Dysfonctionnements majeurs des sites de Steam : un risque pour vos données

Mise à jour du 26/12 à 14h30 : A défaut d'une communication officielle, Gamespot a visiblement obtenu un retour d'un porte-parole de chez VALVe. Ce dernier mentionne que le service Steam était de retour dans un état pleinement fonctionnel. Il précise que « suite à un changement de configuration plus tôt dans la journée, un problème de cache a permis à quelques utilisateurs de voir de manière aléatoires des pages destinées à d'autres utilisateurs durant une période de moins d'une heure ». VALVe penserait qu'aucune action non autorisée n'aurait pu être réalisée sur les comptes de ses utilisateurs. Aucune action, telle que de changer son mot de passe, n'est actuellement recommandée.

Reste à voir si VALVe se contentera de ce seul discours, minimisant la portée de l'incident, notamment sur le nombre de personnes concernées.

« Steam is back up and running without any known issues, » a Valve spokesperson told GameSpot. « As a result of a configuration change earlier today, a caching issue allowed some users to randomly see pages generated for other users for a period of less than an hour. This issue has since been resolved. We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users. »

Mise à jour du 26/12 à 00h20 : Le problème de cache semble être résolu, comme le constate aussi Steam DB (non affilié à VALVe). Reste maintenant à attendre le communiqué de VALVe, qui comme à son habitude, a montré son incapacité à gérer correctement les crises : absence de communication officielle et mise en danger de ses clients avec un défaut laissé actif plusieurs heures au lieu de prendre les mesures radicales qui s'imposent dans ce genre de situation. C'est à dire la fermeture temporaire des sites.

News initiale

La plateforme Steam rencontre actuellement des dysfonctionnements majeurs entraînant l'affichage de données appartenant à d'autres utilisateurs. VALVe ne semble pour le moment pas avoir pris de mesures pour informer ou stopper ces problèmes.

Si beaucoup de joueurs pensent que la plateforme a été hackée, ce que l'on observe ressemble pour le moment plutôt à un défaut de configuration des serveurs de caches. En conservant sur une durée définie les données statiques (images, fichiers de styles, ...), ces serveurs permettent de diminuer notablement les ressources nécessaires sur les serveurs traitant et générant les pages contenant les informations des clients authentifiés (et donc ne pouvant être mises en cache).

Ces serveurs de caches ne doivent en aucun cas retenir les pages spécifiques des clients et leurs cookies. Or, c'est actuellement ce qui se produit. C'est pour cela que vous tombez sur des pages personnelles d'autres joueurs. Ainsi, toutes les pages que vous visitez sont susceptibles d'être envoyées à leur tour à d'autres joueurs : le détail de vos transactions, votre page de configuration de comptes, les cookies contenant le token de votre session en cours... permettant potentiellement de compromettre n'importe quel compte qui serait connecté.

En attendant une annonce et une correction de ce problème par VALVe, nous ne pouvons que vous conseiller de ne visiter aucune page de votre compte Steam, et de vous déconnecter immédiatement de Steam.

Il est encore trop tôt pour connaître l'impact final qu'aura ces fuites d'informations, mais il est possible que de nombreux comptes seront compromis. Si cela reste à confirmer, des joueurs mentionnent déjà des transferts d'argents non autorisés (probablement via les Steam Wallet).