Vous cherchiez un joli fond d’écran animé pour égayer votre bureau. Certains de ceux qui circulaient sur Steam embarquaient surtout un voleur de comptes, planqué derrière l’image.
Le Steam Workshop, c’est cette boutique communautaire intégrée à Steam, où les joueurs partagent mods, cartes, objets et fonds d’écran, le plus souvent gratuitement. C’est aussi, depuis des années, un terrain de chasse pour les pirates, qui glissent régulièrement du code malveillant au milieu de contenus anodins. Dernier exemple en date, une campagne qui a transformé de simples fonds d’écran animés, créés avec l’application Wallpaper Engine, en portes d’entrée vers les machines de leurs victimes.
Comment un fond d’écran peut-il lancer un virus ?
Tout repose sur une particularité de Wallpaper Engine, l’application payante qui sert à animer le bureau et figure parmi les plus populaires de Steam. Le logiciel accepte plusieurs types de fonds d’écran, dont un format à part, les fonds dits applicatifs, qui ne sont pas des images mais de vrais programmes Windows tournant en permanence derrière vos icônes. Autant dire un logiciel déguisé en papier peint, avec les mêmes droits qu’une application installée.
Rien à voir, donc, avec une faille de sécurité à corriger, puisque l’exécution de code est ici une fonctionnalité assumée, simplement détournée de son usage. Les attaquants ont employé deux méthodes, l’une et l’autre redoutablement simples. Soit ils glissaient directement un exécutable, une bibliothèque ou un script piégé dans le paquet du fond d’écran. Soit ils cachaient leur charge dans une archive protégée par mot de passe, le sésame étant dissimulé dans le nom du fichier ou un fichier de configuration. De quoi passer sous le radar des analyses automatiques. Dans plusieurs cas, le programme malveillant se lançait tout seul, dès l’application du fond d’écran.
Pourquoi votre compte Steam les intéresse
Derrière l’animation léchée, l’objectif est presque toujours le même, mettre la main sur votre compte Steam. Un échantillon analysé en décembre 2025 lançait un petit jeu de bureau parfaitement fonctionnel. En coulisses, il installait la porte dérobée DarkComet et une bibliothèque maison chargée de localiser Steam et de détourner les sessions ouvertes. Le compte volé ne sert pas qu’à être revendu, il permet ensuite de mettre en ligne de nouveaux fonds piégés, et la contamination tourne en boucle.
Le procédé n’a pas servi qu’à ce seul logiciel espion. Les fonds piégés ont aussi distribué les voleurs d’identifiants Lumma et Vidar, des chargeurs, des mineurs de cryptomonnaie et même des rançongiciels, signe que plusieurs équipes indépendantes exploitaient la même combine. Au total, des dizaines de paquets ont été repérés, certains téléchargés des dizaines de milliers de fois avant leur retrait, avec une nette concentration sur les joueurs de Chine et de Russie.
Steam n’en est pas à son coup d’essai. Le Workshop avait déjà servi à diffuser un mod piégé de Slay the Spire le jour de Noël 2023, puis un jeu en accès anticipé livré avec trois logiciels malveillants l’été dernier. Un autre titre, baptisé BlockBlasters, a même délesté ses joueurs d’environ 150 000 dollars en septembre. Par sa taille et son public fidèle, la boutique communautaire reste une cible idéale.
Lire aussi : Le FBI enquête sur des jeux vérolés distribués par Steam
Steam a retiré les fonds d’écran incriminés, mais d’autres réapparaîtront sans doute, le filon étant trop simple à reproduire. En attendant, mieux vaut se méfier des fonds d’écran qui réclament un mot de passe ou embarquent un exécutable. L’idéal reste d’analyser ce qu’on télécharge avant de l’appliquer, et d’activer Steam Guard pour qu’un identifiant volé ne suffise pas à ouvrir la porte. Un fond d’écran reste un fond d’écran, et s’il se met à réclamer des droits d’administrateur, c’est qu’il n’a déjà plus rien d’un simple décor.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Kaspersky