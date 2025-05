Hier, les joueurs PC ont tremblé lorsqu'un compte LinkedIn du nom d'Underdark.ai a annoncé que les données de 89 millions de comptes Steam seraient en vente sur le dark web. Un pirate du nom de Machine1337 aurait réussi à mettre les mains sur les informations confidentielles des utilisateurs de Steam et revendrait cette précieuse base de données pour 5 000 $. La faille serait venue de l'authentification à deux facteurs (2FA), avec « des journaux SMS 2FA en temps réel acheminés via Twilio ».

L'information a rapidement fait le tour du net et a naturellement inquiété de nombreuses personnes, tant Steam est utilisé par tous les joueurs. Cependant, il n'y a sans doute pas vraiment lieu de paniquer. Le journaliste indépendant Mellow_Online1 s'est penché sur l'affaire et explique que des SMS de Twilio auraient en effet été récupérés par un hacker, avec des informations pas vraiment utiles. Le plus gênant serait les codes 2FA, mais il s'agit pour rappel de codes actifs quelques minutes seulement, afin de sécuriser l'accès à votre compte. Mettre les mains sur un vieux code 2FA isolé ne sert à rien pour un pirate.

Surtout, la faille ne viendrait pas chez de Valve, de quoi rassurer les joueurs. Steam a été jusqu'à publier un communiqué pour affirmer « qu'il ne s'agissait PAS d'une brèche des systèmes Steam ». Oui, il y aurait bien eu des fuites de SMS envoyés aux utilisateurs, Valve cherche toujours l'origine de cette fuite, mais il s'agit « d'anciens messages SMS contenant des codes à usage unique valables pendant une période de 15 minutes ». Plus problématique, les numéros de téléphone associés aux SMS auraient fuité, mais « les données divulguées n'ont pas associé les numéros de téléphone aux comptes Steam, aux mots de passe, aux informations de paiement ou à d'autres données personnelles ». Il n'y a donc aucun risque pour vos données Steam, mais le numéro de téléphone pourrait être utilisé pour des spams en tout genre. Mais bon, ça, pas besoin d'avoir une fuite pour avoir ce genre d'appels ou SMS...

Comme si cela ne suffisait pas, Twilio a affirmé à BleepingComputer que ses données n'ont pas été compromises, l'entreprise a analysé les informations vendues par le pirate et assure qu'elles ne viennent pas de chez lui. Histoire de rajouter un peu de confusion, un représentant de Steam aurait affirmé à Mellow_Online1 que Valve ne ferait pas appel à Twilio pour gérer les SMS 2FA de la plateforme.

Alors, que faire ? Eh bien en théorie, vous pouvez dormir sur vos deux oreilles, votre compte Steam, vos informations personnelles et votre précieuse bibliothèque de jeux jamais lancés ne risquent rien. Valve affirme même qu'« il n'est pas nécessaire de modifier votre mot de passe ou votre numéro de téléphone ». La plateforme rappelle quand même que « tout message concernant la sécurité de votre compte que vous n’avez pas explicitement demandé est suspect », elle invite les utilisateurs à vérifier régulièrement la sécurité de votre compte, notamment les appareils connectés, via cette page.

Mais comme prudence est mère de sûreté, il ne coûte rien de modifier votre mot de passe pour un mot de passe compliqué, avec de nombreux signes, des majuscules, des minuscules, des chiffres et des caractères spéciaux. Mais surtout, et ça même Valve le dit, la meilleure façon de sécuriser votre compte est d'activer l'authentificateur mobile Steam Guard, qui permet de se connecter via votre smartphone avec un code QR ou une série de chiffres générés aléatoirement, tout cela est géré par Valve et non un service tiers.

