Valve communique sur la faille de sécurité de Noël (communiqué traduit en français)

Critiqué de toutes parts pour sa non communication suite à l'énorme faille de sécurité qu'a connu Steam le jour de Noël, Valve a enfin décidé de poster un petit article nous expliquant en détail ce qu'il est arrivé ce jour là.

Comme l'avait signalé Darck le jour de l'accident, les serveurs de cache sont mis en cause puisque ces derniers se trompaient de destinataire lors de la génération des pages du magasin Steam. Ce que l'on ne savait pas, c'est qu'une attaque DoS (Attaque par déni de service) est à l'origine de ces erreurs.

Valve est aussi plus précis sur le type d'information qui a fuité et il semblerait qu'uniquement « l'adresse de facturation, les 4 derniers chiffres du numéro de téléphone associé à Steam Guard, l'historique des achats, les deux derniers chiffres de la carte de crédit et/ou l'adresse mail » ont été rendus accessibles. Si ces informations sont sensibles, elles ne permettent cependant pas d'effectuer des actes de malveillance sur un compte Steam.

Valve s'excuse donc pour cette erreur qui aurait touché 34 000 personnes, mais une grande partie de la communauté semble avoir perdu confiance dans la société et regrette qu'elle ait mis tant de temps à communiquer sur ce sujet urgent. L'entreprise américaine dit qu'elle contactera chacune des victimes de l'accident sans donner plus de détails.

Le communiqué de Valve est disponible sur le site de Steam en version originale et ci-dessous en version française traduite par nos soins :

 

Qu'est-il arrivé ?


Le 25 décembre, une erreur de configuration a permis à plusieurs utilisateurs de voir des pages du magasin Steam qui avait été générées pour d'autres utilisateurs. Entre 11h50 PST et 13h20 PST, les requêtes web, qui contenaient des informations personnelles sensibles, du magasin Steam de plus 34 000 utilisateurs peuvent avoir été renvoyées et vues par d'autres utilisateurs.

Le contenu de ces requêtes varie selon les pages, mais certaines pages contenaient l'adresse de facturation, les 4 derniers chiffres du numéro de téléphone associé à Steam Guard, l'historique des achats, les deux derniers chiffres de la carte de crédit et/ou l'adresse mail. Ces requêtes ne contenaient pas le numéro de carte de crédit complet, le mot de passe de l'utilisateur ou assez de données permettant de se connecter ou d'effectuer une transaction pour un autre utilisateur.

Si vous n'avez pas navigué sur une page du magasin Steam contenant vos informations personnelles (comme votre page de compte ou la page de paiement) durant cette période, ces informations n'ont pas pu s'afficher chez un autre utilisateur.

Valve est actuellement en train de travailler avec son partenaire chargé de la gestion de son cache web pour identifier les utilisateurs dont ces informations ont servi à d'autres utilisateurs, et va contacter les victimes une fois qu'elles auront été identifiées. Puisqu'aucune action non autorisée sur un compte n'a été permise via l'affichage d'une page de cache web, aucune autre action n'est requise de la part des utilisateurs.

Comment cela est-il arrivé ?


Dans la mâtiné de Noël (PST), le magasin Steam a été la cible d'une attaque DoS (Attaque par déni de service) qui a empêché l'affichage des pages du magasin aux utilisateurs. Les attaques contre le magasin Steam et Steam en général sont régulières et sont gérées par Valve et d'autres sociétés partenaires sans qu'il n'y ait d'impact pour les utilisateurs de Steam. Durant l'attaque de Noël, le trafic du magasin Steam a augmenté de 2000% par rapport à la moyenne du trafic enregistré lors des Soldes Steam.


En réponse à cette attaque, les règles du cache web mises en place par un partenaire ont été activées afin de minimiser l'impact de l'attaque sur les serveurs du magasin Steam et ainsi continuer à diriger le trafic des utilisateurs. Durant la seconde vague de cette attaque, une deuxième configuration de cache web a été déployée et a incorrectement mis en cache le trafic web des utilisateurs authentifiés. Cette erreur de configuration a permis à certains utilisateurs de voir des pages qui avaient été générés pour d'autres utilisateurs. Ces pages incorrectes allaient de l'affichage du magasin dans une mauvaise langue, à l'affichage de la page de compte d'un autre utilisateur.

Une fois cette erreur identifiée, le magasin Steam a été mis hors-service et une nouvelle configuration du cache a été déployée. Le magasin Steam est resté hors-ligne le temps de vérifier chaque configuration, d'avoir confirmation que la dernière configuration a bien été déployé sur chaque serveur et que toutes les données erronées ont bien été purgées.

Nous allons continuer à travailler avec notre partenaire pour identifier tous les utilisateurs affectés et améliorer le processus et les règles de mise en cache. Nous nous excusons pour toute personne ayant eu des informations personnelles exposées par cette erreur et pour ceux ayant été victime de l'interruption des services du magasin Steam.

Valve.

Partager cet article :