Steam : une faille simplissime permettant de pirater votre compte en 5 clics !

Contrairement aux idées reçues, il n'est pas nécessaire de passer des heures à analyser un code pour déceler une faille de sécurité : certaines sont très simples à trouver.

L'exemple parfait est la faille de sécurité concernant Steam qui a été découverte durant le week-end et qui a touché de nombreux streameurs et joueurs pro.

Comme le montre le titre aguicheur, mais véridique, de la news, cette faille était exploitable en seulement CINQ clics et permettait de changer le mot de passe de n'importe-quel compte.

Une vidéo montre les cinq clics nécessaires à l'exécution de cette faille majeure :

  • 1er clic : cliquer sur « Récupérer un compte perdu... » sur la fenêtre de connexion à Steam
  • 2ème clic : cliquer sur « Suivant » après avoir tapé le nom du compte Steam que l'on souhaite pirater
  • 3ème clic : cliquer sur « Envoyer un code de récupération à l'Email XXX »
  • 4ème clic : cliquer sur « Continuer » sur la page demandant le code EN NE REMPLISSANT AUCUN CODE
  • 5ème clic : cliquer sur « Changer le mot de passe » après avoir tapé le nouveau mot de passe du compte piraté

Et c'est tout... C'est tout simplement incroyable qu'une telle faille de sécurité puisse exister sur Steam quand on connait la valeur monétaire que peut représenter un compte. Jusqu'à maintenant, tout le monde pouvait donc changer votre mot de passe sans la moindre difficulté et potentiellement voler vos items rares.

Heureusement, la faille a « vite » été corrigée mais inutile de dire que constater un tel manquement de sécurité n'est vraiment pas rassurant provenant de la plateforme leader du jeu dématérialisé.

Il reste à savoir si d'autres failles de ce genre circulent secrètement dans les tréfonds du web...

10 commentaires

Créer un compte ou se connecter pour commenter
Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

C'est facile, gratuit et si vous le souhaitez c'est possible via votre compte Steam, Facebook ou Twitter. Créer un nouveau compte

Se connecter

Si vous avez un compte, utilisez vos informations Vossey.com ou si vous avez déjà enregistré votre compte Steam, Facebook ou Twitter. Se connecter avec votre compte ou via Steam / Facebook / Twitter
Avatar
Jejeleponey

Oh la vache :blink:

Et on sait depuis quand cette faille existe ? Il serait étonnant qu'elle existe depuis le début et ne soit trouvée qu'après 11 ans d'existence de la plateforme

Avatar
FrenchKat

Je pense qu'elle existe depuis que Steam a un nouveau système de FAQ avec des boutons à cliquer comme sur la vidéo.

Avatar
Sedin

C'est pas comme si c'était grave qu'un compte Steam sois hacké maintenant, avec le support steam, il est très facile de justifier que c'est le votre et de récupérer tout ce qui vous appartient.

C'est surtout une perte de temps.

Avatar
FrenchKat

Et si un mec pirate ton compte et se fait VACBan, pas sûr que cela soit juste une perte de temps et que le support Steam soit si enclin à annuler ton ban :)

Avatar
Sedin

Si tu peux prouver que tu t'es fait hack à ce moment, si. Et c'est pas quelque chose de dur à prouver avec les IP, toussa toussa. C'est déjà arrivé à plus d'un pro me semble.

Avatar
FrenchKat

Pro oui, mais en tant que particulier, c'est pas la même histoire : je dis pas que c'est impossible mais c'est quand même chaud à justifier !

Avatar
Sedin

Si le changement de mots de passe à été fait sur une IP jusqu'alors jamais utilisé, non. Après, si il a été fait sur une IP utilisé, faut penser à changer d'amis.

Avatar
freredarmes

Quelqu'un a t'il essayé ? 

Avatar
Drthrax

La faille à été comblé ou fixé .

 

Liens :  https://help.steampowered.com/#HelpWithLoginInfo

Avatar
DrDoc

Quelqu'un a t'il essayé ? 

 

Ouais, j'ai été sur le compte de arth. Un peu trop flippant à mon gout j'ai vite déguerpi.

 

 

Plein d'amis, de groupes et autres sectes sur les chats ... puis beaucoup de jeux qui n'ont jamais été lancés, c'est triste.