Nos confrères de chez ArsTechnica ont découvert une faille de sécurité touchant le site Steam Community. Celle-ci ne mettait pas en danger les comptes, mais permettait d'accéder à certaines informations privées, telles que le titre des jeux possédés. Maintenant que cette vulnérabilité est corrigée, l'équipe d'Ars Technica la détaille.
Aucune information de paiement n'est concernée par la faille
Cette faille permettait d'atteindre l'ensemble des informations disponibles sur un profil « Steam Community », et ce même si l'utilisateur ne l'avait rendu visible qu'à ses amis ou avait complètement verrouillé son accès. La procédure était assez simple, puisqu'il suffisait de se rendre sur la page du profil que l'on souhaitait observer, appuyer sur F12 et tout lire en clair dans le code source.
En ajoutant "/games/?tab=all" à la fin de l'URL de la page de profil, on pouvait par exemple accéder à l'ensemble de la liste des jeux possédés par l'utilisateur. Notre confrère d'ArsTechnica est donc un mordu de Civilization IV, de la série Grand Theft Auto, et de Call of Duty Black Ops II, comme le montre ce PasteBin qu'il a mis à disposition. Il y a certes un peu de ménage à faire pour s'y retrouver, mais à partir de la ligne 30 apparaissent clairement divers titres comme Arma II Operation Arrowhead ou Saints Row The Third.
La démarche peut être reproduite pour nombre de pages, comme celles affichant les trophées obtenus pour chaque jeu. Ainsi sur son profil pourtant rendu privé, notre confrère est parvenu à exhiber tous ses exploits accomplis sur Portal 2 en ajoutant "stats/Portal2/?tab=achievements" à la fin de l'URL de son profil. Cette fois-ci pas besoin de fouiller dans le code source, le site se met à parler tout seul et affiche tout comme si de rien n'était. Grâce à cette page, il est possible de connaître assez précisément quand le joueur a profité de tel titre, et pendant quelle durée ces deux dernières semaines.
Enfin, l'ajout de "/badges/" au bout de l'URL d'un profil permettait également de savoir si un compte Steam était lié à Facebook, ou si cet utilisateur avait des amis sur la plateforme, ou encore s'il affichait son nom réel sur son profil. La combinaison entre l'identité du joueur et la présence d'un compte Facebook attaché pouvait alors permettre à une personne malveillante d'en savoir un peu plus sur celui-ci, pour peu que ses paramètres de confidentialité sur le réseau social ne soient pas correctement réglés.
Fort heureusement, prévenues lundi par nos confrères, les équipes de Valve n'auront mis que trois heures à colmater la brèche. Il n'est donc plus possible d'accéder impunément aux informations d'un profil marqué comme privé. Cependant, l'éditeur n'a pour le moment mentionné nulle part l'existence ou la correction de cette faille.
Commentaires (15)
Mouais, j’trouve pas ça dramatique comme “faille” … limite, inutile.
La faille ultra utile.
Voir la liste des jeux des joueurs.
Sauf 1 cas particulier. Et je pense que c’est ce cas bien précis qui posait problème.
Les comptes journalistes Steam disposant de tous les jeux.
Si on peut voir les dernier jeux testés, les éditeurs vont tirer la gueule. Puisque souvent, il y a un NDA avec une date.
Mais c’est le seul cas qui me vient à l’esprit.
C’est pas comme si ça donnais l’impression que c’était un stagiaire qui a fait le boulot. Et la correction en 3h c’est vraiment parce qu’il avait oublier de mettre les lignes de contrôle de sécurité
" />
C’est pas comme si la plateforme est utilisé par quelques millions de joueurs et que ce type de faille est de plus basique
Donc il fallait à la fois avoir un compte steam et un compte facebook pour être inquiété.
Il y avait beaucoup de monde concerné par la faille ?
certaines informations privées, telles que le titre des jeux possédés
OMG on va savoir que je suis un nolife avec mes 100+ jeux
Ah non en fait osef
je peux pas tester ici mais on pouvait aussi en mettant à la fin de l’url xml=1 avoir un fichier xml de la page.
Pratique pour développer un site permettant de visualiser les stats d’une personne par exemple car beaucoup plus lisible que le code source.