Valve a enfin pris la parole officiellement au sujet de son gros couac du 25 décembre. La firme de Gabe Newell revient sur le souci de configuration du cache de Steam en précisant qu'il fait suite à une attaque par déni de service. Elle contactera l'ensemble des utilisateurs dont les données personnelles ont été affichées à autrui.
Il aura donc fallut attendre près d'une semaine pour que Valve réagisse réellement au souci rencontré par ses utilisateurs le soir de Noël. Pour rappel, le 25 décembre entre 21h et minuit (heure française) la plateforme a en effet présenté un comportement plus qu'anormal. La page principale de la boutique Steam s'affichait dans une autre langue que celle habituellement demandée par l'utilisateur. Et si à ce moment-là on cherchait à accéder aux détails de son propre compte, les informations d'un autre client étaient alors affichées à l'écran.
Les données transmises étaient partielles mais néanmoins significatives. On pouvait ainsi voir en un clic leur adresse email, celle éventuellement liée à leur compte PayPal, leur historique de transaction, l'adresse de facturation, les quatre derniers chiffres du numéro de téléphone utilisé pour SteamGuard, ou encore les deux derniers chiffres de leur carte de paiement. Depuis cet évènement, Valve s'était simplement fendu d'un communiqué laconique distribué à quelques sites que l'on pourrait résumer ainsi : « Circulez, il n'y a rien à voir ».
Une attaque, mais surtout un problème de configuration
C'est donc hier soir que Valve s'est décidé à communiquer. L'occasion de fournir des explications plus détaillées, mais aussi des présenter (enfin) ses excuses au sujet de cet incident.
Tout a débuté de façon fort banale pour l'éditeur avec une attaque par déni de service (DoS) visant ses serveurs. « Des attaques contre la boutique Steam et Steam en général arrivent régulièrement, et les équipes de Valve s'en occupent seules ou avec l'aide de partenaires externes et typiquement, elles n'affectent pas les utilisateurs » assure la plateforme.
Le soir du 25 décembre, le trafic vers la boutique Steam était selon Valve 20 fois supérieur à la moyenne observée pendant la période de promotions en cours. « En réponse à cette attaque spécifique, des règles de cache gérées par un partenaire [NDLR : un CDN, type Cloudflare] ont été déployées afin de minimiser l'impact sur les serveurs de la boutique et assurer que le trafic légitime soit bien assuré ».
Cela a fonctionné pour une première vague d'attaques, mais par la suite une deuxième phase d'assaut a pris le relais. Valve a alors déployé une deuxième configuration pour son cache, plus restrictive mais celle-ci était mal paramétrée et a mis en cache le trafic pour les utilisateurs authentifiés sur Steam. « Cette erreur de configuration a eu pour conséquence que certains utilisateurs voyaient des réponses de la boutique Steam qui étaient générées pour d'autres utilisateurs. »
Cela concernait donc l'ensemble des pages de la boutique, ce qui explique pourquoi certains la voyaient dans une langue étrangère, mais également la fameuse page de détails du compte.
Valve tente de limiter les dégâts
Deux cas se présentent alors selon Valve. Si pendant la période du bug vous avez tenté d'afficher des pages sur les sites ou le client de Steam, les informations qui vous étaient destinées ont pu être montrées à d'autres utilisateurs. Si vous n'étiez pas actif à ce moment-là, vos informations personnelles n'ont alors jamais pu être présentées à qui que ce soit d'autre.
De son côté, Valve assure travailler avec ses partenaires afin d'identifier l'ensemble des personnes concernées par ce problème afin de pouvoir les contacter personnellement. L'éditeur affirme également qu'étant donné qu'aucune action n'était possible sur les comptes d'un tiers lors de l'incident, il n'est pas nécessaire pour les utilisateurs concernés de changer leur mot de passe ou leurs moyens de paiement, ceux-ci n'ayant pas été compromis.
Une communication qui arrive (trop ?) tard
Au vu de la panique générée par cette « erreur de configuration » et de ses conséquences apparemment très limitées, on se demande encore pourquoi Valve n'a pas réagi plus tôt, préférant laisser ses utilisateurs s'inquiéter de l'éventuelle compromission de leurs informations dans l'intervalle.
S'il faut parfois du temps pour comprendre les tenants et les aboutissants d'une panne, un service comptant plus de 125 millions de clients ne devrait pas les laisser sans aucune nouvelle pendant plusieurs jours, se contentant de distribuer un communiqué de quelques phrases à la presse spécialisée. D'autant plus dans une période d'affluence pour elle et quand il est question d'accès à des données personnelles.
Espérons que cette mésaventure serve de cas d'école, et surtout qu'elle serve aux équipes de Valve pour revoir leurs procédures pour cette nouvelle année.
