Steam : Valve s’explique sur l’incident du 25 Décembre 2015

Steam logo

Le 25 Décembre dernier, Steam, la plateforme de distribution de Valve, subissait quelques problèmes avec les comptes des utilisateurs. Nous avions appris qu’il s’agissait d’un problème de cache, mais Valve ne s’était pas encore exprimé officiellement sur le sujet, jusqu’à aujourd’hui.

En effet, il y a 5 jours maintenant, les utilisateurs de Steam pouvaient avoir accès aux détails de n’importe quel autre compte de la bibliothèque virtuelle. Et bien que le problème ait été résolu en quelques heures, les utilisateurs demandaient une explication sur ce qu’il s’était passé.

Aujourd’hui, Valve répond à cette demande :

Ce qu’il s’est passé :

Le 25 Décembre, une erreur de configuration a donné l’accès à certains utilisateurs à des pages du Store de Steam générées pour d’autres utilisateurs. Entre 20h50 et 22h20, des pages du store ont été générées pour environ 34000 utilisateurs, contenant des informations personnelles sensibles et visibles par d’autres utilisateurs que celui ciblé.
Le contenu de ces pages varie mais il pouvait proposer les adresses de facturation des utilisateurs, les 4 derniers chiffres de leur numéro de téléphone de sécurité, l’historique de leurs achats, les deux derniers chiffres de leur numéro de carte de crédit et leur adresse mail. Ces requêtes mises en cache ne contenaient pas les numéros de carte de crédit entiers, les mots de passe ou les informations nécessaires pour se connecter sur un autre compte ou acheter quelque chose avec cet autre compte.
Si vous n’avez pas parcouru de page du Store Steam en allant sur vos informations personnelles (telles que votre compte ou le fait d’avoir effectué un achat) pendant cet incident, alors vos informations n’ont pas pu être vues par un autre utilisateur.
Valve travaille actuellement avec notre partenaire de Cache Web afin d’identifier les utilisateurs dont les informations ont été utilisées par d’autres utilisateurs, et nous contacterons tous ceux identifiés. Comme aucune action non-autorisée n’a été permise sur les comptes, au delà de l’affichage de la page d’information en cache, aucune action supplémentaire n’est requise par les utilisateurs.

Concrètement, il s’agissait bien d’un problème de cache qui a permis à des utilisateurs de voir des informations, mais pas de les utiliser. Et si jamais certains utilisateurs avaient pu les utiliser, Valve est en train de les traquer et contactera les personnes concernées.

Comment cela est-il arrivé ?

Le matin du 25 Décembre, le Store de Steam a été la cible d’attaque DoS qui ont empêché l’accès des page du Store aux utilisateurs. Les attaques envers le Store et envers Steam en général, sont régulières et Valve s’en occupe directement et indirectement avec l’aide de compagnies spécialisées, et normalement, cela n’impacte pas les utilisateurs de Steam. Pendant cette attaque du 25 Décembre, le trafic vers le Store a augmenté de 2000% par rapport à la normale durant des soldes.
En réponse à cette attaque, les règles de mise en cache, gérées par un partenaire de Cache Web, ont été déployées pour minimiser l’impact à la fois sur les serveurs du Store de Steam et sur le trafic des utilisateurs légitimes. Au cours de la deuxième vague d’attaque, une deuxième configuration de la mise en cache a été déployée mais elle ne mettait pas en cache correctement les informations des utilisateurs authentifiés. Cette erreur de configuration a permis à certains utilisateurs de voir les réponses du Store générées pour d’autres utilisateurs. Ces réponses du Store incorrectes variaient d’un utilisateur à un autre et pouvaient aller à afficher le Store dans une autre langue ou à afficher le compte d’un autre utilisateur.

En gros, vous cliquiez pour avoir accès à votre compte via le Store ? Et bien c’est un autre utilisateur qui recevait votre réponse et donc votre page, dans votre langue. Quel chantier !

Une fois que cette erreur a été identifiée, le Store a été fermé et une nouvelle configuration de mise en cache a été déployée. Le Store est resté fermé jusqu’à ce qu’on revoit toutes les configurations de mises en cache. Ensuite nous nous sommes assurés que les dernières configurations soient déployées sur tous les serveurs partenaires et que toutes les données mises en cache sur les serveurs avaient été purgées.
Nous continuerons à travailler avec notre partenaire Web de mise en cache afin d’identifier les utilisateurs affectés et pour améliorer le processus de mise en cache. Nous nous excusons auprès de tous ceux dont les informations personnelles ont été exposées à cause de cette erreur et pour avoir interrompu le service du Store de Steam.

source : Steam

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *