Dans la nuit du 25 au 26 décembre derniers, les utilisateurs de Steam ont été confrontés à un bug provoquant l'affichage sur le service de données personnelles autres que les leurs. Dans un message récemment publié, Valve a tenu à expliquer ce qui s'est réellement passé.
À lire aussi : STEAM : L'UFC-Que choisir assigne Valve en justice
Sur le site officiel de Steam, Valve a tenu à revenir sur les causes et les conséquences du bug de cache subi par sa plate-forme de jeu. D'après la société de Gabe Newell, le bug s'est manifesté entre 20h50 et 22h20 (heure de France) le 25 décembre dernier et a provoqué l'affichage erroné chez environ 34.000 utilisateurs de Steam de pages contenant des informations personnelles d'autres utilisateurs.
Selon Valve, sont uniquement concernées par les conséquences de ce bug les personnes qui ont consulté pendant ce laps de temps une page du Magasin Steam sur lesquelles sont affichées des données personnelles (comme la page de compte ou celle de checkout d'un achat par exemple). Les informations personnelles d'utilisateurs de Steam qui n'ont pas consulté ce type de page pendant cette période n'ont pas pu être vues par d'autres personnes.
Contrairement à ce qu'il était possible de penser initialement, ce bug n'est pas sorti de nulle part. D'après le géant américain, ce dysfonctionnement a été provoqué par les mesures de réponse faites par lui et ses partenaires à une attaque de déni de service (DoS) subie par Steam :
Tôt dans la matinée de Noël (Heure du Pacific), le Magasin Steam a été la cible d'une attaque DoS qui empêchait l'affichage de pages du magasin chez les utilisateurs. Les attaques contre le Magasin Steam, et Steam d'une manière générale, sont monnaie courante et Valve s'en occupe à la fois directement et avec l'aide de sociétés partenaires sans que les utilisateurs de Steam soient généralement touchés. Pendant l'attaque de Noël, le trafic vers le Magasin Steam a connu une hausse de 2000% par rapport au trafic moyen pendant les Soldes Steam.
En réponse à cette attaque spécifique, les règles en matière de cache gérées par un partenaire de Steam dans le domaine du "web caching" ont été déployées afin de minimiser l'impact sur les serveurs du Magasin Steam et de continuer de diriger le trafic légitime des utilisateurs. Pendant la seconde vague de cette attaque, une seconde configuration de cache a été déployée et cette dernière a mis en cache le trafic web des utilisateurs authentifiés de manière incorrecte. Cette erreur de configuration a provoqué chez certains utilisateurs l'affichage de réponses du Magasin Steam générées pour d'autres utilisateurs. Les réponses incorrectes du Magasin allaient de l'affichage de la page principale du Magasin dans une mauvaise langue, à l'affichage de la page de compte d'un autre utilisateur.
Une fois que cette erreur a été identifiée, le Magasin Steam a été fermé et une nouvelle configuration de mise en cache a été déployée. Le Magasin Steam est resté hors ligne jusqu'à la bonne réception de toutes les configurations de mise en cache et jusqu'à la bonne réception de la confirmation que les dernières configurations avaient été déployées sur tous les serveurs partenaires et que toutes les données mises en cache sur les serveurs edge avaient été purgées.
Avec nos partenaires en matière de web caching, nous allons continuer à travailler à l'identification des utilisateurs touchés ainsi qu'à l'amélioration du processus qui sera utilisé à l'avenir pour mettre en place les règles en matière de mise en cache. Nous présentons nos excuses à toutes les personnes dont les données personnelles ont été affichées à cause de cette erreur, et présentons nos excuses pour l'interruption de service du Magasin Steam.
Valve précise que ce bug ne permettait pas aux personnes concernées d'avoir accès aux données de carte bancaire d'un autre utilisateur de Steam, de faire des achats à l'aide de ces dernières, ou d'obtenir leur mot de passe Steam. Les informations suivantes étaient en revanche accessibles :
- Adresse de facturation
- Quatre derniers numéros du téléphone utilisé pour le système d'identification Steam Guard
- Historique d'achat
- Deux derniers numéros de la carte bancaire liée au compte
- Adresse e-mail
L'adresse de facturation étant très souvent la même que celle du domicile de l'utilisateur, des données personnelles sensibles ont donc été diffusées des suites de ce bug. Valve explique être actuellement en train d'identifier toutes les personnes touchées par ce bug et promet de les contacter prochainement. Rien n'indique pour l'instant ce que la société compte dire aux utilisateurs dont les données personnelles ont été diffusées à des tierces personnes.
[Source : Valve]