Valve justifie l’arrivée de la double authentification pour les échanges sur Steam

Il y a quelques jours, Valve annonçait la mise en place d'un délai de trois jours pour les échanges réalisés entre joueurs sur Steam, quand l'un d'eux n'est pas équipé d'un système de double authentification mobile. La mesure n'a pas plu à tout le monde, et l'éditeur tente de se justifier auprès des sceptiques.

Valve fait face à un gros problème. Dans un billet publié sur Steam, la firme de Gabe Newell explique que chaque jour, de plus en plus d'utilisateurs voient leurs comptes compromis, ou sont victimes de vols de leurs objets. À chaque fois le mode opératoire est le même, détaille l'éditeur. D'abord, les pirates prennent le contrôle du compte, puis ils échangent les objets qui lui sont liés avec un complice, qui les revendra ensuite sur la place de marché de Steam. L'étape suivante consiste à dépenser l'argent ainsi obtenu en achetant des jeux sous la forme de « Steam Gifts » qui seront ensuite revendus à prix cassés sur des plateformes grises, type G2A ou Kinguin.

Dupliquer n'est pas jouer.

Quand ce type de piratage se produit, Valve remet à flot les utilisateurs touchés en leur redonnant les objets perdus, ainsi que leur solde. Cependant cela oblige l'éditeur à dupliquer les objets disparus, celui-ci n'ayant pas la possibilité de les récupérer lorsqu'entre-temps ils ont été achetés par un autre utilisateur innocent. 

« Dupliquer les objets volés dévalue tous les objets équivalents dans notre économie. Cela peut être marginal sur les objets les plus communs, mais pour les plus rares, cela peut potentiellement augmenter de façon significative le nombre total d'unités existantes », explique Valve.

Une période de quarantaine pour limiter la casse

Comme nous l'expliquions il y a deux semaines, l'éditeur a décidé de prendre des mesures drastiques pour endiguer ce phénomène. Cela passe principalement par la mise en place d'échanges à deux vitesses. Dans le cas où les deux utilisateurs disposent d'un Steam Guard Mobile Authenticator (un système de double authentification maison sur mobile), ils peuvent valider la transaction instantanément via l'application Steam installée sur leur smartphone (Android ou iOS).

Dans le cas contraire, un délai de trois jours est nécessaire pour que la transaction soit validée. Cela laisse le temps à l'utilisateur de revenir sur sa décision si l'échange est défavorable, mais aussi de signaler à Valve que son compte à été piraté si c'était le cas. Le délai est réduit à un maximum d'un jour si les deux parties sont amies depuis plus d'un an.

Le nombre de comptes volés « continue d'augmenter »

Pour justifier ce choix, Valve a décidé de donner quelques chiffres. L'éditeur déclare que chaque mois, 77 000 comptes sont piratés et pillés, soit environ un toutes les 35 secondes. « Nous avons l'habitude de penser que si vous êtes assez malins au sujet de la sécurité de votre compte, vous êtes protégés. Il est facile de partir du principe que les gens dont les comptes sont volés sont des nouveaux ou des utilisateurs naïfs qui partagent leurs mots de passe ou cliquent sur des liens douteux. Ce n'est tout simplement pas le cas » ajoute-t-il. « Ce ne sont pas les nouveaux et les naïfs qui sont touchés, ce sont les joueurs professionnels de CS:GO, des contributeurs de Reddit, des traders d'objets etc. et les pirates peuvent attendre des mois s'il le faut pour atteindre leur cible ».

Valve précise enfin que son choix de passer par une solution maison intégrée dans l'application Steam lui permet d'éviter que les pirates passent par un service tiers (type Google Authenticator) pour confirmer les échanges. Le but est également d'imposer un périphérique tiers auquel le pirate ne peut pas avoir accès. Une solution qui pourrait être employée depuis votre PC n'aurait donc aucun intérêt.