Steam confirme une fuite de données : des SMS pour la 2FA
Pas cher : 0,00005 euro la donnée
L'affaire remonte au dimanche 11 mai. Ces dernières heures, elle a rapidement pris de l’ampleur, mais attention à ne pas vous laisser avoir par le côté « sensationnaliste » de certains. Cette fuite ne vient pas directement de chez Valve et ne concerne pas les comptes utilisateurs : il s’agit de SMS éphémères envoyés pour de la double authentification.
Depuis plusieurs mois, les annonces de cyberattaques et de fuites de données se multiplient, dans tous les secteurs. Pas plus tard que lundi, c’était au tour de Dior de prévenir ses clients.
Une autre histoire agite Internet depuis peu : la compromission de « 89 millions de comptes Steam », la plateforme de jeux de Valve… Les chiffres ont de quoi faire tourner la tête, mais la réalité n’est pas aussi impressionnante. On vous résume cette histoire.
Un post, un message LinkedIn et un tweet : une seule source
Elle remonte au 11 mai, quand la société Underdark.ai (spécialisée dans la sécurité informatique, basée à Tel Aviv) a publié un post sur LinkedIn. Il est rapidement repris sur X par Mellow_Online (qui cite d’ailleurs bien le message LinkedIn en source dans son premier tweet), un journaliste jeux vidéo indépendant qui s’occupe du groupe SteamSentinels. La seconde publication n’est donc pas une confirmation, c’est une reprise.
Le message original annonce une « violation massive présumée de données Steam : plus de 89 millions d’enregistrements à vendre ». Il précise qu’un « acteur malveillant se faisant appeler Machine1337 a posté sur un forum bien connu du dark web » un message pour vendre « un ensemble de données de plus de 89 millions d’enregistrements d’utilisateurs pour 5 000 dollars ». Ce n’est vraiment pas cher ramené au prix par compte, surtout étant donné l’importance de la cible. Une première puce à l’oreille, il va y en avoir d’autres.
Underdark.ai accompagne son message d’une capture d‘écran de la publication du pirate. On peut y voir un lien vers un compte Telegram en chinois, alors que le forum est en russe. L’entreprise Underdark.ai précise dans son message qu’un échantillon de données serait proposé au téléchargement, mais sans donner de lien.
Des SMS et des métadonnées… « ennuyantes »
De quelles données parle-t-on ? Selon l’auteur de la publication LinkedIn, et sur la base d’une analyse de l’échantillon, il y a des SMS de validation pour la double authentification : « Les données comprennent le contenu des messages, l’état de livraison, des métadonnées et les coûts d’envoi, ce qui suggère un accès à un tableau de bord ou à une API du fournisseur, et non directement de Steam ». Cette piste va être confirmée par Valve.
L’expert en cybersécurité Christopher Kunz va dans le même sens : les données mises en vente seraient « 89 millions de journaux d’envoi des SMS. Ils contiennent beaucoup de métadonnées VRAIMENT ennuyantes comme la date de livraison, les délais et l’opérateur transporteur, MAIS les données sont récentes et comportent aussi des numéros de téléphone ».
Même son de cloche chez nos confrères de Bleeping Computer : un « historique de SMS avec des codes d’accès à usage unique pour Steam, et le numéro de téléphone du destinataire ». Le contenu explique probablement le faible prix (5 000 dollars) ramené à la taille supposée de la fuite (89 millions).
Twilio se fait inviter et repart presque aussi rapidement
Sans rien demander, Twilio est placé au centre de l’échiquier par l’intermédiaire d’une nouvelle publication de Mellow_Online sur X : « La nature des données suggère que les attaquants ont eu accès aux systèmes de Twilio, probablement via un compte utilisateur Twilio ou une clé API compromise ou un accès direct au tableau de bord backend de Twilio ».
Contacté par Bleeping Computer, Twilio dément toute implication : « Il n’y a aucune preuve suggérant que Twilio ait été piraté. Nous avons examiné un échantillon des données trouvées en ligne et ne voyons aucune indication que ces données ont été obtenues auprès de Twilio ».
Dans une nouvelle publication hier, Mellow_Online ajoute une précision importante : « : J'ai été contacté par un représentant de Valve, et ils ont déclaré qu'ils n'utilisaient pas Twilio ». Nouvelle confirmation que cette entreprise n’est pas impliquée dans la potentielle fuite, mais rien de plus pour le moment. La nuit porte conseil et nous attendons de voir ce qu’il en est ce matin.
Steam confirme une fuite
Valve a finalement réagi officiellement il y a quelques heures. Premier point : l’entreprise confirme ne pas avoir été piratée. Elle arrive, elle aussi, à cette conclusion sur la base de la consultation de l’échantillon de données.
Voici les explications de Steam :
« La fuite comprenait d'anciens messages SMS contenant des codes à usage unique valables pendant une période de 15 minutes, et les numéros de téléphone auxquels ils avaient été envoyés.
Les données divulguées n'ont pas associé les numéros de téléphone aux comptes Steam, aux mots de passe, aux informations de paiement ou à d'autres données personnelles. Les anciens SMS ne peuvent pas être utilisés pour compromettre la sécurité de votre compte Steam ».
Qu’en est-il de la provenance de la fuite ? Valve ne cite aucun responsable, mais continue d’enquêter. La tâche est compliquée, car les SMS ne sont pas chiffrés pendant les différentes étapes et sont acheminés via plusieurs fournisseurs avant d’arriver sur votre smartphone, explique l’entreprise.
Dans ces conditions, Valve ajoute qu’il n'est pas nécessaire de modifier votre mot de passe ou votre numéro de téléphone. L’entreprise recommande de vérifier régulièrement la sécurité de votre compte et la liste des terminaux autorisés.
Commentaires (22)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 15/05/2025 à 08h58
for i = 1 to 89000000
writeline random.digits(10) + "\t" + uppercase(random.alphanum(5))
next
Le 15/05/2025 à 10h40
Vous réduisez drastiquement les risques de compromission, car dans le cas où on arrive à accéder à votre email ou que vous êtes victimes de SIM swapping, personne n'a accès à vos comptes protégés par double authentification.
Le 15/05/2025 à 10h58
J'ai aussi le cas de la complémentaire santé. Quand ma compagne veut y accéder, elle est obligée de me prévenir un peu à l'avance pour que je lui envoie le code dès sa réception (car valable que quelques minutes, et aussi pour pas qu'elle ne reste planter devant le PC à attendre que je lise mes mails). Bref, un truc pas réfléchit pour quelque chose d'utiliser par plusieurs personnes...
Le 15/05/2025 à 11h01
Là où ça me gave c'est que, sauf erreur de ma part, Steam veut qu'on utilise leur propre appli au lieu de nous laisser le choix de celle qu'on veut utiliser.
Je commence à en avoir marre de me voir suggérer de télécharger une app des que je veux faire quelque chose.
Suis je devenu trop vieux ?
Le 15/05/2025 à 19h15
Mais pourquoi donc forcer l'utilisation de MS Authenticator ?
Le 15/05/2025 à 12h53
Un compte Amazon KDP ne supporte que le SMS, alors qu'on peut mettre (difficilement, bien planqué dans les options) un OTP dans le compte commerce.
Le 15/05/2025 à 10h53
Connaitre les badges qu'on a reçu et le contenu de notre wishlist ?
Le 15/05/2025 à 10h58
Et c'est déjà pas mal.
Modifié le 15/05/2025 à 12h55
Même si dématérialisée, ça reste un vol.
Le 15/05/2025 à 13h02
A part pour te faire chier, personnellement, je ne vois pas ce que des pirates pourraient gagner (en particulier financièrement) à t'empêcher d'accéder à ta bibliothèque.
Le 15/05/2025 à 13h33
- Je sais qu'il existait un marché noir / gris de comptes de MMORPG (World à Warcraft à l'époque où j'y jouais en faisait les frais) avec de la revente de compte de personnages haut niveau, donc cibler des joueurs dans la catégorie e-sport me semble plausible
- Envie de nuire bête et méchante.
- Potentiellement associer le vol de compte à une rançon pour le récupérer, cas similaire au ransomware
- Nuire à Steam lui-même : les clients aux comptes piratés risquent d'en vouloir au service
Y'a pas que le gain financier pour moi, la volonté de nuire est aussi un facteur à ne pas négliger.
Faut-il rappeler que les 3/4 des gens (à la louche, je sais plus) utilisent les mêmes mots de passe partout ?
Modifié le 16/05/2025 à 09h04
Je pense que 100 % des personnes qui m'ont répondu ici ont un mot de passe différent entre Steam et leur mail et globalement vu le nombre de fuites de compte ces dernières années j'ose espérer que la plupart des gens présents dans https://haveibeenpwned.com/ ont changé leur mot de passe mail.
J'ai vérifié hier soir la sécurisation de Steam entre le 2FA, le login par ID (pas par mail), la méthode pour changer d'adresse mail sans l'adresse officielle.
En dehors d'une Ingénierie sociale poussée (donc ciblée), je ne vois vraiment pas comment il serait possible de faire perdre l'accès aux comptes.
Le 16/05/2025 à 09h35
Les rapports sur les mots de passe faibles sont encore trop fréquents à mon goût.
Le 16/05/2025 à 10h49
On ne sait pas trop comment, mais il s'en fout un peu, il n'avait rien acheté…
Le 15/05/2025 à 12h56
Modifié le 15/05/2025 à 13h39
Autant te dire qu'il est limite plus sécurisé que mon compte en banque.
Le 15/05/2025 à 15h16
Le 15/05/2025 à 15h28
mais bon même dans ce genre de cas ça doit faire >2000 jeux différents, c'est pas mal quand même
l'appli steam (sur android) dit que j'ai 116 jeux quand je regarde mon profil (mais je sais pas comment elle compte), et je trouve que ça fait déjà beaucoup XD
Modifié le 15/05/2025 à 20h47
Par ailleurs, le nombre de jeux est même en-dessous de la réalité, car il ne comprend pas tout (licence d'exploitation expirée, retrait volontaire du store par les développeurs, jeux avec le statut "Fonctionnalités de profil limitées" quand il y a peu d'achats etc.), sans quoi ça m'amène à +9 500
Maintenant, remettons les choses dans le contexte aussi : mon compte Steam a bientôt 19 ans, je ne joue que sur PC et j'ai bénéficié de pas mal de bundles / réductions.
Le 16/05/2025 à 09h07
116 jeux pour 126 dlc
nous ne vivons pas dans le même monde XD
Le 15/05/2025 à 14h26
Le 16/05/2025 à 10h33
1) Pouvoir jouer a l'ensemble des jeux achetés par la personne
2) Revendre parfois très cher le compte selon son contenu (par exemple sur Counter-Strike tu peux revendre les skin d'arme pour des centaines voir des milliers d'euro)
C'est pas pour rien que les pays de l'est et l'inde bombarde de tentative de hack
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?