Durant quelques jours, le service de réinitialisation des mots de passe de Steam faisait face à une importante brèche de sécurité : n'importe qui pouvait changer le mot de passe d'un compte, simplement en connaissant le nom d'utilisateur.
Des failles de sécurité, il en existe de tous les genres, de la plus complexe à la plus simple comme c'était le cas il y a quelques mois pour une page du site de la SNCF qui donnait des salves de données personnelles par simples pressions de la touche F5. Ce week-end, Steam a fait les frais d'une brèche du même niveau, ou presque.
Le mécanisme permettant de récupérer un compte quand on a oublié son mot de passe laissait en effet n'importe qui accéder à votre compte, il suffisait pour cela de connaitre le nom d'utilisateur. Normalement, avant de demander un nouveau mot de passe, ce service envoie un « code de récupération » sur votre adresse email. Il faut alors le saisir dans le formulaire afin de pouvoir entrer un nouveau mot de passe. Une vérification qui permet théoriquement de contrôler l'identité de la personne. Problème, il suffisait de laisser ce champ vide et de cliquer sur « Continue » pour que l'application vous demande de saisir un nouveau mot de passe.
Nos confrères de Kotaku qui ont révélé cette histoire indiquent que Valve était au courant de ce bug dès le 25 juillet, date à laquelle le YouTubeur Elm Hoe l'a détaillé dans une vidéo (voir ci-dessous). Il a été corrigé le jour même, et Steam a décidé de « réinitialiser » les mots de passe des utilisateurs ayant effectué un changement entre le 21 et le 25 juillet. Toutes les personnes concernées ont reçu un email de la part de la plateforme afin de les informer.
Valve précise que les utilisateurs qui ont opté pour la double authentification via Steam Guard ne sont pas concernés puisque l'accès au compte nécessite un second code de sécurité, qu'il n'était pas possible de contourner aussi facilement.
Commentaires (42)
#1
C’est la faute du stagiaire.
" />
#2
ah c’est ballot ! bon heureusement y’a steam guard, un jour j’ai eu une demande de changement de mdp depuis la pologne ou la russie
" />
#3
#4
En même temps, avec SteamGuard comme choix suggéré fortement, quand on le refuse on doit être conscient du risque encouru.
En lisant la news, j’ai cru que c’était justement ce principe qui avait eu une faille, ce qui aurait été fort de café. Bref, si on tient à ses jeux, mieux vaut utiliser steamGuard, qui n’est casse pied que en mode navigateur (on se connecte rarement via Steam sur un PC différent)
La réaction est bonne, mais s’il y a eu des victimes cela risque d’être trop tard (objets en inventaire perdus)
#5
#6
#7
Ouais bah ils pourraient dev HL3 plus vite que ça les stagiaires.
" />
" />
Et y a la faille stagefright sur android.
#8
D’un autre coté, autant qu’il l’aie dévoilé ainsi la faille car cela a forcé Steam/Valve à faire les corrections de suite. Car, sinon, combien de temps aurait-on attendu ?
#9
Mais le code c’est pas justement avec steamguard ? 
" />
Cette news n’est pas claire… ou c’est moi qui suis pas frais.
#10
#11
Effectivement, sur navigateur je l’ai à chaque connexion (mon navigateur s’autoclean régulièrement). Mais maintenant que je l’ai sur le téléphone, je l’ai à chaque connexion mais c’est plus rapide d’accès que le mail ^^
Et je préfère qu’il me le demande plus régulièrement que pas du tout, surtout quand je vois les tentatives de reset. Par contre j’ai pas trouvé où on peut faire la gestion des ordis enregistrer, je dois faire le ménage dedans vu les noms improbable à chaque fois (genre fdqdfs).
#12
#13
dans steam y a une option qui retire l’acces à tous les autres .
#14
Ca donne franchement l’impression que les devs ont mis un “raccourci” pendant le développement pour pas ce faire chier à envoyer les emails pour les tests et au moment de la mise en prod… ils ont juste oublié
" />
#15
Ha oui ! J’avais oublié la demande pour les nouveaux appareils.
" />
Du coup je me sens rassuré
#16
Tu peux aussi ne pas ajouter la machine pour avoir la demande à chaque connexion sur cette machine pour plus de sécurité.
#17
Conscient… ou forcé : mon smartphone est un BlackBerry, j’ai pas de tablette, donc…
#18
Qu’importe le client de connexion (Steam ou Navigateur), si SteamGuard est activé il te sera demandé un code de sécurité.
En effet, le client steam a un ID propre généré par l’installation. Et le navigateur laisse une empreinte elle aussi unique.
#19
#20
#21
if(isset(\(code) {
verifCode(\)code)
}
et Paf, si on met pas de code on rentre pas dans la vérif.
Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !
#22
Ah c’est le fameux code envoyé par email à chaque connexion inconnue ? En lisant l’article, j’ai cru que c’était le même. Je pensais plutôt à une authentification à deux facteurs avec appli, à la Blizzard…
#23
SteamGuard activé OK, vive la double authentification…
#24
#25
En attendant, il reste plein d’utilisateurs avec leur adresse e-mail comme login parce qu’on avait eu le malheur de participer au béta-test de Steam en 2003 et que c’était limité à ça, et Valve prétend ne pas pouvoir nous donner de moyen de le changer.
Heureusement qu’il y a SteamGuard donc…
#26
Tellement vrai
" />
#27
#28
Bien ! Je vais pourvoir recommencer à jouer à HuniePop en toute sécurité. 
" />
#29
blackdream a écrit :
" />
if(isset(\(code) {
verifCode(\)code)
}
et Paf, si on met pas de code on rentre pas dans la vérif.
Premier trimeste de BTS informatique, TOUJOURS METTRE UN ELSE !
je connais pas le php mais à mon avis ca ressemble plus à ça
if( issef( \(code ) {
verif\_code( \)code )
} else if( $NSAIP ) {
// TODO: IF FOUND SAY RUSSIAN OR CHINESE HACK
do_change_password( void )
} else {
// FFA
do_change_password( void )
}
#30
Je ne peux pas activer l’application steam sur mon téléphone, elle ne reconnaît pas mon mot de passe de mon compte steam.
#31
#32
C’est une identification en deux étapes, mais unique
" />
En gros lors de cette première connexion par un nouvel appareil (comprendre client), tu génères une clef qui lui est propre. Et tu rentres cette dernière une seule fois pour bien prouver que tu détiens login/mdp/compte mail. Mais une fois enregistrée chez Valve, cet appareil est considéré comme “de confiance”.
#33
J’en avais un
" />
" />
Je l’ai dégagé peu avant 2003, il tombait en panne tout le temps
#34
#35
Comme quoi, ca a du bon d’avoir une url personalisée de profil Steam. On peut retirer son pseudo de connexion et y mettre n’importe quoi :)
#36
#37
Ca dépend, l’article dis qu’en ne mettant pas de code on pouvait changer le mot de passe, mais ne précise pas si en mettant un faux code cela fonctionnait. Donc je suis partis sur le principe qu’il fallait que le code soit vide.
" />
Après, si pour le test ils ont désactivé la fonction en mettant un return dès la première ligne, ça marche quel que soit la valeur du code.
PS : oui j’ai oublié une parenthèse, il faut absolument un correcteur de syntaxe dans les commentaires, indispensable !
#38
#39
En tout cas ils sont réactiver pour corriger le pépin.
#40
Pas plus longtemps, Valve est une companie avec 330 employes qui leur as verse 350k chacun comme bonus en 2010.
Ils font des centaines de Millions de dollars de profits chaque annee, la derniere chose qu’ils voudraient c’est perdre leurs clients et quand ils se font voler leur compte generalement les clients reviennenent pas :)
#41