Depuis une heure, Steam se comporte de façon étrange chez beaucoup d'utilisateurs : connectés sur leur compte, ils se retouvent avec les infos de comptes tiers. Toutes les info : steam wallet, email, adresse complète, numéro de téléphone, compte associé paypal, les derniers numéros de la carte de crédit, ...

Autant dire qu'une joyeuse panique s'est installée, d'autant que Valve semble prendre son temps pour débrancher la prise. Selon SteamDB (non-affilié à Valve), il pourrait s'agir d'un simple problème de cache, mais un hacking n'est pas à écarter. En attendant d'en savoir plus, on ne saurait trop vous conseiller : De ne pas essayer de vous connecter sur votre compte Steam, que ce soit sur le web ou via le client Si vous avez l'imprudence d'utiliser le même mot de passe sur d'autres services, changez-le (sur les autres services, cf. supa) Si vous avez enregistré votre numéro de carte de crédit sur Steam, vous pouvez commencer à paniquer modérément : il semblerait qu'il ne soit pas possible d'effectuer des achats sur les comptes "substitués" Par mesure de précaution, supprimez l'autorisation d'achat Steam sur votre compte paypal : Settings -> Paiements préapprouvés -> Steampowered.com -> lien annuler Nous mettrons à jour cette actualité quand plus d'informations seront disponibles.

MAJ : Steam est désormais inaccessible.

MAJ 2 (CBL) : C'est déjà fini. On attend encore un communiqué de Valve mais apparement ce n'était pas un hack, c'était bien un soucis de cache et personne n'a acheté quoi que ce soit sans le consentement du détenteur du vrai compte (les rares screenshots qu'on peut trouver sont bidonnés).

MAJ 3 (CBL) : Un modo de Valve a confirmé les infos.

MAJ 4 (CBL) : Communiqué officiel de Valve : Steam is back up and running without any known issues. As a result of a configuration change earlier today, a caching issue allowed some users to randomly see pages generated for other users for a period of less than an hour. This issue has since been resolved. We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.

Lire la suite sur le site : [MAJ 4] Steamroulette russe.

"Nous mettrons à jour cette actualité quand plus d'informations seront disponibles."

BFMTornews :)

La BRI est sur place avec Fleur Pellerin.

Non non c'est pas un gros fail de sécu, juste un problème de cache qui affiche les numéros de téléphone, de mails, de carte de crédit et de compte paypal en clair à des inconnus....

The Real Phoenix a écrit :
Non non c'est pas un gros fail de sécu, juste un problème de cache qui affiche les numéros de téléphone, de mails, de carte de crédit et de compte paypal en clair à des inconnus....

Les cartes de crédit, je n'y crois pas une seconde.
Le compte paypal est généralement l'adresse email de quelqu'un, chose qui est déjà publique. Comme le numéro de téléphone au passage.

Fantastique GIF, tout à fait adapté !

CBL a écrit :

Le compte paypal est généralement l'adresse email de quelqu'un, chose qui est déjà publique. Comme le numéro de téléphone au passage.

Dans les options de paiements par paypal sur steam il y'a deux options tout de même, "Payer avec mon compte Paypal. " et "Payer avec un compte Paypal. ".
L'une des deux options permet de payer sans se loguer sur paypal et d'attendre la finalisation de la transaction pendant que la fenêtre steam est supposée se charger de tout, avec en prime l'option : "Acheter pour moi. " ou "Acheter pour offrir. " Steam devrait retirer cette possibilité de s'authentifier automatiquement sur Paypal avant d'essayer de nous obliger à rentrer un identifiant via smartphone ou je ne sais quoi d'autre.

Edit : Joyeuses Fêtes tout le monde.

wdaq a écrit :

CBL a écrit :

Le compte paypal est généralement l'adresse email de quelqu'un, chose qui est déjà publique. Comme le numéro de téléphone au passage.

Dans les options de paiements par paypal sur steam il y'a deux options tout de même, "Payer avec mon compte Paypal. " et "Payer avec un compte Paypal. ".
L'une des deux options permet de payer sans se loguer sur paypal et d'attendre la finalisation de la transaction pendant que la fenêtre steam est supposée se charger de tout, avec en prime l'option : "Acheter pour moi. " ou "Acheter pour offrir. " Steam devrait retirer cette possibilité de s'authentifier automatiquement sur Paypal avant d'essayer de nous obliger à rentrer un identifiant via smartphone ou je ne sais quoi d'autre.

Edit : Joyeuses Fêtes tout le monde.

Oui sauf que ça fonctionne avec un token unique, qui est généré avec le machine linkée dans steamguard. Du coup si quelqu'un devait usurper l'id, ça ne fonctionnerait pas.
Mais oui c'est l'option du fainéant qui pleurera le jour ou un gars malin trouvera un exploit, c'est certain.

Ca pue le damage control cette raison.

Même avec une gestion de big datas aussi importante que Steam, il n'y a aucune raison particulière de cacher une page qu'une seule personne consulte (la personne connectée), surtout quand elle contient des informations ultra-sensibles et toute une gestion de droits spécifique à l'utilisateur... et à plus forte raison qui n'est que très rarement consultée (par rapport au ratio de consultation de la home par exemple).

La PC Master Race vient de se faire piquer les clés de sa bagnole on dirait. Heureusement qu'il lui reste Origin et Uplay au garage...

zouz a écrit :
La PC Master Race vient de se faire piquer les clés de sa bagnole on dirait. Heureusement qu'il lui reste Origin et Uplay au garage à la décharge...

/Fixed ^^

"(sur les autres services, cf. supa)"

Hein ? Mes autres services sont privés, réservés aux abonnés premium, merci de ne pas trop en divulguer sinon j'vais encore avoir la brigade des moeurs aux fesses (sic).

bon ok, au moins je me dis que toutes ces années a me cassez les couilles avec un mot de passe individualisé pour chaque service que je considère comme critique, et a utilisé des numéro de carte bleue unique pour les achats en ligne n'auront pas été vain, Mais c'est quand même inquiétant de voir une telle bréche dans la sécurité, steam représente quand même pour pas mal d'utilisateur une grosse valeur en terme de bien en ligne, et ce genre d'aléas est assez effrayant.

Brèche ou pas, les utilisateurs devraient refuser systématiquement de stocker des informations aussi sensibles qu'un moyen de paiement. Tout ça pour ne pas taper 16 chiffre, une date et un cryptogramme. Ils pourraient aussi se dire que s'ils n'ont pas le courage de se lever pour aller chercher la CB s'ils ne connaissent pas la suite par coeur, c'est que ça ne vaut pas la peine d'être acheté.

La solution c'est le bitcoin.

Ahaha, les scams au portefeuille et aux bureaux d'échanges en témoignent XD

BeatKitano a écrit :
Ahaha, les scams au portefeuille et aux bureaux d'échanges en témoignent XD

Bientôt il y aura des portefeuilles hardware démocratisés et là plus de problèmes de sécu (sauf si tu perds ta clé, mais dans ce cas-là tu peux refroidir la grosse partie de ton pognon dans un service tierce, équivalent d'une banque). Et les bureaux d'échanges, c'est normal ça se met en place petit à petit. Les premierss bureaux d'échange n'avaient aucune expertise sur le sujet. Mt. Gox, le plus gros bureau avant, et le plus gros plantage, était une plateforme d'échanges de cartes Magic à l'origine et ensuite pilotée par un débile qui voulait assurer la sécurité de plus d'un milliard de dollars tout seul, avec une machine servant de réserve froide, connectée sur le net, et du PHP. C'est un peu comme vouloir avoir trois étoiles sur le guide Michelin avec seulement de la farine, des marshmallows et des smarties.

Une banque au Canada accepte déjà les bitcoins, donc si tu acceptes le niveau de sécurité d'une banque, ben ton échange devient aussi sécurisé que n'importe quel échange de devise. Une fois en possession de bitcoins, avec un portefeuille hardware, on peut plus rien pour te piquer tes thunes, contrairement au système actuel. Avec la techno blockchain, on parle quand même du système le plus sûr d'échange d'infos qui a jamais existé. Les plus grandes banques de la planète, y compris les banques qui servent de banques à d'autres banques, pensent que cette technologie est le futur du transfert d'infos en ligne, que ça soit directement comme Bitcoin, ou indirectement. IBM est déjà en train de bosser sur une techno basée sur la techno Bitcoin pour avoir un service plus généralisé.

Ensuite là on parle de la techno dans l'ensemble, mais dans le cas qui nous intéresse, c'est à dire une faille de sécurité Steam, Bitcoin aurait été 100% sécurisé. Bitcoin permet d'effectuer des transactions par le net en n'échangeant que des clefs publiques, donc 0 failles de sécurité possibles. Une carte bancaire, c'est un mélange de clef publique et clef privée. Quand on rentre les infos d'une carte bancaire en ligne, on entre à la fois la clef privée et la clef publique. Et après il y a plein de mécanismes tordus pour essayer de sécuriser ça, ce qui rajoute des intermédiaires et des points où il peut y avoir des failles.

Le système Bitcoins est tout sauf sécurisé. Le principe même du Bitcoin fait que c'est facile à piquer et qu'une fois que tu t'es fait voler, tu n'as que tes yeux pour pleurer car les transactions Bitcoin sont irréversibles. C'est l'équivalent en ligne de l'argent liquide/des bons au porteur. C'est justement pour cela qu'on en est à inventer des solutions matérielles : pour éviter de se faire voler son porte-feuille numérique.

CBL a écrit :
Le système Bitcoins est tout sauf sécurisé. Le principe même du Bitcoin fait que c'est facile à piquer et qu'une fois que tu t'es fait voler, tu n'as que tes yeux pour pleurer car les transactions Bitcoin sont irréversibles. C'est l'équivalent en ligne de l'argent liquide/des bons au porteur. C'est justement pour cela qu'on en est à inventer des solutions matérielles : pour éviter de se faire voler son porte-feuille numérique.

Tu ne vois pas le truc de la bonne façon. Une banque c'est un ensemble de services. Il y a un service de stockage sécurisé, un service de transaction, un service d'assurance, etc... En gros du tout en un. Bitcoin est un protocole qui assure le stockage sur un porte-feuille et les transferts. Ce système est ultra sécurisé. Il est quasi atomique. Si tu prends le risque de l'utiliser directement, tu prends alors la responsabilité d'assurer par toi-même des services qui sont assurés par les banques d'habitude. Si par contre tu utilises des services tiers proposés par des entreprises pour assurer ces services à ta place, ben tu retombes dans une situation de sécurité personnelle. La différence sera que tu auras le choix d'assurer toi-même le taf' d'un ou plusieurs de ces services, le choix du prestataire de service, et que le système reposera sur une techno ultra sécurisée et non centralisée.

En plus on voit pas la face cachée du système carte bancaire. Dans certains pays, c'est possible d'annuler un paiement par carte bancaire jusqu'à une semaine après. Ce n'est pas la seule faille du système et je crois avoir lu que les pertes pour les commerces en ligne sont très loins d'être négligeables chaque mois, et tout ça à cause d'un système pété fondamentalement.

Si on parle de Paypal, ben Paypal reste un intermédiaire et prend parfois des décisions politiques ou fait exécuter des décisions politiques. Paypal est loin d'être une plateforme neutre, la société a de nombreuses fois bloqué l'accès à l'argent dans des situations où elle ne savait pas se positionner ou où elle était idéologiquement opposée. Cet intermédiaire aussi un coût important en pour les entreprises qui l'utilisent, un coût en sécurité puisque c'est quand même un intermédiaire important, un coût en complexité, etc...

Pour faire simple : le système bancaire repose sur un système pété de failles (rien que le système de carte bancaire et de chèques sont des abérrations), tu n'as quasi pas le choix des services et tu dois beaucoup payer même si tu le veux pas (tu payes pour de l'argent virtuel qui circule entre des pays, entre des banques, etc...), tout en sachant que du jour au lendemain, la banque peut te bloquer l'accès à cet argent, ou que l'état peut défoncer la valeur de ton argent. Le Bitcoin t'assure que personne ne peut contrôler directement la valeur de l'argent ou son accès.

MrPapillon a écrit :

CBL a écrit :
Le Bitcoin t'assure que personne ne peut contrôler directement la valeur de l'argent ou son accès.

Si on considère que Bitcoin est effectivement dirigé par tout le monde et personne... ce qui... ahah. Non on va encore me traiter de parano :)
Renseigne toi donc sur les attaques Sybil... c'est comme Tor cette histoire, pas très net... soit un magnifique systeme de Ponzi qui fonctionne parce que les gens sont très cons, soit carrément une arme économique.