Qui n'a pas un petit pincement au cœur à l'idée de perdre l'accès à son compte Steam, avec tous ces jeux accumulés au fil des ans et parfois des sommes considérables dépensées ? Alors, quand des bruits de couloir, repris un peu partout sur la toile, parlent d'un "piratage massif" qui pourrait toucher la bagatelle de 89 millions de comptes Steam, soit les deux tiers des joueurs, on a de quoi se sentir un peu fébrile. Pour l'instant, pas de communication officielle de Valve pour confirmer ou infirmer, mais dans le doute, mieux vaut ne pas jouer avec le feu.
Des millions de comptes Steam dans la tourmente : que s'est-il passé ?
Depuis quelques jours, un certain Machine1337 propose à la vente une base de donnée à 5000 dollars qui contiendrait selon lui, pas moins de 89 millions de comptes Steam.
En guise de preuve, son annonce s'accompagne d'un échantillon avec un registre de SMS envoyés dans le cadre de l'authentification à deux facteurs. Dans les données, on retrouve également le status du SMS (reçu, expédié, lu), les métadonnées des messages et leur contenu ainsi qu'aux coûts de routage pour la diffusion des codes...
Le pirate indique que son trésor de guerre ne proviendrait pas d'un piratage de Steam, mais de son partenaire, Twilio, un service tiers utilisé par la plateforme pour envoyer les codes d'authentification à double facteur par message. Twilio a effectivement accès à certaines données personnelles des utilisateurs pour fonctionner.
S'il est évident que les codes 2FA n'ont plus aucune validité, la base de données et certains élements permettraient d'organiser une campagne de phishing par téléphone pour récupérer des comptes, mots de passe et données sensibles...
Des risques limités
De son côté Twilio a communiqué et indiqué qu'aucune preuve ne suggère actuellement que le service a été compromis et fait l'objet d'une fuite de données. La société a examiné l'échantillon de données du pirate et précise que rien ne permet de garantir que les données ont été obtenurs auprès de Twilio.
Pour aller plus loin, un représentant de Valve, qui n'a pas communique officiellement pour le compte de la société a indiqué que Steam n'utilisait même pas les services de Twilio... Alors quoi penser de cette affaire ? Dans le doute, un petit rappel des précautions d'usage s'impose.
Comment protéger votre compte Steam ? Les gestes qui sauvent !
Bon, pas de panique, mais de l'action ! Voici ce que vous devriez faire, et vite, pour sécuriser votre compte Steam, que vous pensiez être concerné ou non :
- Filez changer votre mot de passe Steam. Et pas question de remplacer "password123" par "password124". On parle d'un mot de passe costaud, unique (que vous n'utilisez nulle part ailleurs, c'est la base !), avec des majuscules, des minuscules, des chiffres, des symboles... Bref, le genre de truc bien casse-tête pour les pirates.
- Activez Steam Guard, l'authentification à deux facteurs. Si ce n'est pas déjà fait, c'est LE moment. Même si un filou met la main sur votre mot de passe, il lui faudra ce deuxième code (envoyé sur votre mobile ou via une appli dédiée) pour se connecter. C'est une barrière de sécurité assez efficace pour l'instant.
- Jetez un œil à l'historique d'activité de votre compte et à vos moyens de paiement enregistrés. Une transaction bizarre ? Un appareil inconnu connecté ? Alerte rouge.
- Méfiez-vous des emails de phishing qui vont sans doute essayer de profiter de la situation pour vous soutirer vos nouveaux identifiants.
En attendant que Valve sorte du bois, ces quelques précautions sont votre meilleure assurance contre les mauvaises surprises. Quand il s'agit de la sécurité de nos comptes Steam et de notre bibliothèque de jeux vidéo, on n'est jamais trop prudent !
