Une faille rendait le code source des profils Steam trop bavards

Nos confrères de chez ArsTechnica ont découvert une faille de sécurité touchant le site Steam Community. Celle-ci ne mettait pas en danger les comptes, mais permettait d'accéder à certaines informations privées, telles que le titre des jeux possédés. Maintenant que cette vulnérabilité est corrigée, l'équipe d'Ars Technica la détaille. 

Aucune information de paiement n'est concernée par la faille

Cette faille permettait d'atteindre l'ensemble des informations disponibles sur un profil « Steam Community », et ce même si l'utilisateur ne l'avait rendu visible qu'à ses amis ou avait complètement verrouillé son accès. La procédure était assez simple, puisqu'il suffisait de se rendre sur la page du profil que l'on souhaitait observer, appuyer sur F12 et tout lire en clair dans le code source.

En ajoutant "/games/?tab=all" à la fin de l'URL de la page de profil, on pouvait par exemple accéder à l'ensemble de la liste des jeux possédés par l'utilisateur. Notre confrère d'ArsTechnica est donc un mordu de Civilization IV, de la série Grand Theft Auto, et de Call of Duty Black Ops II, comme le montre ce PasteBin qu'il a mis à disposition. Il y a certes un peu de ménage à faire pour s'y retrouver, mais à partir de la ligne 30 apparaissent clairement divers titres comme Arma II Operation Arrowhead ou Saints Row The Third.

La démarche peut être reproduite pour nombre de pages, comme celles affichant les trophées obtenus pour chaque jeu. Ainsi sur son profil pourtant rendu privé, notre confrère est parvenu à exhiber tous ses exploits accomplis sur Portal 2 en ajoutant "stats/Portal2/?tab=achievements" à la fin de l'URL de son profil. Cette fois-ci pas besoin de fouiller dans le code source, le site se met à parler tout seul et affiche tout comme si de rien n'était. Grâce à cette page, il est possible de connaître assez précisément quand le joueur a profité de tel titre, et pendant quelle durée ces deux dernières semaines. 

Enfin, l'ajout de "/badges/" au bout de l'URL d'un profil permettait également de savoir si un compte Steam était lié à Facebook, ou si cet utilisateur avait des amis sur la plateforme, ou encore s'il affichait son nom réel sur son profil. La combinaison entre l'identité du joueur et la présence d'un compte Facebook attaché pouvait alors permettre à une personne malveillante d'en savoir un peu plus sur celui-ci, pour peu que ses paramètres de confidentialité sur le réseau social ne soient pas correctement réglés. 

Fort heureusement, prévenues lundi par nos confrères, les équipes de Valve n'auront mis que trois heures à colmater la brèche. Il n'est donc plus possible d'accéder impunément aux informations d'un profil marqué comme privé. Cependant, l'éditeur n'a pour le moment mentionné nulle part l'existence ou la correction de cette faille.