Valve communique sur la faille de sécurité de Noël (communiqué traduit en français)

  • Par arth78 - Vossey.com, publié
  • 1 commentaire

Critiqué de toutes parts pour sa non communication suite à l'énorme faille de sécurité qu'a connu Steam le jour de Noël, Valve a enfin décidé de poster un petit article nous expliquant en détail ce qu'il est arrivé ce jour là.

Comme l'avait signalé Darck le jour de l'accident, les serveurs de cache sont mis en cause puisque ces derniers se trompaient de destinataire lors de la génération des pages du magasin Steam. Ce que l'on ne savait pas, c'est qu'une attaque DoS (Attaque par déni de service) est à l'origine de ces erreurs.

Valve est aussi plus précis sur le type d'information qui a fuité et il semblerait qu'uniquement « l'adresse de facturation, les 4 derniers chiffres du numéro de téléphone associé à Steam Guard, l'historique des achats, les deux derniers chiffres de la carte de crédit et/ou l'adresse mail » ont été rendus accessibles. Si ces informations sont sensibles, elles ne permettent cependant pas d'effectuer des actes de malveillance sur un compte Steam.

Valve s'excuse donc pour cette erreur qui aurait touché 34 000 personnes, mais une grande partie de la communauté semble avoir perdu confiance dans la société et regrette qu'elle ait mis tant de temps à communiquer sur ce sujet urgent. L'entreprise américaine dit qu'elle contactera chacune des victimes de l'accident sans donner plus de détails.

Le communiqué de Valve est disponible sur le site de Steam en version originale et ci-dessous en version française traduite par nos soins :

 

Qu'est-il arrivé ?


Le 25 décembre, une erreur de configuration a permis à plusieurs utilisateurs de voir des pages du magasin Steam qui avait été générées pour d'autres utilisateurs. Entre 11h50 PST et 13h20 PST, les requêtes web, qui contenaient des informations personnelles sensibles, du magasin Steam de plus 34 000 utilisateurs peuvent avoir été renvoyées et vues par d'autres utilisateurs.

Le contenu de ces requêtes varie selon les pages, mais certaines pages contenaient l'adresse de facturation, les 4 derniers chiffres du numéro de téléphone associé à Steam Guard, l'historique des achats, les deux derniers chiffres de la carte de crédit et/ou l'adresse mail. Ces requêtes ne contenaient pas le numéro de carte de crédit complet, le mot de passe de l'utilisateur ou assez de données permettant de se connecter ou d'effectuer une transaction pour un autre utilisateur.

Si vous n'avez pas navigué sur une page du magasin Steam contenant vos informations personnelles (comme votre page de compte ou la page de paiement) durant cette période, ces informations n'ont pas pu s'afficher chez un autre utilisateur.

Valve est actuellement en train de travailler avec son partenaire chargé de la gestion de son cache web pour identifier les utilisateurs dont ces informations ont servi à d'autres utilisateurs, et va contacter les victimes une fois qu'elles auront été identifiées. Puisqu'aucune action non autorisée sur un compte n'a été permise via l'affichage d'une page de cache web, aucune autre action n'est requise de la part des utilisateurs.

Comment cela est-il arrivé ?


Dans la mâtiné de Noël (PST), le magasin Steam a été la cible d'une attaque DoS (Attaque par déni de service) qui a empêché l'affichage des pages du magasin aux utilisateurs. Les attaques contre le magasin Steam et Steam en général sont régulières et sont gérées par Valve et d'autres sociétés partenaires sans qu'il n'y ait d'impact pour les utilisateurs de Steam. Durant l'attaque de Noël, le trafic du magasin Steam a augmenté de 2000% par rapport à la moyenne du trafic enregistré lors des Soldes Steam.


En réponse à cette attaque, les règles du cache web mises en place par un partenaire ont été activées afin de minimiser l'impact de l'attaque sur les serveurs du magasin Steam et ainsi continuer à diriger le trafic des utilisateurs. Durant la seconde vague de cette attaque, une deuxième configuration de cache web a été déployée et a incorrectement mis en cache le trafic web des utilisateurs authentifiés. Cette erreur de configuration a permis à certains utilisateurs de voir des pages qui avaient été générés pour d'autres utilisateurs. Ces pages incorrectes allaient de l'affichage du magasin dans une mauvaise langue, à l'affichage de la page de compte d'un autre utilisateur.

Une fois cette erreur identifiée, le magasin Steam a été mis hors-service et une nouvelle configuration du cache a été déployée. Le magasin Steam est resté hors-ligne le temps de vérifier chaque configuration, d'avoir confirmation que la dernière configuration a bien été déployé sur chaque serveur et que toutes les données erronées ont bien été purgées.

Nous allons continuer à travailler avec notre partenaire pour identifier tous les utilisateurs affectés et améliorer le processus et les règles de mise en cache. Nous nous excusons pour toute personne ayant eu des informations personnelles exposées par cette erreur et pour ceux ayant été victime de l'interruption des services du magasin Steam.

Valve.

1 commentaire

Créer un compte ou se connecter pour commenter
Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

C'est facile, gratuit et si vous le souhaitez c'est possible via votre compte Steam, Facebook ou Twitter. Créer un nouveau compte

Se connecter

Si vous avez un compte, utilisez vos informations Vossey.com ou si vous avez déjà enregistré votre compte Steam, Facebook ou Twitter. Se connecter avec votre compte ou via Steam / Facebook / Twitter
Avatar
levelkro

Mais ce qui est étonnant (ou non) est le fait que l'explication soit sortie sur les sites de nouvelles gaming anglophone quelques jours avant l'explication officiel de Steam. Encore une fois, malgré cette explication détaillé, Steam à tardé à garder ces utilisateurs informés rapidement.