Steam : Un bug vieux de dix ans permettait aux hackers de contrôler votre PC

Sécurité

Par Henri le

Même les sites réputés les plus fiables sont exposés à des menaces. C’est le cas de Steam, qui a laissé pendant des années une porte ouverte aux pirates.

La plus célèbre plateforme de jeux en ligne n’est pas infaillible, et cette nouvelle le montre à nouveau. En effet, un bug datant d’une dizaine d’années a récemment été découvert, et permettait à des hackers de contrôler l’ordinateur de sa victime à distance.

Une faille permettant de prendre le contrôle d’un PC à distance

C’est Tom Court, un chercheur de la firme Context (spécialisée dans la sécurité informatique) qui a découvert le pot aux roses. En cherchant dans le code informatique « très ancien » du client, il a découvert une faille qui laissait la possibilité aux hackers d’exécuter des commandes à distance sur n’importe quel ordinateur. Le service totalisant environ 125 millions d’utilisateurs, et environ 15 millions en ligne à n’importe quel moment, de nombreux joueurs ont été exposés à cette menace.

Pour prouver ses dires, Court a publié une vidéo éloquente. Dans cette dernière, il arrive (grâce à Steam) à ouvrir l’application Calculatrice d’un ordinateur tiers sous Windows 10 et parfaitement mis à jour.

Il explique sa trouvaille dans le détail sur le blog de Context, mais le problème se situe dans la manière dont Steam communique par internet et vérifie des paquets de données spécifiques.

Valve n’a pas mis longtemps à réagir. Court leur a soumis le bug le 20 février et 8 heures plus tard, un premier fix était appliqué. Il n’était plus possible de prendre le contrôle du PC, mais cela le faisait crasher. Il a néanmoins fallu attendre le 22 mars pour qu’une mise à jour élimine complètement le problème.

Le journal des modifications paru en avril remercie d’ailleurs Court pour son travail, ce qu’il mérite amplement. Ce dernier conclut que la morale de l’histoire montre qu’il faut sans cesse s’assurer qu’un code qui marche bien respecte les nouveaux standards de sécurité. Il félicite également Valve pour la rapidité de sa réaction.