Menu

Valve a corrigé une faille de sécurité dans nos portefeuilles Steam !

TECH ACTUS – Un chercheur en sécurité a remarqué une faille de sécurité dans le système de Valve, et la société de Gabe Newell l’a payé pour sa découverte.

 

Valve avait une faille qui aurait pu frapper de manière significative les revenus de l’entreprise, car si plus de gens étaient au courant, alors les portefeuilles de Steam auraient contenu beaucoup plus d’argent qu’ils n’étaient censés le faire. En bref, la faille permettait à n’importe qui de falsifier le montant que le porte-monnaie contenait. Par exemple, on aurait pu transformer un dépôt d’un dollar en un dépôt de cent dollars, soit une différence de 100x… et comme Valve dépense aujourd’hui beaucoup d’argent pour fabriquer le Steam Deck, cela leur aurait fait très mal.

Comment cet exploit a-t-il pu être utilisé ? Il a été réalisé en changeant l’adresse électronique du compte par une adresse comprenant “amount100″, puis en interceptant un message destiné à l’API d’une société de paiement (Smart2Pay). En effectuant ces deux opérations, il était possible de falsifier le montant du porte-monnaie.

La description de ce piratage a ensuite été publiée sur le site HackerOne, un site de primes pour les pirates blancs, sous le nom de drbrix (ne vous inquiétez pas, les pirates blancs sont des pirates éthiques qui informent l’entreprise dont ils ont découvert les failles. Donc rien de nuisible). Valve a remarqué le problème et s’est penché sur l’affaire pour voir s’ils peuvent recréer le défaut.

Drbrix a d’abord signalé le bug comme une priorité ” moyenne “, en disant : ” Je pense que l’impact est assez évident, un attaquant peut générer de l’argent et casser le marché de steam, vendre des clés de jeu à bas prix, etc. ” (Il ne s’agirait donc pas seulement de la revente sur le marché GRIS mais sur le marché NOIR, étant donné que les clés auraient été créées pour une fracture du prix…) Valve a ensuite testé l’exploit, essayé un correctif, et par la suite mis le bug à un niveau de gravité “Critique”. Il a été suivi d’un versement de 7500 USD, “reflétant le coût potentiel pour l’entreprise”. Nous espérons entendre davantage parler de vous à l’avenir”, a déclaré le personnel de Valve.

“Grâce à la personne qui a signalé ce bug, nous avons pu travailler avec le fournisseur de paiement pour résoudre les problèmes sans aucun impact sur les clients”, a déclaré Valve à The Daily Swig. Ils n’ont toutefois pas précisé si quelqu’un avait abusé de cet exploit potentiel.

Source : PCGamer

Spread the love

No comments

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.