[Données personnelles] Steam communique enfin sur le fiasco du 25 décembre

Par Corentin le

steam-cover

Le 25 décembre, vous en aurez peut-être été victime, un immense dysfonctionnement de Steam a permis aux utilisateurs connectés au magasin de voir aléatoirement les pages en cache d’autres utilisateurs, également connectés. La situation a duré 90 minutes et seuls les 34 000 utilisateurs connectés au magasin entre 20 h 50 et 22 h 20 (heure de Paris) ont pu être victimes de ce partage involontaire d’informations. Des témoignages rapportent qu’il était possible de cliquer sur le profil de ces pages afin d’avoir accès à des informations personnelles telles que l’historique des achats, les deux derniers numéros de la carte de crédit enregistré, l’email relié au compte PayPal ou les 4 derniers numéros du numéro de téléphone.

Ces informations ne sont pas si dommageables que cela, direz-vous, et c’est vrai. Le problème, c’est que si le compte auquel vous aviez accès possédait un objet dans son panier, vous pouviez alors aller jusqu’à la page d’achat sur laquelle était affiché le nom complet, l’adresse postale complète et le numéro de téléphone complet de l’utilisateur. Heureusement, il ne s’agissait que de pages en cache et donc, par définition, en lecture seule. Impossible donc de procéder à un achat ou à une modification du compte.

Depuis ce jour, Valve a procédé à un silence radio inquiétant. Ce manque de communication a évidemment énervé une partie des utilisateurs qui reproche, et ce n’est pas la première fois, l’opacité du fonctionnement de la plateforme.

Hier soir, Valve s’est finalement décidé à publier un communiqué pour expliquer ce qu’il s’était passé. L’éditeur a expliqué qu’étant donné la nature du problème et l’impossibilité de modifier les informations sur les profils redus visibles par des tiers, aucune action de la part des utilisateurs n’était demandée.

La cause du problème serait due aux préventions mises en place par le service pour gérer la traditionnelle attaque DDoS qui a lieu le jour de Noël. Valve précise ainsi que cette année, les demandes de connexions ont bondi de 2 000 % par rapport au trafic traditionnel observé durant des soldes Steam.
Pour gérer la situation, un système de cache renforcé a été mis en place pour participer à soulager les serveurs et à assurer la continuité du service pour les connexions légitimes.

« Au moment de la seconde vague de cette attaque, une seconde configuration de cache a été déployée. Elle a mis en cache le trafic web des utilisateurs de manière incorrecte. La résultante de cette erreur de configuration a été la possibilité pour certains utilisateurs de voir les réponses du magasin Steam initialement générées pour d’autres personnes. »

Valve annonce également qu’il procédera à l’identification des personnes qui ont été victimes de ce dysfonctionnement. L’éditeur les contactera pour les informer des informations qui ont pu être rendues visibles durant cet incident.

stopwatch 4 min.