Bonne nouvelle : 89 millions de comptes Steam n'ont pas été piratés

Valve vient de mettre les choses au clair. La panique s'est emparée de l'opinion publique à la suite d'une publication virale sur LinkedIn affirmant que plus de 89 millions de comptes Steam avaient fait l'objet d'une fuite et qu'ils étaient en vente sur le dark web.

Mais Valve affirme que tout cela est faux.

"Nous avons examiné l'échantillon de la fuite et avons déterminé qu'il ne s'agissait PAS d'une violation des systèmes Steam.

C'est ce qui ressort de la nouvelle déclaration de Valve, publiée après une vague d'inquiétude alimentée par Underdark.ai et reprise par l'utilisateur X Mellow_Online1. Les revendications semblaient sérieuses - échantillons de données, contact Telegram, prix demandé de 5 000 dollars - mais la réalité? Pas vraiment.

Qu'est-ce qui a fuité?

Les fichiers qui ont fait le tour n'étaient pas remplis d'identifiants ou de mots de passe. Il s'agissait d'anciens journaux de SMS, en particulier les messages textuels contenant les codes 2FA à usage unique de Steam. Vous savez, ces numéros à six chiffres que vous obtenez lorsque vous vous connectez.

Selon Valve, ces codes sont

• ne sont valables que pendant 15 minutes
• ne sont pas liés à des identifiants de compte, des mots de passe ou des informations de paiement
• Ne contiennent rien d'autre qu'un numéro de téléphone.

Ainsi, même si quelqu'un a eu accès à ces textes, ils sont pratiquement inutiles. Il n'y a aucun moyen de se connecter à votre compte Steam sans ce code en temps réel et votre mot de passe, et si un code est utilisé pour modifier quelque chose d'important, Steam envoie également une confirmation à votre courrier électronique.

"Les anciens messages textuels ne peuvent pas être utilisés pour violer la sécurité de votre compte Steam", souligne Valve.

Pas de panique. Inutile de changer votre mot de passe ou votre numéro de téléphone.

Valve n'a jamais été victime d'une intrusion, pas plus que Twilio

Les théories précédentes pointaient du doigt Twilio, une société connue pour gérer les SMS dans le cadre de l'authentification à deux facteurs. Mais Valve et Twilio ont tous deux confirmé que cette fuite n'avait rien à voir avec eux.

Les données semblent provenir de plus loin dans la chaîne de livraison des SMS, d'un fournisseur tiers qui s'occupe de la livraison des messages. Il ne s'agit donc pas d'une violation de Steam ou de ses systèmes d'authentification. Il s'agit d'une fuite d'anciens journaux de livraison, probablement récupérés ou récupérés de seconde main.

Même si votre mot de passe est sûr, il est toujours utile de revoir votre configuration de sécurité Steam:

• Activez Steam Guard Mobile Authenticator pour une meilleure protection 2FA.
• Passez en revue vos appareils autorisés pour vous assurer qu'il n'y a rien de louche.
• Utilisez un gestionnaire de mots de passe (comme 1Password ou Bitwarden) pour générer des mots de passe uniques et sécurisés.

Les codes SMS n'ont jamais été qu'un pis-aller. De nos jours, le 2FA mobile de Steam est bien plus sûr et bien plus difficile à intercepter ou à falsifier.

Et sérieusement, si vous tapez encore "dota2rocks" comme mot de passe, il est temps de mettre ce mauvais garçon à la retraite.

Vous vous souvenez des premiers scam bots?

Toute cette pagaille nous rappelle également les jours sombres de Steam, dans la première moitié des années 2010, lorsque les escroqueries commerciales étaient monnaie courante et que les bots envoyaient des spams dans votre boîte de réception avec des liens douteux tels que: "Hey, est-ce que c'est ton article?

"Hé, c'est votre objet? Vérifiez stearncommunity(dot)com"

Oui, c'est vrai. Ils utilisaient une coquille sournoise - "stearn" au lieu de "steam" - et trompaient des milliers de personnes. À l'époque, les robots d'escroquerie abusaient constamment du système de chat et d'échange de Steam. Les utilisateurs recevaient de fausses offres ou alertes, cliquaient sur de mauvais liens et perdaient l'accès à des inventaires entiers remplis de skins CS:GO.

Comparée à cette époque, cette fausse brèche semble bénigne. Mais elle nous rappelle que les escrocs n'ont pas disparu. Ils sont simplement devenus plus subtils.

Non, 89 millions de comptes n'ont pas été piratés. Non, votre bibliothèque Steam n'est pas menacée. Mais si cela a provoqué un petit pic de fréquence cardiaque, c'est peut-être l'occasion de revérifier vos paramètres et de renforcer les choses.

Steam Guard. Mots de passe sécurisés. Ne pas cliquer sur des liens Telegram au hasard. Vous connaissez la marche à suivre.

Et au moins, cette fois-ci, personne n'a eu à regarder tout son stock de couteaux Doppler disparaître sur le compte d'un escroc.