver que tu détiens login/mdp/compte mail. Mais une fois enregistrée chez Valve, cet appareil est considéré comme “de confiance”.

votre avatar

J’en avais un <img data-src=" />



Je l’ai dégagé peu avant 2003, il tombait en panne tout le temps <img data-src=" />

votre avatar







blackdream a écrit :



if(isset(\(code) {&nbsp;

verifCode(\)code)&nbsp;

}&nbsp;

et Paf, si on met pas de code on rentre pas dans la vérif. &nbsp;

Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !





La parenthèse de fin du if&nbsp;<img data-src=" />

Honnêtement je pense comme un autre utilisateur, ils ont du désactiver cette fonction pour effectuer des tests et ils ont oubliés de la remettre en place.


votre avatar

Comme quoi, ca a du bon d’avoir une url personalisée de profil Steam. On peut retirer son pseudo de connexion et y mettre n’importe quoi :)



&nbsp;

votre avatar







TheKillerOfComputer a écrit :



En attendant, il reste plein d’utilisateurs avec leur adresse e-mail comme login parce qu’on avait eu le malheur de participer au béta-test de Steam en 2003 et que c’était limité à ça, et Valve prétend ne pas pouvoir nous donner de moyen de le changer.





Mais ça change quoi concrètement? Parce que j’ai toujours mon ancienne adresse email comme login, mais mon adresse de contact est différente, ainsi que mon pseudo ^^


votre avatar

Ca dépend, l’article dis qu’en ne mettant pas de code on pouvait changer le mot de passe, mais ne précise pas si en mettant un faux code cela fonctionnait.&nbsp;Donc je suis partis sur le principe qu’il fallait que le code soit vide.&nbsp;

Après, si pour le test ils ont désactivé la fonction en mettant un return dès la première ligne, ça marche quel que soit la valeur du code.&nbsp;

PS : oui j’ai oublié une parenthèse, il faut absolument un correcteur de syntaxe dans les commentaires, indispensable !&nbsp;<img data-src=" />

votre avatar







DHKold a écrit :



Mais ça change quoi concrètement? Parce que j’ai toujours mon ancienne adresse email comme login, mais mon adresse de contact est différente, ainsi que mon pseudo ^^






  Parce qu'elle est toujours opérationnelle et que c'est l'adresse racine. A l'époque, la sécurité sur Internet n'avait pas la même signification (il y avait moins de spam notamment) et mon prestataire n'offrait d'ailleurs pas d'alias, qu'il a mis en place un peu après et que j'utilise maintenant. Il n'empêche que pour Steam, du coup, c'est la racine qui est exposé.        







  Et donc, je me sens en quelque sorte "puni" par Valve pour ne pas avoir prédit l'ère du spam qui commença peu après, et les carnages sécuritaires de ces trois dernières années. Je rappelle que Valve s'est fait hacker en 2011 mais apparement je n'ai pas été touché. Je n'aurai pas toujours cette chance. Et ça me serait très compliqué de corriger une invasion sur la racine (ou de migrer, vu le temps passé).

votre avatar

En tout cas ils sont réactiver pour corriger le pépin.

&nbsp;







WereWindle a écrit :



c’est le nouveau “First !!1!” ? <img data-src=" />





Ca change des « popcorn » à toutes les sauces ! <img data-src=" />


votre avatar

Pas plus longtemps, Valve est une companie avec 330 employes qui leur as verse 350k chacun comme bonus en 2010.

Ils font des centaines de Millions de dollars de profits chaque annee, la derniere chose qu’ils voudraient c’est perdre leurs clients et quand ils se font voler leur compte generalement les clients reviennenent pas :)

votre avatar







gokudomatic a écrit :



Et ceux qui ont suivi le BTS, on les reconnait à leur code:

if(isset(\(code) { 

verifCode(\)code) 

} else {

// TODO quand j’aurai du temps

}





troloLOL <img data-src=" />







TheKillerOfComputer a écrit :



En attendant, il reste plein d’utilisateurs avec leur adresse e-mail comme login parce qu’on avait eu le malheur de participer au béta-test de Steam en 2003 et que c’était limité à ça, et Valve prétend ne pas pouvoir nous donner de moyen de le changer.

 

Heureusement qu’il y a SteamGuard donc…





Quelle horreur, c’est un peu du foutage de gueule le “non changement” à ce niveau…


Steam : un « bug » laissait n’importe qui changer le mot de passe des comptes

Fermer