Valve a enfin pris la parole officiellement au sujet de son gros couac du 25 décembre. La firme de Gabe Newell revient sur le souci de configuration du cache de Steam en précisant qu'il fait suite à une attaque par déni de service. Elle contactera l'ensemble des utilisateurs dont les données personnelles ont été affichées à autrui.
Il aura donc fallut attendre près d'une semaine pour que Valve réagisse réellement au souci rencontré par ses utilisateurs le soir de Noël. Pour rappel, le 25 décembre entre 21h et minuit (heure française) la plateforme a en effet présenté un comportement plus qu'anormal. La page principale de la boutique Steam s'affichait dans une autre langue que celle habituellement demandée par l'utilisateur. Et si à ce moment-là on cherchait à accéder aux détails de son propre compte, les informations d'un autre client étaient alors affichées à l'écran.
Les données transmises étaient partielles mais néanmoins significatives. On pouvait ainsi voir en un clic leur adresse email, celle éventuellement liée à leur compte PayPal, leur historique de transaction, l'adresse de facturation, les quatre derniers chiffres du numéro de téléphone utilisé pour SteamGuard, ou encore les deux derniers chiffres de leur carte de paiement. Depuis cet évènement, Valve s'était simplement fendu d'un communiqué laconique distribué à quelques sites que l'on pourrait résumer ainsi : « Circulez, il n'y a rien à voir ».
Une attaque, mais surtout un problème de configuration
C'est donc hier soir que Valve s'est décidé à communiquer. L'occasion de fournir des explications plus détaillées, mais aussi des présenter (enfin) ses excuses au sujet de cet incident.
Tout a débuté de façon fort banale pour l'éditeur avec une attaque par déni de service (DoS) visant ses serveurs. « Des attaques contre la boutique Steam et Steam en général arrivent régulièrement, et les équipes de Valve s'en occupent seules ou avec l'aide de partenaires externes et typiquement, elles n'affectent pas les utilisateurs » assure la plateforme.
Le soir du 25 décembre, le trafic vers la boutique Steam était selon Valve 20 fois supérieur à la moyenne observée pendant la période de promotions en cours. « En réponse à cette attaque spécifique, des règles de cache gérées par un partenaire [NDLR : un CDN, type Cloudflare] ont été déployées afin de minimiser l'impact sur les serveurs de la boutique et assurer que le trafic légitime soit bien assuré ».
Cela a fonctionné pour une première vague d'attaques, mais par la suite une deuxième phase d'assaut a pris le relais. Valve a alors déployé une deuxième configuration pour son cache, plus restrictive mais celle-ci était mal paramétrée et a mis en cache le trafic pour les utilisateurs authentifiés sur Steam. « Cette erreur de configuration a eu pour conséquence que certains utilisateurs voyaient des réponses de la boutique Steam qui étaient générées pour d'autres utilisateurs. »
Cela concernait donc l'ensemble des pages de la boutique, ce qui explique pourquoi certains la voyaient dans une langue étrangère, mais également la fameuse page de détails du compte.
Valve tente de limiter les dégâts
Deux cas se présentent alors selon Valve. Si pendant la période du bug vous avez tenté d'afficher des pages sur les sites ou le client de Steam, les informations qui vous étaient destinées ont pu être montrées à d'autres utilisateurs. Si vous n'étiez pas actif à ce moment-là, vos informations personnelles n'ont alors jamais pu être présentées à qui que ce soit d'autre.
De son côté, Valve assure travailler avec ses partenaires afin d'identifier l'ensemble des personnes concernées par ce problème afin de pouvoir les contacter personnellement. L'éditeur affirme également qu'étant donné qu'aucune action n'était possible sur les comptes d'un tiers lors de l'incident, il n'est pas nécessaire pour les utilisateurs concernés de changer leur mot de passe ou leurs moyens de paiement, ceux-ci n'ayant pas été compromis.
Une communication qui arrive (trop ?) tard
Au vu de la panique générée par cette « erreur de configuration » et de ses conséquences apparemment très limitées, on se demande encore pourquoi Valve n'a pas réagi plus tôt, préférant laisser ses utilisateurs s'inquiéter de l'éventuelle compromission de leurs informations dans l'intervalle.
S'il faut parfois du temps pour comprendre les tenants et les aboutissants d'une panne, un service comptant plus de 125 millions de clients ne devrait pas les laisser sans aucune nouvelle pendant plusieurs jours, se contentant de distribuer un communiqué de quelques phrases à la presse spécialisée. D'autant plus dans une période d'affluence pour elle et quand il est question d'accès à des données personnelles.
Espérons que cette mésaventure serve de cas d'école, et surtout qu'elle serve aux équipes de Valve pour revoir leurs procédures pour cette nouvelle année.
Commentaires (29)
#1
En Valve time, ils ont communiqué plutôt rapidement je trouve !
" />
#2
#3
faut pas leur en vouloirs, c’est les période festives, avec l’alcool forcément le temps de réaction diminue
" />
#4
Sur Steam, c’est PaySafeCard comme moyen de paiement uniquement. Pas de mauvaise surprise ni de données sensibles laissées sur leurs serveurs 
" />
#5
“Pour nous faire pardonner on lance le chantier HL3”
" />
" />
On peut toujours rêver
#6
Sur n’importe quel site, je ne stock jamais mes informations de contact (quoi que j’ai encore trouvé un site l’autre jour qui les stockait automatiquement, il faut les supprimer a posteriori). Du coup, au pire ils avaient les 2 derniers chiffres de mes précédents achats. Mais bon, sachant que je n’ai pas affiché mon compte sur cette période…
#7
Ça c’est l’ARG en cours via les soldes
" />
#8
que le 25? je l’ai eu encore après, le 28 environ 1h.
#9
“Si vous n’étiez pas actif à ce moment-là, vos informations personnelles
" />
n’ont alors jamais pu être présentées à qui que ce soit d’autre.”
Ouf, j’ai échappé (sans le vouloir) au problème.
#10
En même temps s’il y aurait eu une vraie fuite de données ils auraient communiqué rapidement et activé la procédure de changement de mot de passe comme ils l’avaient fait début janvier.
Quand je vois que les premiers commentaires sur reddit étaient “how can we sue them?” je comprends qu’ils donnent pas trop de détails :p
#11
je suis intéressé de savoir en quoi consiste le déploiement de configuration de cache pour parer à des attaques DDOS.
#12
En fait le Ddos c’est la situation normale chez Valve, là il y a juste eu une montée en charge exceptionnelle
" />
#13
mé nan, filer votre numéro de téléphone à Valve, ça va sécuriser vos données ^^
#14
Bah garder le cache coté serveur limite les accès en base. Chaque IP utilisées par l’attaque ne fera qu’un appel sur la base, les appels suivant seront gérés par le cache.
Il n’est pas possible d’avoir la totalité de la base en cache, donc je pense que les attaquants jouent là-dessus pour trouver des pages qui impactent réellement la base à chaque appel de la page. Si valve ne réagit pas, la limite de la base peut être atteinte et donc ralentir pour l’ensemble des utilisateurs.
Du coup j’imagine que Valve joue sur la configuration du cache pour contrer les attaques DDOS significatives.
En favorisant les pages (plutôt les tables qui sont utilisés par ces pages, mais c’est pour simplifier) qui sont utilisés par les attaquants dans le cache, on limite l’attaque.
Je dirais que c’est à peu près ça le principe, mais si quelqu’un a une autre explication, je suis preneur.
#15
#16
#17
#18
Merci pour cet article.
" />
Je parcoure souvent /r/Steam et je n’y ait pas trouvé la réponse à ma question :
Munit des diverses infos d’un compte (historique des achats, tout ca) est-il possible en théorie de contacter le support pour réclamer la propriété d’un compte Steam qui ne nous appartient pas?
Par le passé il y a déjà eu des entourloupes de ce genre qui exploitaient le support Steam..
Et je n’aimerait pas que cela me tombe dessus.
Une idée de la réponse, Kévin? Les INpactien(ne)s?
Pour mes infos de paiement/facturation, pour peu que Steam respecte ce que je lui demande quand j’achète (la case à ne pas cocher) alors je n’ai pas de soucis à me faire. Même ma CB est expirée :p
#19
Il est bien dit que si tu n’as pas essayer de visiter ces pages tu ne risque rien dans tous les cas.
Perso j’ai vu la boutique en russe, je me suis servis un verre et je suis retourné sur l4d2.
#20
Et la TVA? Et les impôts? Et les salariés de ces entreprises? Et l’origine des clefs?
#21
On a le droit de revenir sur un incident de cette (presque) fin d’année et de comparer Valve à Free Mobile ou pas ?
" /> 
" /> 
" /> 
" />
" />
#22
Non, désolé, c’est interdit…. c’est le dernier jour de l’année et on ne parle pas des sujets qui fâchent….
bon, c’est sur qu’on ne va plus parler de rien… mais tant pis…
#23
#24
#25
#26
Oui, la communication de Valve est arrivée bien trop tardivement. Une semaine pour attendre une réponse officielle, alors que dès le 26 décembre, Valve savait qu’elle avait subit une attaque par déni de service, ce n’est pas professionnel. En fait, c’est tout le contraire… Pourquoi avoir attendu une semaine pour dire ce qu’il s’était passé ? C’est se tirer une balle dans le pied.
Mais Valve n’est pas la première entreprise à prendre son temps pour annoncer à ses clients qu’elle a subit une attaque par une ou plusieurs personnes malveillantes. Certaines, même, ne le disent pas. Cela se sait alors officieusement, via des employés, qui préfèrent toujours garder l’anonymat.
Médiatiquement, il est certain qu’une société de la taille de Valve, et quelque soit le type d’attaque qu’elle subit, se fera toujours critiqué pour ne pas avoir pris les mesures de sécurité adéquates. Sans parler de la colère de ses clients… Mais il faut savoir prendre ses responsabilités !
#27
Et Amazon ? Et Google ? Et Microsoft ?
Tu pourras demander aux particuliers de jouer le jeu quand ceux qui brassent des millions le joueront.
C’est comme l’écologie, triez vos poubelles, moi je vais voter en Corrèze en avion.
Personne ne respecte les règles, sauf les c*, c’est triste à dire mais ça ressemble à ça.
#28
Merci !
#29