Steam : Valve revient sur les causes et conséquences du bug de Noël
par Maxime ClaudelNous avons le fin mot de cette histoire qui aurait pu se transformer en cauchemar. Plus de peur que de mal à l'arrivée.
Une semaine après, Valve revient sur le bug de Noël ayant touché sa plateforme Steam et ayant fait peur à certains utilisateurs par rapport à la protection de leurs données. En effet, en vous connectant à votre compte, vous êtes peut-être tombé sur celui d’un autre, sans pouvoir agir dessus fort heureusement. À l’arrivée, il s’agissait d’un problème de cache, induit par une attaque DoS. Explications.
Ce qui est arrivé :
Le 25 décembre, une erreur de configuration a fait que certains utilisateurs ont vu des pages Steam d’autres utilisateurs. Entre 11h50 et 13h20 (PST), les requêtes de pages de 34 000 utilisateurs, qui contiennent des informations personnelles, ont peut-être été envoyées et vues ailleurs.
Les informations de ces requêtes ont varié selon les pages, mais certaines affichaient l’adresse de facturation, les quatre derniers chiffres du numéro de téléphone lié au Steam Guard, l’historique d’achats, les deux derniers chiffres de la carte bancaire et/ou l’adresse mail. Ces requêtes sous cache n’ont jamais inclus la carte bancaire entière, les mots de passe ou suffisamment de données pour procéder à une transaction.
Si vous n’avez pas chargé une page du Store avec vos données personnelles (comme celles de votre compte ou d’une vérification) durant cette période, ces informations n’ont peut-être pas été montrées ailleurs.
Valve travaille actuellement avec son partenaire spécialiste dans le cache pour identifier les utilisateurs dont les informations ont pu servir à d’autres, et nous contacterons ceux affectés une fois qu’ils l’auront été. Comme aucune action non autorisée n’a été permise au-delà de l’accès à certaines informations, aucune autre action n’est requise de la part des utilisateurs.
Comment c’est arrivé :
Durant le matin de Noël (Heure du Pacifique), le magasin de Steam a été l’objet d'une attaque DoS qui a empêché de se rendre sur les pages du Store. Les attaques à l’encontre de Steam sont courantes, gérées directement par Valve avec l’aide de sociétés partenaires et n’impactent généralement pas les utilisateurs. Durant l’attaque de Noël, le trafic a augmenté de 2 000 % par rapport à la moyenne.
En réponse à cette attaque spécifique, les règles de cache, conduites par les partenaires de cache de Steam, ont été déployées afin de minimiser son impact sur les serveurs du Store et de permettre un trafic normal. Durant la seconde vague de l’attaque, une deuxième configuration cache a été lancée et elle a incorrectement mis en cache les informations des utilisateurs enregistrés. Cette erreur de configuration a provoqué le fait que certains utilisateurs ont vu des pages Steam d’autres utilisateurs. Les requêtes ont varié selon les personnes, avec certaines pages dans la mauvaise langue ou le remplacement de données par celles d’un autre.
Une fois cette erreur identifiée, le Steam Store a été fermé et une nouvelle configuration de cache a été déployée. Le Steam Store est resté fermé jusqu’à vérification de toutes les configurations de cache, et nous avons reçu la confirmation que toutes les dernières configurations ont été reçues par les serveurs de nos partenaires et que toutes les données en cache ont été nettoyées.
Nous allons continuer à travailler avec nos partenaires pour identifier les victimes et pour améliorer le processus de mise en cache. Nous nous excusons auprès de ceux dont les informations personnelles ont été exposées par erreur et pour l’interruption du service.