Un cybercriminel indique avoir compromis les données de plus d’un tiers des comptes Steam, soit 89 millions de profils. Si la fuite semble bien réelle à ce stade des investigations, l’origine exacte de la cyberattaque reste floue. On fait le point.
Steam aurait été victime d’une cyberattaque. Un cybercriminel qui se fait appeler Machine1337 indique avoir piraté plus d’un tiers des comptes Steam, soit 89 millions de comptes. À titre de comparaison, la plateforme revendique plus de 120 millions d’utilisateurs actifs par mois. Le hacker a rapidement mis en vente la base de données sur le dark web. Il exige 5 000 dollars en échange du répertoire.
CLARIFICATION/UPDATE: I have been contacted by a Valve representative, and they have stated that they do not use Trillio.
For clarity, also, as I have seen some news sites citing me as the source, as linked in my initial tweet, the source is a LinkedIn post by Underdark.
— Mellow_Online1 (@MellowOnline1) May 14, 2025
Pour prouver ses dires, il a mis en ligne un échantillon des données en sa possession. Parmi les données exfiltrées par le pirate, on trouve une série d’informations liées à la double authentification par SMS, configurée pour les internautes pour protéger leur compte. Selon Underdark.ai, une entreprise de sécurité israélienne, les données sont bien authentiques. On y trouve « le contenu des messages, le statut de livraison, des métadonnées »,le numéro de téléphone du joueur et les coûts de routage engendrés par l’envoi des codes. Certaines informations sont récentes. Les messages datent en effet de mars dernier.
A lire aussi : Une cyberattaque frappe Dior, des données clients ont été piratées
Le mystère de l’origine du hack de Steam
Dans un premier temps, plusieurs sources ont pointé du doigt Twilio, une entreprise américaine qui permet d’envoyer des codes d’authentification, comme étant la source de la fuite. Underdark.ai affirme que Steam s’est servi de la plateforme pour envoyer les codes par SMS à ses utilisateurs. Le piratage ne concernerait donc pas les services de Steam, mais un prestataire tiers. Il s’agirait donc d’une attaque de la chaine d’approvisionnement.
Cependant, Valve, la maison mère de Steam, a indiqué que le groupe n’utilise pas les services de Twilio. De plus, Twillio assure fermement ne pas avoir subi le moindre piratage. Dans un communiqué relayé par Bleeping Computer, la firme affirme qu’il n’y a « aucune preuve suggérant que Twilio a été violé ». Après avoir examiné « un échantillon des données trouvées en ligne », l’entreprise n’a pas trouvé la moindre « indication que ces données ont été obtenues de Twilio ».
Pour le moment, l’origine de la fuite des données est encore un mystère. Pour Bleeping Computer, il est possible que la fuite vienne d’un prestataire de SMS qui sert d’intermédiaire entre Steam et un autre tiers. C’est du moins l’hypothèse privilégiée par le média au vu des données qui ont été mises en avant sur le dark web.
On vous invite à prendre les assertions du pirate avec du recul. Pour le moment, Valve n’a pas encore confirmé ni infirmé la moindre intrusion dans ses systèmes informatiques. Gageons que l’entreprise prendra rapidement la parole pour tirer la situation au clair.
Comment protéger votre compte Steam en cas de hack ?
Quoi qu’il en soit, la fuite de données met en danger tous les joueurs concernés, particulièrement ceux qui ont déjà reçu des codes d’authentification par SMS. En se servant des informations compromises, dont le numéro de téléphone, les pirates peuvent tenter de piéger les joueurs avec des messages ou des appels de phishing. Les hackers pourraient ainsi chercher à subtiliser des identifiants et des mots de passe en usurpant l’identité de Steam. Par mesure de sécurité, on vous recommande chaudement de changer le mot de passe de votre compte Steam. Il vaut mieux prévenir que guérir.
Dans la même optique, prenez le temps d’activer Steam Guard, le système de protection par la double authentification de Steam. Celui-ci va exiger un code temporaire à chaque tentative de connexion depuis un nouvel appareil. En attendant d’en savoir plus, choisissez l’envoi d’un code par mail ou sur l’application Steam plutôt que par SMS.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.