Même Steam n’est pas infaillible. En avril dernier, on apprenait que le système d’invitation de la plateforme de Valve permettait à des hackers de prendre le contrôle de votre PC. Ce week-end, c’est un nouveau bug qui a été mis en lumière par un chercheur en sécurité, récompensé pour sa trouvaille.
La faille en question, en lien avec le portefeuille Steam, permettait de gonfler le montant disponible dans le porte-monnaie virtuel des hackers.
Publicité
Publicité
Le plein d’argent factice
Tout est parti de la découverte d’un chercheur en sécurité, évoluant sous le pseudonyme « drbrix », via la plateforme HackerOne. Ce dernier a déclaré avoir mis le doigt sur une faille permettant aux hackers d’accroître le montant de leur porte-monnaie Steam.
Un problème qui est rapidement remonté aux oreilles des équipes de Valve, dont celles de JonP. Selon les explications de « drbrix », les hackers devait enregistrer sur leur compte Steam une adresse e-mail dans laquelle figurait les termes « amount100 ».
Il leur était alors possible d’intercepter les paiements réalisés par le biais de Smart2Pay et de les augmenter de manière artificielle. Valve a confirmé que le descriptif donné par « drbrix » était relativement proche de la démarche utilisée par les hackers.
En réaction, l'entreprise a rapidement classé ce problème comme critique, jugeant qu'il pouvait avoir un impact financier important pour la société, et a récompensé le chercheur en sécurité, à hauteur de 7 500 dollars.
Si Valve a depuis résolu le problème et espère que les utilisateurs continueront d’apporter leur aide à l’avenir, aucune communication n’a été faite quant à l’exploitation de cette faille et nous ne savons pas si cette dernière a effectivement été utilisée par les hackers.
Source : Eurogamer
