Une faille rendait le code source des profils Steam trop bavards

Une faille rendait le code source des profils Steam trop bavards

Des informations privées affichées en clair dans le code de la page

Avatar de l'auteur

Kevin Hottot

Publié dansLogiciel

07/02/2013
15
Une faille rendait le code source des profils Steam trop bavards

Nos confrères de chez ArsTechnica ont découvert une faille de sécurité touchant le site Steam Community. Celle-ci ne mettait pas en danger les comptes, mais permettait d'accéder à certaines informations privées, telles que le titre des jeux possédés. Maintenant que cette vulnérabilité est corrigée, l'équipe d'Ars Technica la détaille. 

Steam Privacy HTML Ars Technica Steam Privacy HTML Ars Technica 

Aucune information de paiement n'est concernée par la faille

Cette faille permettait d'atteindre l'ensemble des informations disponibles sur un profil « Steam Community », et ce même si l'utilisateur ne l'avait rendu visible qu'à ses amis ou avait complètement verrouillé son accès. La procédure était assez simple, puisqu'il suffisait de se rendre sur la page du profil que l'on souhaitait observer, appuyer sur F12 et tout lire en clair dans le code source.

 

En ajoutant "/games/?tab=all" à la fin de l'URL de la page de profil, on pouvait par exemple accéder à l'ensemble de la liste des jeux possédés par l'utilisateur. Notre confrère d'ArsTechnica est donc un mordu de Civilization IV, de la série Grand Theft Auto, et de Call of Duty Black Ops II, comme le montre ce PasteBin qu'il a mis à disposition. Il y a certes un peu de ménage à faire pour s'y retrouver, mais à partir de la ligne 30 apparaissent clairement divers titres comme Arma II Operation Arrowhead ou Saints Row The Third.

 

La démarche peut être reproduite pour nombre de pages, comme celles affichant les trophées obtenus pour chaque jeu. Ainsi sur son profil pourtant rendu privé, notre confrère est parvenu à exhiber tous ses exploits accomplis sur Portal 2 en ajoutant "stats/Portal2/?tab=achievements" à la fin de l'URL de son profil. Cette fois-ci pas besoin de fouiller dans le code source, le site se met à parler tout seul et affiche tout comme si de rien n'était. Grâce à cette page, il est possible de connaître assez précisément quand le joueur a profité de tel titre, et pendant quelle durée ces deux dernières semaines. 


Steam Privacy HTML Ars Technica


Enfin, l'ajout de "/badges/" au bout de l'URL d'un profil permettait également de savoir si un compte Steam était lié à Facebook, ou si cet utilisateur avait des amis sur la plateforme, ou encore s'il affichait son nom réel sur son profil. La combinaison entre l'identité du joueur et la présence d'un compte Facebook attaché pouvait alors permettre à une personne malveillante d'en savoir un peu plus sur celui-ci, pour peu que ses paramètres de confidentialité sur le réseau social ne soient pas correctement réglés. 


Fort heureusement, prévenues lundi par nos confrères, les équipes de Valve n'auront mis que trois heures à colmater la brèche. Il n'est donc plus possible d'accéder impunément aux informations d'un profil marqué comme privé. Cependant, l'éditeur n'a pour le moment mentionné nulle part l'existence ou la correction de cette faille. 

15
Avatar de l'auteur

Écrit par Kevin Hottot

Tiens, en parlant de ça :

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

0/1

17:53IA et algorithmesSociété numérique 17

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Schrems vs Meta, saison 3

17:31DroitIA et algorithmes 13

Sommaire de l'article

Introduction

Aucune information de paiement n'est concernée par la faille

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 17

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 13
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 138

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 6
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 26
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 12

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (15)


bombo
Il y a 11 ans

Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.


phos
Il y a 11 ans






bombo a écrit :

Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.



C’est vrai que dans un monde idéal ce n’est pas dramatique. Mais il y a tellement de choses que l’on peut faire avec des données a priori inutiles

Par exemple, on peut s’imaginer les scammers du dimanche, plus ils ont de données “confidentielles”, plus ils semblent crédibles en tant qu’administrateur système auprès des infortunées victimes qui seront plus enclins à leur donner des vraies infos sensibles.



Tatsu-Kan
Il y a 11 ans

La faille ultra utile.
Voir la liste des jeux des joueurs.

Sauf 1 cas particulier. Et je pense que c’est ce cas bien précis qui posait problème.
Les comptes journalistes Steam disposant de tous les jeux.
Si on peut voir les dernier jeux testés, les éditeurs vont tirer la gueule. Puisque souvent, il y a un NDA avec une date.

Mais c’est le seul cas qui me vient à l’esprit.


corsebou
Il y a 11 ans






bombo a écrit :

Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.


Au contraire!
C’est des informations privées et cela devrait le rester.

Pour le reste, comme il y été dit, cela peut être utilisé pour faire du Social Engineering, du Pishing, etc…

Ce n’est peut-etre pas “l’arme ultime” pour faire des dégats, mais c’est surement un bon composent pour la construire.
<img data-src=" />



Mimoza Abonné
Il y a 11 ans

C’est pas comme si ça donnais l’impression que c’était un stagiaire qui a fait le boulot. Et la correction en 3h c’est vraiment parce qu’il avait oublier de mettre les lignes de contrôle de sécurité <img data-src=" />
C’est pas comme si la plateforme est utilisé par quelques millions de joueurs et que ce type de faille est de plus basique


Khalev
Il y a 11 ans






Kanchelsis a écrit :

La faille ultra utile.
Voir la liste des jeux des joueurs.

Sauf 1 cas particulier. Et je pense que c’est ce cas bien précis qui posait problème.
Les comptes journalistes Steam disposant de tous les jeux.
Si on peut voir les dernier jeux testés, les éditeurs vont tirer la gueule. Puisque souvent, il y a un NDA avec une date.

Mais c’est le seul cas qui me vient à l’esprit.


Ça reste une faille. Si tu veux cacher tes infos, et que du coup tu prends moins de précautions parce que tu penses qu’elles sont cachées, ça peut te porter préjudice.

CF le cas de l’identité réelle/compte Facebook.



Winderly Abonné
Il y a 11 ans

Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.
Il y avait beaucoup de monde concerné par la faille ?


k4sh
Il y a 11 ans






bombo a écrit :

Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.


Ce qui est surtout gênant c’est que ces informations sont disponibles dans le code ce qui veut dire que les process de contrôle étaient limités et que l’affichage aurait pu ne dépendre que d’une propriété conne comme par ex object.style.visibility ou object.style.display.

Ça fait donc un peu tâche ouais même si ce n’est pas critique.



Ellierys
Il y a 11 ans






Winderly a écrit :

Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.
Il y avait beaucoup de monde concerné par la faille ?



50 millions de comptes sur Steam au total, un peu plus d’un milliard sur Facebook, y’a moyen que le nombre soit important.



Jean_Peuplus
Il y a 11 ans


certaines informations privées, telles que le titre des jeux possédés


OMG on va savoir que je suis un nolife avec mes 100+ jeux <img data-src=" />


Ah non en fait osef <img data-src=" />


Jean_Peuplus
Il y a 11 ans






Winderly a écrit :

Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.
Il y avait beaucoup de monde concerné par la faille ?




en sachant qu’il y avait une grosse incitation à le faire (le lien) lors du jeu de noel 2011 pour gagner des charbons je pense qu’il y a un gros pourcentage de gens concernés

même moi j’ai créé un compte facebook exprès pour <img data-src=" />



Bou2004 Abonné
Il y a 11 ans






mimoza a écrit :

C’est pas comme si ça donnais l’impression que c’était un stagiaire qui a fait le boulot. Et la correction en 3h c’est vraiment parce qu’il avait oublier de mettre les lignes de contrôle de sécurité <img data-src=" />
C’est pas comme si la plateforme est utilisé par quelques millions de joueurs et que ce type de faille est de plus basique



+1 Ça me sidère toujours autant que des failles aussi connes existent sur d’aussi gros sites. En gros, le fait de mettre son profil en privé foutait un “display:none” sur les infos, magnifique…



fanturi
Il y a 11 ans

je peux pas tester ici mais on pouvait aussi en mettant à la fin de l’url xml=1 avoir un fichier xml de la page.
Pratique pour développer un site permettant de visualiser les stats d’une personne par exemple car beaucoup plus lisible que le code source.


levhieu
Il y a 11 ans






Jean_Peuplus a écrit :

OMG on va savoir que je suis un nolife avec mes 100+ jeux <img data-src=" />


Ah non en fait osef <img data-src=" />



Ben oui, osef, parce qu’un nolife n’ayant pas d’ami, personne ne s’en rend compte <img data-src=" />



Citan666 Abonné
Il y a 11 ans






Jean_Peuplus a écrit :

OMG on va savoir que je suis un nolife avec mes 100+ jeux <img data-src=" />
Ah non en fait osef <img data-src=" />


Pas mieux (sauf sur le nombre de jeux <img data-src=" />). J’chuis grillé depuis longtemps de toute façon, Facebook ou pas… <img data-src=" />


levhieu a écrit :

Ben oui, osef, parce qu’un nolife n’ayant pas d’ami, personne ne s’en rend compte <img data-src=" />


FAUX !!!
Un nolife a des amis, BEAUCOUP d’amis…*












*Mais que sur les plates-formes Steam, Origin, Uplay etc…


Dacoco974 a écrit :

+1 Ça me sidère toujours autant que des failles aussi connes existent sur d’aussi gros sites. En gros, le fait de mettre son profil en privé foutait un “display:none” sur les infos, magnifique…


C’est vrai que c’est vraiment crade, digne d’un premier essai de dev amateur de site web…<img data-src=" />
Genre le mec qui fout ses mégots sous le paillasson et “hop, c’est bon c’est clean” <img data-src=" />