Sécurité

Une faille de sécurité dans Steam permet à quiconque de changer votre mot de passe – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Avez-vous rencontré une activité inattendue sur votre compte Steam la semaine dernière ? Eh bien, il semble qu’il y avait un Majeur faille de sécurité dans la fonction de réinitialisation du mot de passe de Valve qui permettait à quiconque de réinitialiser votre mot de passe, même sans accès à votre courrier électronique. Les comptes de nombreux streamers populaires ont été compromis pendant une courte période, et Valve a l’air incroyablement stupide.

Si vous oubliez votre Vapeur mot de passe, Valve vous envoie normalement un code à usage unique par e-mail que vous pouvez utiliser pour réinitialiser votre mot de passe. Cependant, il a été découvert la semaine dernière que Steam ne vérifiait pas réellement la validité de votre code. Si vous vous absteniez simplement de saisir quoi que ce soit lors de l’étape d’authentification, le client vous autoriserait toujours à réinitialiser le mot de passe.

Ça sonne mal, non ? C’était certainement une énorme erreur, mais heureusement, il y a eu quelques Sécurité mesures en place qui ont empêché cette escalade encore plus loin. Premièrement, si vous utilisez l’authentification multifacteur de Valve (surnommée « Steam Guard »), les parties non autorisées ne peuvent toujours pas se connecter à votre compte Steam sans accéder à votre compte de messagerie. Deuxièmement, Valve impose un gel de cinq jours sur les échanges d’articles après une réinitialisation du mot de passe. Ainsi, même si la mafia russe changeait votre mot de passe, elle ne pourrait pas transférer votre précieux Team Fortress 2 chapeaux à un compte différent.

Valve a depuis corrigé ce défaut, et réinitialiser les mots de passe sur tous les comptes présentant une activité suspecte entre le 21 juillet et le 25 juillet. C’est bien de voir Valve répondre rapidement au problème, mais comment cela a-t-il pu se produire en premier lieu ?

Psssssst :  Les géants de la technologie s'associent pour lutter contre la surveillance de la NSA et l'espionnage gouvernemental

Des erreurs sont inévitables avec tout système complexe, mais une entreprise de cette envergure ne devrait-elle pas mettre en place des tests automatisés, en particulier lorsque la sécurité des comptes est impliquée ? Ce n’était pas seulement une petite faute de frappe ou une feuille de style mal implémentée – c’était une vulnérabilité majeure que presque n’importe qui avec une connexion Internet pouvait exploiter. Et si une entreprise aussi avisée en matière de sécurité que Soupape pourrait laisser cela se produire, qui sait combien de banques et de détaillants en ligne ont des failles tout aussi flagrantes qui ne demandent qu’à être trouvées ? Rien que d’y penser, j’ai la nausée.

L’équipe de sécurité de Valve a beaucoup de choses à penser en ce moment, mais les utilisateurs finaux doivent se concentrer sur une seule chose : authentification multi-facteurs. Ce n’est certainement pas l’alpha et l’oméga de la sécurité des comptes, mais c’est un outil incroyablement efficace pour repousser les attaques basées sur des mots de passe compromis. Dans la mesure du possible, vous devez activer l’authentification multifacteur. La tranquillité d’esprit vaut absolument les 30 secondes supplémentaires de retard.

Malheureusement, certaines grandes entreprises en contact avec les consommateurs comme Amazon et Sony n’offrent toujours pas d’authentification multifacteur, et c’est vraiment dommage. C’est peut-être maintenant une bonne occasion de contacter le support et de demander que l’authentification multifacteur soit mise en œuvre dès que possible. Avec suffisamment de commentaires, peut-être qu’ils finiront par se redresser et voler à droite.

Bouton retour en haut de la page