Des fonds d’écran Wallpaper Engine infectés, publiés sur Steam Workshop, pourraient voler des comptes Steam depuis des mois, les attaquants utilisant ensuite les profils compromis pour diffuser de nouveaux contenus malveillants. La menace est réelle, mais Kaspersky, à l’origine de l’alerte, reste lui-même entouré d’un lourd passif : les médias hongrois Telex et 444 ont également traité des accusations issues du renseignement américain selon lesquelles les services secrets russes auraient pu utiliser les logiciels de l’entreprise pour espionner.

Imaginez installer un fond d’écran animé, le voir fonctionner parfaitement, puis constater quelques minutes plus tard que votre compte Steam a disparu. C’est ce qui pourrait se produire depuis des mois sur Steam Workshop, alors que de nombreuses victimes ignorent sans doute encore l’origine du problème. Tout part de la populaire application Wallpaper Engine, qui permet de créer, de personnaliser et d’utiliser des arrière-plans animés et interactifs. Des attaquants ont exploité l’une de ses fonctions en publiant des fonds d’écran qui étaient en réalité des programmes exécutables lancés directement sur le bureau de l’utilisateur.

Selon les données de SteamDB, plus de 100 000 personnes utilisent Wallpaper Engine chaque jour, ce qui fait de Steam Workshop une cible évidente pour les individus cherchant à s’emparer de comptes de joueurs. Le problème concerne les fonds d’écran appelés Application, qui ne sont pas de simples images ou animations, mais de véritables programmes exécutables. Kaspersky affirme que les attaquants exploitent cette méthode depuis au moins la fin de l’année 2025, en mettant gratuitement en ligne des fonds d’écran infectés et en profitant de filtres insuffisants chez Valve. Plusieurs des paquets identifiés avaient déjà été téléchargés des milliers, voire des dizaines de milliers de fois, alors que le fond d’écran semblait se lancer et s’animer normalement.

Lorsqu’un paquet infecté est installé, les attaquants peuvent placer sur l’ordinateur de la victime un programme caché nommé Synaptics.exe, accompagné d’une version modifiée de la bibliothèque système AggregatorHost.dll. Ces éléments fonctionnent en arrière-plan, localisent le client Steam installé, accèdent aux données de session actives puis les transmettent à des serveurs contrôlés par les attaquants. Le compte volé peut ensuite servir à publier de nouveaux contenus infectés sur Workshop, permettant ainsi à la campagne de se propager d’elle-même. L’enquête de Kaspersky a mis au jour des portes dérobées DarkKomet, des voleurs de données Lumma et Vidar, des mineurs de cryptomonnaies, des ransomwares et des outils liés à des réseaux de machines infectées pilotées à distance.

Selon les chiffres mentionnés dans le rapport, 89 % des tentatives d’infection détectées étaient concentrées en Chine, suivie par la Russie avec 5,5 %. Une grande partie des fonds d’écran cherchait à attirer des joueurs de ces régions, mais la méthode elle-même n’est pas limitée à un pays, et plusieurs groupes indépendants pourraient l’utiliser. Kaspersky estime donc qu’il ne s’agit pas d’une seule campagne ou d’un seul groupe criminel, mais de plusieurs acteurs exploitant la même faiblesse au sein de Steam Workshop.

L’avertissement comporte toutefois une complication particulièrement gênante. La presse hongroise, notamment Telex et 444, a déjà relaté des accusations issues du renseignement américain selon lesquelles les logiciels de Kaspersky auraient pu être utilisés par les services secrets russes à des fins d’espionnage. Il ne faut pas traiter cela comme un fait établi, mais comme une accusation grave de nature renseignementielle que Kaspersky a toujours démentie. Cela ne rend pas la menace des fonds d’écran malveillants sur Steam Workshop moins documentée sur le plan technique, mais l’entreprise qui tire la sonnette d’alarme porte elle aussi un sérieux passif en matière de crédibilité.

La bonne nouvelle est que Steam a retiré les fonds d’écran infectés identifiés dans le rapport de Kaspersky. Le danger n’a toutefois pas disparu définitivement, car de nouveaux paquets peuvent être publiés sur Workshop à tout moment. Ceux qui continuent à télécharger du contenu pour Wallpaper Engine devraient s’en tenir à des créateurs fiables, analyser les fichiers avec un antivirus avant leur installation et se montrer particulièrement prudents face à tout fond d’écran indiqué comme étant de type Application. Il ne s’agit pas de simples éléments visuels, mais de programmes capables de lancer du code exécutable directement sur un PC.

Source : 3DJuegos, Tom’s Hardware