La période de Noël est toujours chargée pour les services de jeux en ligne. Mais pour les équipes de Steam, c'est un autre problème qui est venu gâcher la fête, en laissant penser aux utilisateurs qu'une intrusion avait eu lieu. L'occasion de voir que la société a des progrès à faire en communication de crise.
Hier soir, les utilisateurs de Steam ont eu le droit à une surprise de très mauvais goût. La page principale du client de jeu présentait des caractéristiques anormales, avec notamment l'apparition d'un bouton « Login » même lorsque l'utilisateur était connecté, souvent dans une langue différente de celle utilisée par l'application (Allemand, Polonais, Russe...).
Quand Steam affiche les informations d'un autre utilisateur
La tentation d'aller alors vérifier ses données personnelles afin de couper le lien entre Steam et ses moyens de paiements était grande. Seulement, si un utilisateur se rendait sur sa page « Détails du compte », ce ne sont pas ses propres informations qui apparaissaient à l'écran, mais celles d'un autre compte au hasard. Une sorte de Chatroulette, mais livrant des informations sur des comptes Steam.
De nombreuses données étaient visibles. L'adresse e-mail rattachée au compte, mais aussi celle rattachée au compte PayPal que l'utilisateur pouvait avoir lié. Des informations bancaires partielles sous la forme « American Express/Mastercard/Visa se terminant par **00 » étaient également affichées, ainsi que les 4 derniers chiffres du numéro de téléphone du terminal auquel était rattaché la fonction SteamGuard.
Les fonds présents dans le Steam Wallet, l'historique d'achat et le pays d'origine de la victime étaient également visibles. Il n'était cependant pas possible, selon nos constatations, de modifier la moindre donnée sur le compte cible.
Valve ou le degré zéro de la communication de crise
Après une heure de panique sur les réseaux sociaux, Valve a coupé l'ensemble de ses serveurs pendant une heure supplémentaire, le temps de résoudre le problème. Pendant ce temps, la firme de Gabe Newell n'a communiqué officiellement sur l'origine de ce comportement du client Steam sur aucun canal direct.
Les utilisateurs ont ainsi été laissés sans information officielle pendant un long moment. Il fallait ainsi compter sur la vigilance de quelques modérateurs de la communauté Steam et le compte Twitter de Steam Database (qui n'est pas affilié avec Valve) pour en savoir plus :
We wrote up a quick blog post regarding the recent issues: https://t.co/tY0OmC4dAA (no, we're still not affiliated with Valve).
— Steam Database (@SteamDB) 25 Décembre 2015
Finalement, les modérateurs ont indiqué qu'il leur avait été confirmé que le bug provenait d'un souci de cache, mais en aucun cas d'une quelconque attaque. Le service est ensuite revenu en ligne et Valve a envoyé un communiqué à quelques sites dont SteamDB évoquant le même type de problème :
« Steam est de retour sans problème connu. En raison d'un changement de configuration plus tôt dans la journée, un souci de cache a permis à certains utilisateurs de voir de manière aléatoire des pages générées pour d'autres utilisateurs pendant une période de moins d'une heure. Ce problème a depuis été corrigé. Nous croyons qu'aucune action non autorisée n'a été permise sur les comptes au-delà de l'affichage du cache de la page d'information, et aucune autre action n'est nécessaire de la part des utilisateurs. »
Il faut donc pour le moment se contenter de cela, les utilisateurs n'ayant pas été informés de manière plus directe ou individuelle. Reste à voir si d'autres suites sont à attendre.
La gestion de crise, c'est un métier
On peut néanmoins regretter qu'une société qui gère un service aussi important que Steam ne soit pas plus apte à communiquer de manière plus rapide et claire en cas de crise. Car si aucun acteur n'est à l'abri d'un problème de ce genre, sa façon de réagir est en général ce qui fait la différence.
Outre une faille de cache, Valve a surtout démontré ici qu'il existe une faille importante dans sa capacité à informer et à prendre soin de ses utilisateurs en cas de problème. Et celle-ci reste encore à corriger.