Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Steam confirme une fuite de données : des SMS pour la 2FA

Pas cher : 0,00005 euro la donnée

Steam confirme une fuite de données : des SMS pour la 2FA

L'affaire remonte au dimanche 11 mai. Ces dernières heures, elle a rapidement pris de l’ampleur, mais attention à ne pas vous laisser avoir par le côté « sensationnaliste » de certains. Cette fuite ne vient pas directement de chez Valve et ne concerne pas les comptes utilisateurs : il s’agit de SMS éphémères envoyés pour de la double authentification.

Le 15 mai à 08h07

Depuis plusieurs mois, les annonces de cyberattaques et de fuites de données se multiplient, dans tous les secteurs. Pas plus tard que lundi, c’était au tour de Dior de prévenir ses clients.

Une autre histoire agite Internet depuis peu : la compromission de « 89 millions de comptes Steam », la plateforme de jeux de Valve… Les chiffres ont de quoi faire tourner la tête, mais la réalité n’est pas aussi impressionnante. On vous résume cette histoire.

Un post, un message LinkedIn et un tweet : une seule source

Elle remonte au 11 mai, quand la société Underdark.ai (spécialisée dans la sécurité informatique, basée à Tel Aviv) a publié un post sur LinkedIn. Il est rapidement repris sur X par Mellow_Online (qui cite d’ailleurs bien le message LinkedIn en source dans son premier tweet), un journaliste jeux vidéo indépendant qui s’occupe du groupe SteamSentinels. La seconde publication n’est donc pas une confirmation, c’est une reprise.

Le message original annonce une « violation massive présumée de données Steam : plus de 89 millions d’enregistrements à vendre ». Il précise qu’un « acteur malveillant se faisant appeler Machine1337 a posté sur un forum bien connu du dark web » un message pour vendre « un ensemble de données de plus de 89 millions d’enregistrements d’utilisateurs pour 5 000 dollars ». Ce n’est vraiment pas cher ramené au prix par compte, surtout étant donné l’importance de la cible. Une première puce à l’oreille, il va y en avoir d’autres.

Underdark.ai accompagne son message d’une capture d‘écran de la publication du pirate. On peut y voir un lien vers un compte Telegram en chinois, alors que le forum est en russe. L’entreprise Underdark.ai précise dans son message qu’un échantillon de données serait proposé au téléchargement, mais sans donner de lien.

Des SMS et des métadonnées… « ennuyantes »

De quelles données parle-t-on ? Selon l’auteur de la publication LinkedIn, et sur la base d’une analyse de l’échantillon, il y a des SMS de validation pour la double authentification : « Les données comprennent le contenu des messages, l’état de livraison, des métadonnées et les coûts d’envoi, ce qui suggère un accès à un tableau de bord ou à une API du fournisseur, et non directement de Steam ». Cette piste va être confirmée par Valve.

L’expert en cybersécurité Christopher Kunz va dans le même sens : les données mises en vente seraient « 89 millions de journaux d’envoi des SMS. Ils contiennent beaucoup de métadonnées VRAIMENT ennuyantes comme la date de livraison, les délais et l’opérateur transporteur, MAIS les données sont récentes et comportent aussi des numéros de téléphone ».

Même son de cloche chez nos confrères de Bleeping Computer : un « historique de SMS avec des codes d’accès à usage unique pour Steam, et le numéro de téléphone du destinataire ». Le contenu explique probablement le faible prix (5 000 dollars) ramené à la taille supposée de la fuite (89 millions).

Twilio se fait inviter et repart presque aussi rapidement

Sans rien demander, Twilio est placé au centre de l’échiquier par l’intermédiaire d’une nouvelle publication de Mellow_Online sur X : « La nature des données suggère que les attaquants ont eu accès aux systèmes de Twilio, probablement via un compte utilisateur Twilio ou une clé API compromise ou un accès direct au tableau de bord backend de Twilio ».

Contacté par Bleeping Computer, Twilio dément toute implication : « Il n’y a aucune preuve suggérant que Twilio ait été piraté. Nous avons examiné un échantillon des données trouvées en ligne et ne voyons aucune indication que ces données ont été obtenues auprès de Twilio ».

Dans une nouvelle publication hier, Mellow_Online ajoute une précision importante : « : J'ai été contacté par un représentant de Valve, et ils ont déclaré qu'ils n'utilisaient pas Twilio ». Nouvelle confirmation que cette entreprise n’est pas impliquée dans la potentielle fuite, mais rien de plus pour le moment. La nuit porte conseil et nous attendons de voir ce qu’il en est ce matin.

Steam confirme une fuite

Valve a finalement réagi officiellement il y a quelques heures. Premier point : l’entreprise confirme ne pas avoir été piratée. Elle arrive, elle aussi, à cette conclusion sur la base de la consultation de l’échantillon de données.

Voici les explications de Steam :

« La fuite comprenait d'anciens messages SMS contenant des codes à usage unique valables pendant une période de 15 minutes, et les numéros de téléphone auxquels ils avaient été envoyés.

Les données divulguées n'ont pas associé les numéros de téléphone aux comptes Steam, aux mots de passe, aux informations de paiement ou à d'autres données personnelles. Les anciens SMS ne peuvent pas être utilisés pour compromettre la sécurité de votre compte Steam ».

Qu’en est-il de la provenance de la fuite ? Valve ne cite aucun responsable, mais continue d’enquêter. La tâche est compliquée, car les SMS ne sont pas chiffrés pendant les différentes étapes et sont acheminés via plusieurs fournisseurs avant d’arriver sur votre smartphone, explique l’entreprise.

Dans ces conditions, Valve ajoute qu’il n'est pas nécessaire de modifier votre mot de passe ou votre numéro de téléphone. L’entreprise recommande de vérifier régulièrement la sécurité de votre compte et la liste des terminaux autorisés.

Commentaires (22)

votre avatar
un « historique de SMS avec des codes d’accès à usage unique pour Steam, et le numéro de téléphone du destinataire ». Le contenu explique probablement le faible prix (5 000 dollars) ramené à la taille supposée de la fuite (89 millions).
Toi aussi gagne 5000$ avec cette simple astuce:

for i = 1 to 89000000
writeline random.digits(10) + "\t" + uppercase(random.alphanum(5))
next


:D
votre avatar
Voilà pourquoi il faut aussi privilégier l'application Steam Guard (et en règle générale, une application de TOTP) plutôt que la double authentification par SMS ou par e-mail.

Vous réduisez drastiquement les risques de compromission, car dans le cas où on arrive à accéder à votre email ou que vous êtes victimes de SIM swapping, personne n'a accès à vos comptes protégés par double authentification.
votre avatar
Je préfère aussi largement une application TOTP (de préférence pas Microsoft ou Google Authenticator), mais de façon récurrente, les sociétés nous imposent par SMS voir mail (le site d'Ameli, des services bancaires, ...).

J'ai aussi le cas de la complémentaire santé. Quand ma compagne veut y accéder, elle est obligée de me prévenir un peu à l'avance pour que je lui envoie le code dès sa réception (car valable que quelques minutes, et aussi pour pas qu'elle ne reste planter devant le PC à attendre que je lise mes mails). Bref, un truc pas réfléchit pour quelque chose d'utiliser par plusieurs personnes...
votre avatar
Je ne peux que concourir sur le principe de la double authentification appuyée par une app dédiée.
Là où ça me gave c'est que, sauf erreur de ma part, Steam veut qu'on utilise leur propre appli au lieu de nous laisser le choix de celle qu'on veut utiliser.

Je commence à en avoir marre de me voir suggérer de télécharger une app des que je veux faire quelque chose.
Suis je devenu trop vieux ?
votre avatar
Dans le même genre, quand on a voulu activer le 2FA sur Ofiice 365, on a vu que Microsoft ne fournit pas de TOTP sécurisé utilisable par une appli du marché, type FreeOTP.
Mais pourquoi donc forcer l'utilisation de MS Authenticator ?
votre avatar
Hélas, tous les fournisseurs de service en ligne ne proposent pas ce moyen renforcé. Et je ne parle pas que d'une obscure TPE sans le sous.

Un compte Amazon KDP ne supporte que le SMS, alors qu'on peut mettre (difficilement, bien planqué dans les options) un OTP dans le compte commerce.
votre avatar
Si la carte de crédit n'est pas enregistrée, c'est quoi le risque de se faire pirater son compte Steam ?
Connaitre les badges qu'on a reçu et le contenu de notre wishlist ?
votre avatar
La perte d'accès au compte, je dirai.
Et c'est déjà pas mal.
votre avatar
La perte d'une bibliothèque de jeux qui a probablement coûté quelques pépettes depuis le temps ?

Même si dématérialisée, ça reste un vol.
votre avatar
Il faut que la personne puisse remplacer l'adresse mail d'authentification et encore.

A part pour te faire chier, personnellement, je ne vois pas ce que des pirates pourraient gagner (en particulier financièrement) à t'empêcher d'accéder à ta bibliothèque.
votre avatar
Plusieurs théories en vrac qui me viennent sans connaître ce genre de marché :

- Je sais qu'il existait un marché noir / gris de comptes de MMORPG (World à Warcraft à l'époque où j'y jouais en faisait les frais) avec de la revente de compte de personnages haut niveau, donc cibler des joueurs dans la catégorie e-sport me semble plausible
- Envie de nuire bête et méchante.
- Potentiellement associer le vol de compte à une rançon pour le récupérer, cas similaire au ransomware
- Nuire à Steam lui-même : les clients aux comptes piratés risquent d'en vouloir au service

Y'a pas que le gain financier pour moi, la volonté de nuire est aussi un facteur à ne pas négliger.
Il faut que la personne puisse remplacer l'adresse mail d'authentification et encore.
Faut-il rappeler que les 3/4 des gens (à la louche, je sais plus) utilisent les mêmes mots de passe partout ?
votre avatar
Je fais une réponse globale
Faut-il rappeler que les 3/4 des gens (à la louche, je sais plus) utilisent les mêmes mots de passe partout ?
Je pense que 100 % des personnes qui m'ont répondu ici ont un mot de passe différent entre Steam et leur mail et globalement vu le nombre de fuites de compte ces dernières années j'ose espérer que la plupart des gens présents dans https://haveibeenpwned.com/ ont changé leur mot de passe mail.

J'ai vérifié hier soir la sécurisation de Steam entre le 2FA, le login par ID (pas par mail), la méthode pour changer d'adresse mail sans l'adresse officielle.

En dehors d'une Ingénierie sociale poussée (donc ciblée), je ne vois vraiment pas comment il serait possible de faire perdre l'accès aux comptes.
votre avatar
Je pense qu'on risque d'être en désaccord sur l'hygiène numérique moyenne des gens, donc je ne partage pas tes espoirs.

Les rapports sur les mots de passe faibles sont encore trop fréquents à mon goût.
votre avatar
J'ai un ami qui a perdu son compte steam.
On ne sait pas trop comment, mais il s'en fout un peu, il n'avait rien acheté…
votre avatar
Perte du compte, donc perte des jeux.
votre avatar
Avec plus de 8.100 jeux, mon compte est estimé par SteamDB à plus de 74.000€.

Autant te dire qu'il est limite plus sécurisé que mon compte en banque.
votre avatar
8100 :eeek2:
votre avatar
j'imagine (espère ?) que ça compte les DLC, "les sims" doivent compter pour >50 avec un peu de chance, et les divers "telltales" en épisodes doivent augmenter aussi un peu le score de manière "artificielle"
mais bon même dans ce genre de cas ça doit faire >2000 jeux différents, c'est pas mal quand même
l'appli steam (sur android) dit que j'ai 116 jeux quand je regarde mon profil (mais je sais pas comment elle compte), et je trouve que ça fait déjà beaucoup XD
votre avatar
Les DLC sont comptés à part (tu peux d'ailleurs le voir si tu es a minima niveau 10 via la vitrine "Collection de jeux" sur ton profil communautaire).

Par ailleurs, le nombre de jeux est même en-dessous de la réalité, car il ne comprend pas tout (licence d'exploitation expirée, retrait volontaire du store par les développeurs, jeux avec le statut "Fonctionnalités de profil limitées" quand il y a peu d'achats etc.), sans quoi ça m'amène à +9 500 :D !

Maintenant, remettons les choses dans le contexte aussi : mon compte Steam a bientôt 19 ans, je ne joue que sur PC et j'ai bénéficié de pas mal de bundles / réductions.
votre avatar
arghl
116 jeux pour 126 dlc
nous ne vivons pas dans le même monde XD
votre avatar
En plus des jeux sur steam tu peux avoir des objets que tu peux donner et/ou vendre : des codes pour des jeux, des objets en jeux, des cartes steam, des emojis, etc. Tout ça a de la valeur et est transférable à un autre compte. Certains joueurs sont assis sur une véritable petite fortune en terme d'objets du marché steam.
votre avatar
2 intérêts a pirater un compte Steam :

1) Pouvoir jouer a l'ensemble des jeux achetés par la personne
2) Revendre parfois très cher le compte selon son contenu (par exemple sur Counter-Strike tu peux revendre les skin d'arme pour des centaines voir des milliers d'euro)


C'est pas pour rien que les pays de l'est et l'inde bombarde de tentative de hack

Steam confirme une fuite de données : des SMS pour la 2FA

  • Un post, un message LinkedIn et un tweet : une seule source

  • Des SMS et des métadonnées… « ennuyantes »

  • Twilio se fait inviter et repart presque aussi rapidement

  • Steam confirme une fuite

Fermer