Jusqu'à présent un peu trop muré dans le silence au goût des utilisateurs de Steam, Valve est sorti de son mutisme en diffusant un communiqué officiel revenant un peu plus en détail sur les problèmes rencontrés par sa plate-forme de téléchargement le 25 décembre dernier.
C'était un peu la tuile pour Valve et Steam. Dans le courant du 25 décembre, alors que les soldes Steam d'hiver battaient leur plein, certains utilisateurs se sont rendus compte qu'ils pouvaient accéder à des données sensibles concernant d'autres membres inscrits sur la plate-forme de Valve. Nous apprenons aujourd'hui que 34.000 utilisateurs ont été concernés par cette intrusion peu rassurante.
Adresse de facturation, 2 derniers numéros de carte bancaire, historique des achats ou encore adresse mail des utilisateurs authentifiés étaient donc accessibles en quelques clics. Toutefois, Valve se veut rassurant, affirmant que les données accessibles ne permettaient pas d'effectuer des transactions. Notez, si vous avez un doute, que si vous ne vous êtes pas connecté entre 20h50 et 22h20 le 25 décembre, vous n'encourrez aucun risque de fuites de données personnelles.
Cette mésaventure résulte d'une attaque par déni de service réalisée pendant une forte période d'affluence sur Steam. En réponse à ce DDoS un changement de cache inapproprié a été opéré, autorisant l’accès aux pages des utilisateurs connectés. Valve affirme travailler en collaboration avec ses partenaires à l'identification des personnes affectées par ce problèmes, accompagnant l'information des plus plates excuses de l'entreprise.
Voilà une attaque qui intervenait au pire moment, les soldes Steam étant très populaires, la période d'attaque correspondant à une affluence augmentée de 2000% par rapport à un trafic normal.