Steam piraté ? Changez tout de suite votre mot de passe

Certaines informations de votre compte Steam se trouvent peut-être dans la nature. Il est conseillé de changer votre mot de passe et d'activer l'authentification à double facteur.

Alerte fuite de données ! Sur le dark web, un pirate prétend avoir subtilisé les informations Steam de 89 millions d'utilisateurs, qu'il revend pour la modique somme de 5 000 dollars US. Les données ne proviennent pas d'une vulnérabilité de Steam directement, mais de son partenaire Twilio, un service tiers utilisé par la plateforme pour envoyer des codes d'authentification à double facteur (2FA) par message. Il reste que Twilio a accès à certaines de vos données Steam, et qu'il peut être utile de s'en inquiéter.

Le journaliste indépendant MellowOnline1, qui s'intéresse de près à tout ce qui touche à Steam, rappelle que si ce chiffre de 89 millions de joueurs concernés se confirme, cela représente environ les deux tiers des comptes existants. Si vous avez un jour reçu un code d'authentification à double facteur de la part de Steam, il est probable que vos données aient été volées.

Protégez votre compte Steam

Le pirate explique qu'il a accès aux codes 2FA envoyés aux joueurs par Steam par l'intermédiaire de Twilio, leur statut de livraison (si le message a bien été envoyé ou non), aux métadonnées de ces messages (incluant les horodatages et les numéros de téléphone des destinataires), aux coûts de routage engendrés par la diffusion des codes, ainsi qu'à d'autres informations.

Le risque encouru est encore difficilement mesurable, surtout que le pirate n'a pas forcément communiqué l'ensemble des données qui ont fuité. Les codes 2FA ont sans doute déjà expiré et ne semblent pas être exploitables. Mais étant donné que les numéros de téléphone auxquels sont envoyés les codes 2FA par SMS font partie de la base de données, on peut notamment craindre une campagne de phishing de grande envergure à venir visant à récupérer les mots de passe et autres données sensibles.

Il est recommandé aux utilisateurs d'activer l'authentification à deux facteurs sur leur compte et de changer leur mot de passe actuel (et des autres comptes qui utilisent le même mot de passe si vous avez cette mauvaise pratique). Tant qu'à faire, choisissez un mot de passe robuste ou passez par un gestionnaire de mots de passe.