La plateforme Steam est-elle dangereuse pour ses utilisateurs

Très récemment un expert en cybersécurité a découvert que la plateforme Steam présentait une faille de sécurité.

C’est une vulnérabilité qui permettait de s’en prendre directement aux utilisateurs et lui faite subir des attaques de tout genre.

Cet article peut aussi vous intéresser : Une faille de sécurité sur Windows affecte 800 millions d’ordinateurs

Selon la société éditrice de la plate-forme, la Valve, la faille ne serait pas véritablement inquiétante, car n’étant pas vraiment de nature à troubler ouvertement la sécurité des utilisateurs. Pendant ce temps, notons que la plateforme Steam renferme en son sein plus 90 millions d’abonnés à travers le monde entier. Le chercheur à l’origine de cette découverte, du nom de Vasily Kravets, a signifié que cette faille n’était pas si extrême que cela. Néanmoins il explique qu’elle puise sa source dans un des services proposés par la plateforme Steam.

Dans un article publié sur un blog, il pointe du doigt « Steam client service » qui en principe est une fonctionnalité qui permet à l’utilisateur de soit désactiver ou activer le service. Le problème se situe au niveau des clés et des sous clés d’utilisateurs, dont héritent ces derniers, lorsqu’ils activent le service de la plate-forme. Ces clés et sous clé sont les références permettant d’avoir les habilitations nécessaires quant à l’utilisation complète des services offerts Steam. Si un utilisateur se fait dérober l’une de ses clés, il serait possible à un pirate informatique d’initier une attaque contre l’utilisateur « d’escalade de privilège » comme l’a notifié le chercheur. Cette attaque pourrait, semble se faire sur tout ordinateur Windows ayant exécuté le programme Steam.

C’est sur la plate-forme de bug Bounty HackerOne que la vulnérabilité a été mise à la connaissance de Valve, entreprise éditrice de Steam. Et ce, depuis juin 2019. Au début, ce rapport de sécurité n’a pas été considéré par l’entreprise. Elle avait estimé que le chercheur qui avait découvert la faille ne méritait pas de récompense car l’attaque « exigerait la possibilité de déposer des fichiers dans des emplacements arbitraires sur le système de fichiers de l’utilisateur ».

Après plusieurs contestations du chercheur en réclamation de sa récompense, Qui furent plusieurs fois rejeté. Tout simplement, parce que Steam estime que l’attaque envisagée par l’expert en sécurité nécessite forcément que les pirates entre en contact physique avec le terminal. Alors le chercheur en sécurité informatique de son côté a assuré qu’il allait publier les éléments de la vulnérabilité dans un délai imparti ce que lui a été interdit la société Valve. Malgré tout, le 20 juillet passé, la société produisit un correctif pour pallier à la vulnérabilité découverte par le chercheur.

La plateforme de bug Bounty avait aussi interdit au chercheur de faire la publication, ce que ce dernier fit malgré toutes les interdictions. Pour sa défense il notifia que : « Ainsi, deux semaines après l’envoi de mon message, qui a été envoyé le 20 juillet, une personne apparaît, qui me dit que mon rapport a été marqué comme non applicable, ils ont clos la discussion et ne voulaient pas m’offrir d’explication… De plus, ils ne voulaient pas que je révèle la vulnérabilité. En même temps, il n’y avait même pas un seul mot de Valve. »

L’entreprise répondit à son tour en affirmant: « Valve ne va pas réparer quelque chose qu’ils ont déterminé être S/O [sans objet] ».

Cependant le 9 août sur Github, un autre chercheur du nom de Matt Nelson publia les mêmes trouvailles faites par le premier. Un correctif a même été apporté à Steam beta. cela est tout à fait drôle car le premier chercheur avait expliqué exactement le problème de la plateforme en ces termes : « Il est plutôt ironique qu’un lanceur, qui est en fait conçu pour exécuter des programmes tiers sur votre ordinateur, leur permette d’obtenir silencieusement un maximum de privilèges ».

Alors quand bien même, un correctif de sécurité a été développé, il est recommandé aux utilisateurs de la plate-forme d’être toujours méfiant car il y va de leur sécurité.

Accédez maintenant à un nombre illimité de mot de passe :