Une faille rendait le code source des profils Steam trop bavards

Une faille rendait le code source des profils Steam trop bavards

Des informations privées affichées en clair dans le code de la page

Avatar de l'auteur
Kevin Hottot

Publié dans

Logiciel

07/02/2013
15

Une faille rendait le code source des profils Steam trop bavards

Nos confrères de chez ArsTechnica ont découvert une faille de sécurité touchant le site Steam Community. Celle-ci ne mettait pas en danger les comptes, mais permettait d'accéder à certaines informations privées, telles que le titre des jeux possédés. Maintenant que cette vulnérabilité est corrigée, l'équipe d'Ars Technica la détaille. 

Steam Privacy HTML Ars Technica Steam Privacy HTML Ars Technica 

Aucune information de paiement n'est concernée par la faille

Cette faille permettait d'atteindre l'ensemble des informations disponibles sur un profil « Steam Community », et ce même si l'utilisateur ne l'avait rendu visible qu'à ses amis ou avait complètement verrouillé son accès. La procédure était assez simple, puisqu'il suffisait de se rendre sur la page du profil que l'on souhaitait observer, appuyer sur F12 et tout lire en clair dans le code source.

 

En ajoutant "/games/?tab=all" à la fin de l'URL de la page de profil, on pouvait par exemple accéder à l'ensemble de la liste des jeux possédés par l'utilisateur. Notre confrère d'ArsTechnica est donc un mordu de Civilization IV, de la série Grand Theft Auto, et de Call of Duty Black Ops II, comme le montre ce PasteBin qu'il a mis à disposition. Il y a certes un peu de ménage à faire pour s'y retrouver, mais à partir de la ligne 30 apparaissent clairement divers titres comme Arma II Operation Arrowhead ou Saints Row The Third.

 

La démarche peut être reproduite pour nombre de pages, comme celles affichant les trophées obtenus pour chaque jeu. Ainsi sur son profil pourtant rendu privé, notre confrère est parvenu à exhiber tous ses exploits accomplis sur Portal 2 en ajoutant "stats/Portal2/?tab=achievements" à la fin de l'URL de son profil. Cette fois-ci pas besoin de fouiller dans le code source, le site se met à parler tout seul et affiche tout comme si de rien n'était. Grâce à cette page, il est possible de connaître assez précisément quand le joueur a profité de tel titre, et pendant quelle durée ces deux dernières semaines. 


Steam Privacy HTML Ars Technica


Enfin, l'ajout de "/badges/" au bout de l'URL d'un profil permettait également de savoir si un compte Steam était lié à Facebook, ou si cet utilisateur avait des amis sur la plateforme, ou encore s'il affichait son nom réel sur son profil. La combinaison entre l'identité du joueur et la présence d'un compte Facebook attaché pouvait alors permettre à une personne malveillante d'en savoir un peu plus sur celui-ci, pour peu que ses paramètres de confidentialité sur le réseau social ne soient pas correctement réglés. 


Fort heureusement, prévenues lundi par nos confrères, les équipes de Valve n'auront mis que trois heures à colmater la brèche. Il n'est donc plus possible d'accéder impunément aux informations d'un profil marqué comme privé. Cependant, l'éditeur n'a pour le moment mentionné nulle part l'existence ou la correction de cette faille. 

15

Écrit par Kevin Hottot

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Aucune information de paiement n'est concernée par la faille

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (15)


Le 07/02/2013 à 10h 14

Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.


Le 07/02/2013 à 10h 17







bombo a écrit :



Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.







C’est vrai que dans un monde idéal ce n’est pas dramatique. Mais il y a tellement de choses que l’on peut faire avec des données a priori inutiles



Par exemple, on peut s’imaginer les scammers du dimanche, plus ils ont de données “confidentielles”, plus ils semblent crédibles en tant qu’administrateur système auprès des infortunées victimes qui seront plus enclins à leur donner des vraies infos sensibles.



Le 07/02/2013 à 10h 17

La faille ultra utile.

Voir la liste des jeux des joueurs.



Sauf 1 cas particulier. Et je pense que c’est ce cas bien précis qui posait problème.

Les comptes journalistes Steam disposant de tous les jeux.

Si on peut voir les dernier jeux testés, les éditeurs vont tirer la gueule. Puisque souvent, il y a un NDA avec une date.



Mais c’est le seul cas qui me vient à l’esprit.


Le 07/02/2013 à 10h 19







bombo a écrit :



Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.





Au contraire!

C’est des informations privées et cela devrait le rester.



Pour le reste, comme il y été dit, cela peut être utilisé pour faire du Social Engineering, du Pishing, etc…



Ce n’est peut-etre pas “l’arme ultime” pour faire des dégats, mais c’est surement un bon composent pour la construire.

<img data-src=" />



Mimoza Abonné
Le 07/02/2013 à 10h 20

C’est pas comme si ça donnais l’impression que c’était un stagiaire qui a fait le boulot. Et la correction en 3h c’est vraiment parce qu’il avait oublier de mettre les lignes de contrôle de sécurité <img data-src=" />

C’est pas comme si la plateforme est utilisé par quelques millions de joueurs et que ce type de faille est de plus basique


Le 07/02/2013 à 10h 20







Kanchelsis a écrit :



La faille ultra utile.

Voir la liste des jeux des joueurs.



Sauf 1 cas particulier. Et je pense que c’est ce cas bien précis qui posait problème.

Les comptes journalistes Steam disposant de tous les jeux.

Si on peut voir les dernier jeux testés, les éditeurs vont tirer la gueule. Puisque souvent, il y a un NDA avec une date.



Mais c’est le seul cas qui me vient à l’esprit.





Ça reste une faille. Si tu veux cacher tes infos, et que du coup tu prends moins de précautions parce que tu penses qu’elles sont cachées, ça peut te porter préjudice.



CF le cas de l’identité réelle/compte Facebook.



Winderly Abonné
Le 07/02/2013 à 10h 21

Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.

Il y avait beaucoup de monde concerné par la faille ?


Le 07/02/2013 à 10h 22







bombo a écrit :



Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.





Ce qui est surtout gênant c’est que ces informations sont disponibles dans le code ce qui veut dire que les process de contrôle étaient limités et que l’affichage aurait pu ne dépendre que d’une propriété conne comme par ex object.style.visibility ou object.style.display.



Ça fait donc un peu tâche ouais même si ce n’est pas critique.



Le 07/02/2013 à 10h 22







Winderly a écrit :



Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.

Il y avait beaucoup de monde concerné par la faille ?







50 millions de comptes sur Steam au total, un peu plus d’un milliard sur Facebook, y’a moyen que le nombre soit important.



Le 07/02/2013 à 10h 47



certaines informations privées, telles que le titre des jeux possédés





OMG on va savoir que je suis un nolife avec mes 100+ jeux <img data-src=" />





Ah non en fait osef <img data-src=" />


Le 07/02/2013 à 10h 49







Winderly a écrit :



Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.

Il y avait beaucoup de monde concerné par la faille ?









en sachant qu’il y avait une grosse incitation à le faire (le lien) lors du jeu de noel 2011 pour gagner des charbons je pense qu’il y a un gros pourcentage de gens concernés



même moi j’ai créé un compte facebook exprès pour <img data-src=" />



Bou2004 Abonné
Le 07/02/2013 à 10h 50







mimoza a écrit :



C’est pas comme si ça donnais l’impression que c’était un stagiaire qui a fait le boulot. Et la correction en 3h c’est vraiment parce qu’il avait oublier de mettre les lignes de contrôle de sécurité <img data-src=" />

C’est pas comme si la plateforme est utilisé par quelques millions de joueurs et que ce type de faille est de plus basique







+1 Ça me sidère toujours autant que des failles aussi connes existent sur d’aussi gros sites. En gros, le fait de mettre son profil en privé foutait un “display:none” sur les infos, magnifique…



Le 07/02/2013 à 10h 54

je peux pas tester ici mais on pouvait aussi en mettant à la fin de l’url xml=1 avoir un fichier xml de la page.

Pratique pour développer un site permettant de visualiser les stats d’une personne par exemple car beaucoup plus lisible que le code source.


Le 07/02/2013 à 10h 56







Jean_Peuplus a écrit :



OMG on va savoir que je suis un nolife avec mes 100+ jeux <img data-src=" />





Ah non en fait osef <img data-src=" />







Ben oui, osef, parce qu’un nolife n’ayant pas d’ami, personne ne s’en rend compte <img data-src=" />



Citan666 Abonné
Le 07/02/2013 à 11h 18







Jean_Peuplus a écrit :



OMG on va savoir que je suis un nolife avec mes 100+ jeux <img data-src=" />

Ah non en fait osef <img data-src=" />





Pas mieux (sauf sur le nombre de jeux <img data-src=" />). J’chuis grillé depuis longtemps de toute façon, Facebook ou pas… <img data-src=" />





levhieu a écrit :



Ben oui, osef, parce qu’un nolife n’ayant pas d’ami, personne ne s’en rend compte <img data-src=" />





FAUX !!!

Un nolife a des amis, BEAUCOUP d’amis…*

























*Mais que sur les plates-formes Steam, Origin, Uplay etc…





Dacoco974 a écrit :



+1 Ça me sidère toujours autant que des failles aussi connes existent sur d’aussi gros sites. En gros, le fait de mettre son profil en privé foutait un “display:none” sur les infos, magnifique…





C’est vrai que c’est vraiment crade, digne d’un premier essai de dev amateur de site web…<img data-src=" />

Genre le mec qui fout ses mégots sous le paillasson et “hop, c’est bon c’est clean” <img data-src=" />