Coup de panique pour les nombreux clients de la première plateforme de vente de jeux vidéo sur PC. Un pirate aurait mis la main sur quelque 89 millions de comptes – soit les 2/3 du total enregistré sur la plateforme.
La poule aux œufs d’or de Valve aurait subi le pire piratage de son histoire. C’est en tout cas ce qu’affirme Underdark.ai sur LinkedIn, mais également l’auteur présumé du larcin, Machine1337 qui, sur un obscur forum, met en vente la base de données des 89 millions de comptes qu’il aurait dérobée au géant américain. Alors, info ou intox ? Les choses sont un peu plus compliquées qu’il n’y paraît, mais, dans l’immédiat, il n’y a pas de raison de paniquer.
Ce n’est pas tout à fait Valve qui aurait été piraté
Comme le rapporte le site spécialisé Bleeping Computer, plusieurs détails ne collent pas dans les allégations de Machine1337. Si le pirate dit avoir en sa possession des données issues de Steam, ce serait en réalité un prestataire qui a fait défaut à la plateforme de Valve. En l’occurrence, celui qui gère l’envoi de SMS permettant la double authentification à son compte : Twilio. Mais, après investigation, un responsable de l’entreprise a déclaré à Bleeping Computer qu’il n’existait « aucune preuve suggérant que Twilio a été compromis ».
Une chose est sûre : d’après l’échantillon de données sur lequel Bleeping Computer a pu mettre la main, il s’agit bel et bien de données relatives à la double authentification, et pas aux comptes Steam à proprement parler. Dans le lot, explique le site, on trouve essentiellement des codes numériques à usage unique liés à un numéro de téléphone. Rien de très mobilisable en l’état par des pirates.
Par ailleurs, Valve n’a pour l’instant pas communiqué sur cette présumée attaque, suggérant à la fois qu’il ne s’agit pas d’un piratage de ses services, et que la teneur du piratage, s’il a bien eu lieu, est relativement bénigne.
Une leçon à retenir : abandonnez la double authentification (par SMS)
L’affaire est à suivre donc. Mais vous n’avez a priori rien à craindre pour votre précieux compte Steam, qui accueillera d’ailleurs peut-être le nouveau DOOM: The Dark Ages aujourd’hui. Vous pouvez malgré tout profiter de l’événement pour changer votre mot de passe, surtout s’il n’est pas unique. Pour ce faire, on ne soulignera jamais assez l’importance d’un gestionnaire de mots de passe.
Profitez aussi de l’occasion pour mettre en place la double authentification via Steam Guard plutôt que par SMS. Si Twilio a bien été compromis, il n’est que le dernier d’une longue liste de services analogues à montrer ses failles. Avec Steam Guard, la double authentification est à la fois plus sûre et plus rapide : pour chaque nouvelle connexion au compte Steam depuis un nouvel appareil, il faut scanner un QR Code avec l’application Steam sur son smartphone pour valider la connexion.
Disponible sur iOS et Android, l’appli permet également de passer en revue les précédentes connexions à son compte, et même de révoquer celles qui n’ont plus lieu d’être.
