Une faille dans le système de sécurité de Steam a entraîné la corruption de plusieurs jeux en leur implémentant des malwares. L'incident reste mineur, mais Valve est contraint de prendre de nouvelles mesures préventives afin de protéger les utilisateurs de la plateforme.
Des malwares se cachent dans les fichiers des jeux Steam
Valve a récemment rapporté une faille dans le système de sécurité de sa plateforme, Steam. Des hackers ont pu corrompre des jeux en y injectant des malwares que les utilisateurs téléchargeaient alors lors de l'installation des titres concernés. Valve n'a pas communiqué le nom des jeux, mais affirme en revanche qu'une centaine d'utilisateurs ont été touchés par le problème. Pour opérer, les hackers ont simplement récupéré les données de compte de plusieurs développeurs afin d'accéder aux fichiers de leurs jeux. Une faille étonnamment prévisible, qui contraint le studio à prendre de nouvelles mesures de sécurité.
Valve renforce le système de sécurité de Steam
Depuis l'incident, la faille de sécurité a été confirmée par Simon Carless, fondateur de la newsletter GameDiscoverCo, qui a relayé un mail reçu par l'un des joueurs touchés par le malware. Dans ce mail, Valve assure que le malware a été supprimé, mais conseille au joueur d'effectuer un scan de sécurité supplémentaire, voire de "formater complètement le système d'exploitation afin de s'assurer qu'aucun logiciel malveillant ne soit encore présent sur votre ordinateur".
Wondering why Steam devs will have to confirm via SMS before publishing new game versions or adding users? (https://t.co/EIyLHyA02N….) Looks like it's related to hackers taking over Steam dev accounts & adding malware to game builds. (Screenshot via @SteamDB from Sept. 2023.) pic.twitter.com/WfjGiHdhxm
— Simon Carless (@simoncarless) October 10, 2023
Afin d'éviter ce genre d'incidents à l'avenir, Valve a décidé de renforcer le système d'identification des développeurs sur Steam. Pour se connecter à la plateforme ou mettre à jour les fichiers de leurs jeux, les développeurs devront désormais recevoir un code à deux facteurs via SMS. Une mesure supplémentaire qui pourrait malheureusement impacter les développeurs qui ne possèdent pas de téléphone mobile (on pense surtout aux développeurs indépendants qui travaillent en solo), mais qui devient obligatoire et impossible d'outrepasser à partir du 24 octobre prochain. Valve a déclaré auprès de PC Gamer que ce "désagrément supplémentaire" pour les partenaires est "un compromis nécessaire pour assurer la sécurité des utilisateurs de Steam et pour que les développeurs soient conscients de tout compromis potentiel sur leur compte".