Durant quelques jours, le service de réinitialisation des mots de passe de Steam faisait face à une importante brèche de sécurité : n'importe qui pouvait changer le mot de passe d'un compte, simplement en connaissant le nom d'utilisateur.
Des failles de sécurité, il en existe de tous les genres, de la plus complexe à la plus simple comme c'était le cas il y a quelques mois pour une page du site de la SNCF qui donnait des salves de données personnelles par simples pressions de la touche F5. Ce week-end, Steam a fait les frais d'une brèche du même niveau, ou presque.
Le mécanisme permettant de récupérer un compte quand on a oublié son mot de passe laissait en effet n'importe qui accéder à votre compte, il suffisait pour cela de connaitre le nom d'utilisateur. Normalement, avant de demander un nouveau mot de passe, ce service envoie un « code de récupération » sur votre adresse email. Il faut alors le saisir dans le formulaire afin de pouvoir entrer un nouveau mot de passe. Une vérification qui permet théoriquement de contrôler l'identité de la personne. Problème, il suffisait de laisser ce champ vide et de cliquer sur « Continue » pour que l'application vous demande de saisir un nouveau mot de passe.
Nos confrères de Kotaku qui ont révélé cette histoire indiquent que Valve était au courant de ce bug dès le 25 juillet, date à laquelle le YouTubeur Elm Hoe l'a détaillé dans une vidéo (voir ci-dessous). Il a été corrigé le jour même, et Steam a décidé de « réinitialiser » les mots de passe des utilisateurs ayant effectué un changement entre le 21 et le 25 juillet. Toutes les personnes concernées ont reçu un email de la part de la plateforme afin de les informer.
Valve précise que les utilisateurs qui ont opté pour la double authentification via Steam Guard ne sont pas concernés puisque l'accès au compte nécessite un second code de sécurité, qu'il n'était pas possible de contourner aussi facilement.
