Steam a mis quelques jours avant de dévoiler les vraies raisons qui ont conduit la plateforme de jeux vidéo à fermer quelques heures son service, suite à un important souci de confidentialité des données des utilisateurs. Contrairement à ce qui avait été initialement évoqué, il y a bien une attaque derrière ce bug de Noël.
L’explication de Valve pour le bug de Steam avant Noël
Pour revenir sur les faits qui ont amené la société Valve à réagir, des joueurs avaient prévenu les administrateurs de la plateforme Steam qu’ils pouvaient visualiser des informations d’autres joueurs, tels que l’historique des achats, les identifiants ou l’adresse mail par exemple. Valve a immédiatement réagi en fermant le service pour corriger le bug et avait d’abord annoncé qu’il s’agissait d’un souci au niveau du cache de la plateforme.
En réalité, les données de 34000 clients se sont retrouvées visibles suite à une attaque DDoS (attaque par déni de service) et l’un des sous-traitants a choisi de ne pas impacter l’utilisation des clients et a mis en place des règles de mise en cache. Valve a expliqué : « En réponse à cette attaque, le sous-traitant met en place une première série de règles de mise en cache. Tout se passe comme prévu, le trafic légitime est rerouté, les serveurs supportent la charge. Puis vient la seconde vague. Une nouvelle configuration de mise en cache est déployée. Voilà que les ennuis commencent ».
En effet, un conflit a été matérialisé entre le premier cache et le second ce qui a induit un problème d’interprétation des règles fixées et a mis en lumière les données de certains utilisateurs sur les comptes d’autres utilisateurs. Heureusement pour la firme, les données personnelles étaient incomplètes pour qu’un pirate ait pu en tirer parti, Valve a indiqué qu’il préviendrait les utilisateurs de Steam concernés, un par un…
