La célèbre plateforme de distribution de contenu en ligne Steam vient de devenir la cible de tous les regards après qu’un chercheur ait découvert un bug qui a rendu vulnérable pas moins de 125 millions d’utilisateurs et ce, pendant 10 ans.
Les aventures de Tom Sauveur
C’est le chercheur Tom Court, un employé de la société Context spécialisée dans la sécurité informatique, qui a découvert ce fameux bug à la suite d’un simple crash. Conscient de la dangerosité d’une telle vulnérabilité, Tom a tout de suite prévenu la plateforme Steam qui a réparé le bug en moins de 12 heures.
Le jeune chercheur a ensuite publié un article nous expliquant l’origine et l’impact d’une telle vulnérabilité. Il s’agissait d’un problème dans l’exécution de code distant (RCE) ce qui permettait à quiconque connaissant cette faille de contrôler à distance le PC d’un utilisateur connecté sur la plateforme. Étant donné que Steam compte pas loin de 15 millions d’utilisateurs connectés simultanément pour 125 millions de comptes enregistrés, la menace aurait pu prendre des proportions astronomiques.
Qu’une telle faille puisse passer inaperçue pendant près de 10 ans aux yeux d’une société aussi importante que Steam donne la chair de poule. Autant vous dire que les conséquences d’une telle vulnérabilité auraient pu être désastreuses si un hacker avait mis ses mains dessus. Finalement, le danger est écarté et aucun dommage n’a été à déplorer, mais une telle annonce peut donner matière à réfléchir.
Pour conclure, Tom Court a adressé un important message aux développeurs :
Le code vulnérable était probablement très vieux, mais comme il était en bon état de fonctionnement, les développeurs n’ont pas trouvé de raisons de mettre à jour leurs scripts. La leçon ici c’est qu’en tant que développeur, il est important d’inclure périodiquement des systèmes de génération de code vieillissants dans vos évaluations afin de vous assurer qu’ils sont conformes aux normes de sécurité modernes, même si le code fonctionne toujours de la même manière. Le fait qu’un bug aussi simple avec des conséquences aussi sérieuses ait pu exister au sein d’une plateforme de distribution aussi célèbre pendant autant d’années peut surprendre en 2018. Et cela devrait servir d’encouragement à tous les chercheurs en sécurité afin de trouver et de signaler ces vulnérabilités !
Les failles existeront toujours, on peut saluer la promptitude de la correction moins de 12 heures.
Après bien naïfs ceux qui pensent qu’il ne risque rien sur le net, et quand bien même des hackers auraient profiter de cette faille, je pense que steam aurait réagit en conséquent.
Merci pour les éclaircissement.
"qui permettait à quiconque connaissant cette faille de contrôler à distance le PC d’un utilisateur connecté sur la plateforme."
Controler ? c’est a dire ? comment, par quel interface , avec quel moyens/outils/commandes et quelle profondeur dans le kernel ?
Si il s’agit de preserver windows10 on se fend la poire ! pas besoin de trrouver des exploits, MS a deja tout mis a dispo des porte monnaies.
Et sinon, dans les milliers de jeux de m.**(et meme des bonnes m**.) distribués, la plateforme steam ouvre combien de "breches à exploir" potentielle par jour ?
par contre brrr ca fait peur, vite vivons dans la terreur permanente… Un pean qui tremble ets un pêant docile.