Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Steam : un « bug » laissait n'importe qui changer le mot de passe des comptes

Remy Gaillard serait-il devenu développeur ?
Internet 2 min
Steam : un « bug » laissait n'importe qui changer le mot de passe des comptes
Crédits : Xebeche/iStock

Durant quelques jours, le service de réinitialisation des mots de passe de Steam faisait face à une importante brèche de sécurité : n'importe qui pouvait changer le mot de passe d'un compte, simplement en connaissant le nom d'utilisateur.

Des failles de sécurité, il en existe de tous les genres, de la plus complexe à la plus simple comme c'était le cas il y a quelques mois pour une page du site de la SNCF qui donnait des salves de données personnelles par simples pressions de la touche F5. Ce week-end, Steam a fait les frais d'une brèche du même niveau, ou presque.

Le mécanisme permettant de récupérer un compte quand on a oublié son mot de passe laissait en effet n'importe qui accéder à votre compte, il suffisait pour cela de connaitre le nom d'utilisateur. Normalement, avant de demander un nouveau mot de passe, ce service envoie un « code de récupération » sur votre adresse email. Il faut alors le saisir dans le formulaire afin de pouvoir entrer un nouveau mot de passe. Une vérification qui permet théoriquement de contrôler l'identité de la personne. Problème, il suffisait de laisser ce champ vide et de cliquer sur « Continue » pour que l'application vous demande de saisir un nouveau mot de passe.

Nos confrères de Kotaku qui ont révélé cette histoire indiquent que Valve était au courant de ce bug dès le 25 juillet, date à laquelle le YouTubeur Elm Hoe l'a détaillé dans une vidéo (voir ci-dessous). Il a été corrigé le jour même, et Steam a décidé de « réinitialiser » les mots de passe des utilisateurs ayant effectué un changement entre le 21 et le 25 juillet. Toutes les personnes concernées ont reçu un email de la part de la plateforme afin de les informer.

Valve précise que les utilisateurs qui ont opté pour la double authentification via Steam Guard ne sont pas concernés puisque l'accès au compte nécessite un second code de sécurité, qu'il n'était pas possible de contourner aussi facilement.

 

42 commentaires
Avatar de GuillaumeSlash INpactien
Avatar de GuillaumeSlashGuillaumeSlash- 28/07/15 à 07:03:44

C'est la faute du stagiaire. :D

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 28/07/15 à 07:09:13

ah c'est ballot ! bon heureusement y'a steam guard, un jour j'ai eu une demande de changement de mdp depuis la pologne ou la russie :dd:

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 28/07/15 à 07:09:27

H1N1Virus a écrit :

C'est la faute du stagiaire. :D

c'est le nouveau "First !!1!" ? :transpi:

C'est préoccupant ce genre de bug quand on pousse pour le tout démat' :stress:

Avatar de MuadJC INpactien
Avatar de MuadJCMuadJC- 28/07/15 à 07:11:17

En même temps, avec SteamGuard comme choix suggéré fortement, quand on le refuse on doit être conscient du risque encouru.

En lisant la news, j'ai cru que c'était justement ce principe qui avait eu une faille, ce qui aurait été fort de café. Bref, si on tient à ses jeux, mieux vaut utiliser steamGuard, qui n'est casse pied que en mode navigateur (on se connecte rarement via Steam sur un PC différent)

La réaction est bonne, mais s'il y a eu des victimes cela risque d'être trop tard (objets en inventaire perdus)

Avatar de Mithrill INpactien
Avatar de MithrillMithrill- 28/07/15 à 07:13:38
Édité par Vincent_H le 03/02/2017 à 07:03
Avatar de tazvld Abonné
Avatar de tazvldtazvld- 28/07/15 à 07:14:06

jb18v a écrit :

ah c'est ballot ! bon heureusement y'a steam guard, un jour j'ai eu une demande de changement de mdp depuis la pologne ou la russie :dd:

De même, mais pas un seul, disons qu'ils ont du spammer une trentaine de fois le changement de compte...

Avatar de gokudomatic INpactien
Avatar de gokudomaticgokudomatic- 28/07/15 à 07:16:11

H1N1Virus a écrit :

C'est la faute du stagiaire. :D

Quand toute l'entreprise est composé de stagiaires, difficile de blâmer "le" stagiaire.

Avatar de coucou_lo_coucou_paloma INpactien
Avatar de coucou_lo_coucou_palomacoucou_lo_coucou_paloma- 28/07/15 à 07:25:41

Ouais bah ils pourraient dev HL3 plus vite que ça les stagiaires. :sm:

Et y a la faille stagefright sur android. :stress:

Édité par coucou_lo_coucou_paloma le 28/07/2015 à 07:29
Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 28/07/15 à 07:57:33

D'un autre coté, autant qu'il l'aie dévoilé ainsi la faille car cela a forcé Steam/Valve à faire les corrections de suite. Car, sinon, combien de temps aurait-on attendu ?

Avatar de SuperMot INpactien
Avatar de SuperMotSuperMot- 28/07/15 à 07:58:54

Mais le code c'est pas justement avec steamguard ? :zarb:
 
 
 
 Cette news n'est pas claire... ou c'est moi qui suis pas frais.

Il n'est plus possible de commenter cette actualité.
Page 1 / 5