Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Valve revient sur le bug de Noël de Steam et va contacter les utilisateurs touchés

On commençait à trouver le temps long
Logiciel 4 min
Valve revient sur le bug de Noël de Steam et va contacter les utilisateurs touchés

Valve a enfin pris la parole officiellement au sujet de son gros couac du 25 décembre. La firme de Gabe Newell revient sur le souci de configuration du cache de Steam en précisant qu'il fait suite à une attaque par déni de service. Elle contactera l'ensemble des utilisateurs dont les données personnelles ont été affichées à autrui.

Il aura donc fallut attendre près d'une semaine pour que Valve réagisse réellement au souci rencontré par ses utilisateurs le soir de Noël. Pour rappel, le 25 décembre entre 21h et minuit (heure française) la plateforme a en effet présenté un comportement plus qu'anormal. La page principale de la boutique Steam s'affichait dans une autre langue que celle habituellement demandée par l'utilisateur. Et si à ce moment-là on cherchait à accéder aux détails de son propre compte, les informations d'un autre client étaient alors affichées à l'écran. 

Les données transmises étaient partielles mais néanmoins significatives. On pouvait ainsi voir en un clic leur adresse email, celle éventuellement liée à leur compte PayPal, leur historique de transaction, l'adresse de facturation, les quatre derniers chiffres du numéro de téléphone utilisé pour SteamGuard, ou encore les deux derniers chiffres de leur carte de paiement. Depuis cet évènement, Valve s'était simplement fendu d'un communiqué laconique distribué à quelques sites que l'on pourrait résumer ainsi : « Circulez, il n'y a rien à voir ».

Une attaque, mais surtout un problème de configuration

C'est donc hier soir que Valve s'est décidé à communiquer. L'occasion de fournir des explications plus détaillées, mais aussi des présenter (enfin) ses excuses au sujet de cet incident.

Tout a débuté de façon fort banale pour l'éditeur avec une attaque par déni de service (DoS) visant ses serveurs. « Des attaques contre la boutique Steam et Steam en général arrivent régulièrement, et les équipes de Valve s'en occupent seules ou avec l'aide de partenaires externes et typiquement, elles n'affectent pas les utilisateurs » assure la plateforme. 

Le soir du 25 décembre, le trafic vers la boutique Steam était selon Valve 20 fois supérieur à la moyenne observée pendant la période de promotions en cours. « En réponse à cette attaque spécifique, des règles de cache gérées par un partenaire [NDLR : un CDN, type Cloudflare] ont été déployées afin de minimiser l'impact sur les serveurs de la boutique et assurer que le trafic légitime soit bien assuré ».

Cela a fonctionné pour une première vague d'attaques, mais par la suite une deuxième phase d'assaut a pris le relais. Valve a alors déployé une deuxième configuration pour son cache, plus restrictive mais celle-ci était mal paramétrée et a mis en cache le trafic pour les utilisateurs authentifiés sur Steam. « Cette erreur de configuration a eu pour conséquence que certains utilisateurs voyaient des réponses de la boutique Steam qui étaient générées pour d'autres utilisateurs. »

Cela concernait donc l'ensemble des pages de la boutique, ce qui explique pourquoi certains la voyaient dans une langue étrangère, mais également la fameuse page de détails du compte.

Valve tente de limiter les dégâts

Deux cas se présentent alors selon Valve. Si pendant la période du bug vous avez tenté d'afficher des pages sur les sites ou le client de Steam, les informations qui vous étaient destinées ont pu être montrées à d'autres utilisateurs. Si vous n'étiez pas actif à ce moment-là, vos informations personnelles n'ont alors jamais pu être présentées à qui que ce soit d'autre.

De son côté, Valve assure travailler avec ses partenaires afin d'identifier l'ensemble des personnes concernées par ce problème afin de pouvoir les contacter personnellement. L'éditeur affirme également qu'étant donné qu'aucune action n'était possible sur les comptes d'un tiers lors de l'incident, il n'est pas nécessaire pour les utilisateurs concernés de changer leur mot de passe ou leurs moyens de paiement, ceux-ci n'ayant pas été compromis. 

Une communication qui arrive (trop ?) tard

Au vu de la panique générée par cette « erreur de configuration » et de ses conséquences apparemment très limitées, on se demande encore pourquoi Valve n'a pas réagi plus tôt, préférant laisser ses utilisateurs s'inquiéter de l'éventuelle compromission de leurs informations dans l'intervalle.

S'il faut parfois du temps pour comprendre les tenants et les aboutissants d'une panne, un service comptant plus de 125 millions de clients ne devrait pas les laisser sans aucune nouvelle pendant plusieurs jours, se contentant de distribuer un communiqué de quelques phrases à la presse spécialisée. D'autant plus dans une période d'affluence pour elle et quand il est question d'accès à des données personnelles.

Espérons que cette mésaventure serve de cas d'école, et surtout qu'elle serve aux équipes de Valve pour revoir leurs procédures pour cette nouvelle année.

29 commentaires
Avatar de Slash INpactien
Avatar de SlashSlash- 31/12/15 à 09:18:36

Signaler ce commentaire aux modérateurs :

En Valve time, ils ont communiqué plutôt rapidement je trouve !

Avatar de MaiEolia INpactien
Avatar de MaiEoliaMaiEolia- 31/12/15 à 09:27:32

Signaler ce commentaire aux modérateurs :

Slash a écrit :

En Valve time, ils ont communiqué plutôt rapidement je trouve !

Haha certain aurait dis HL3 confirmé :P

Avatar de 0xFlame INpactien
Avatar de 0xFlame0xFlame- 31/12/15 à 09:30:09

Signaler ce commentaire aux modérateurs :

faut pas leur en vouloirs, c'est les période festives, avec l'alcool forcément le temps de réaction diminue

Avatar de dieudivin INpactien
Avatar de dieudivindieudivin- 31/12/15 à 09:36:13

Signaler ce commentaire aux modérateurs :

Sur Steam, c'est PaySafeCard comme moyen de paiement uniquement. Pas de mauvaise surprise ni de données sensibles laissées sur leurs serveurs 

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 31/12/15 à 09:52:31

Signaler ce commentaire aux modérateurs :

"Pour nous faire pardonner on lance le chantier HL3"

On peut toujours rêver

Avatar de Xaelias INpactien
Avatar de XaeliasXaelias- 31/12/15 à 09:55:32

Signaler ce commentaire aux modérateurs :

Sur n'importe quel site, je ne stock jamais mes informations de contact (quoi que j'ai encore trouvé un site l'autre jour qui les stockait automatiquement, il faut les supprimer a posteriori). Du coup, au pire ils avaient les 2 derniers chiffres de mes précédents achats. Mais bon, sachant que je n'ai pas affiché mon compte sur cette période...

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 31/12/15 à 10:04:20

Signaler ce commentaire aux modérateurs :

Ça c'est l'ARG en cours via les soldes

Avatar de fullsun INpactien
Avatar de fullsunfullsun- 31/12/15 à 10:12:23

Signaler ce commentaire aux modérateurs :

que le 25? je l'ai eu encore après, le 28 environ 1h.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 31/12/15 à 10:18:34

Signaler ce commentaire aux modérateurs :

"Si vous n'étiez pas actif à ce moment-là, vos informations personnelles
n'ont alors jamais pu être présentées à qui que ce soit d'autre."
Ouf, j'ai échappé (sans le vouloir) au problème. 

Avatar de DarkMoS INpactien
Avatar de DarkMoSDarkMoS- 31/12/15 à 10:19:08

Signaler ce commentaire aux modérateurs :

En même temps s'il y aurait eu une vraie fuite de données ils auraient communiqué rapidement et activé la procédure de changement de mot de passe comme ils l'avaient fait début janvier.
Quand je vois que les premiers commentaires sur reddit étaient "how can we sue them?" je comprends qu'ils donnent pas trop de détails :p

Il n'est plus possible de commenter cette actualité.
Page 1 / 3