Passer au contenu

Steam : des failles dans la plate-forme permettaient de pirater ses utilisateurs

La librairie open source Valve Game Networking Sockets autorisait l’exécution de code arbitraire à distance sur les plates-formes tierces. Sur les serveurs de Valve, l’impact se limitait à des dénis de service.

Jouer en ligne depuis Steam n’est pas totalement sans risque, comme vient de le prouver Eyal Itkin, chercheur en sécurité chez Check Point. Il a analysé la librairie open source Valve Game Networking Sockets (GNS), qui sert à créer les communications peer-to-peer pendant les sessions de jeu.

« Ce logiciel n’est pas seulement utilisé par Valve, mais aussi par beaucoup d’autres plates-formes de jeu en raison des nombreuses fonctionnalités qu’il offre. C’est pour cette raison que nous avons décidé de l’inspecter », nous indique Eyal Itkin.

Il a bien fait, car il a trouvé quatre failles (CVE-2020-6016 à CVE-2020-6019) plutôt dangereuses, surtout pour les utilisateurs de plates-formes tierces. Avec ces vulnérabilités, un pirate aurait pu exécuter du code arbitraire à distance sur n’importe quel terminal d’un participant.
En fonction des privilèges d’exécution du jeu, le pirate pouvait piloter l’application, capter les identifiants, lire les messages ou, carrément, prendre le contrôle de l’ordinateur.

Sur les serveurs de Valve, en revanche, l’impact était moindre. Les failles permettaient de faire crasher le jeu, mais pas de pirater les utilisateurs. La bonne nouvelle, c’est que les bugs ont d’ores et déjà été corrigés.

« Valve a été extrêmement réactif. Les failles ont été corrigées en l’espace de deux jours », nous indique Eyal Itkin.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN