Malwares : Steam impose la vérification par SMS

Valve a annoncé la mise en œuvre de mesures de sécurité supplémentaires pour les développeurs qui publient des jeux sur Steam, notamment des codes de confirmation par SMS. Il s’agit de faire face à une récente épidémie de mises à jour malveillantes poussant des logiciels malveillants à partir de comptes d’éditeurs compromis, écrit Bleeping Computer.

Benoit Grunemwald
Par Benoît Grunemwald Publié le 5 novembre 2023 à 10h00
Rheinbach,,germany,4,march,2022,,the,brand,logo,of,the
Malwares : Steam impose la vérification par SMS - © Economie Matin
1,55 MILLIARD €En 2022, le chiffre d'affaires du PC gaming était d'environ 1,55 milliards d'euros.

Steamworks est un ensemble d'outils et de services que les développeurs et les éditeurs de jeux/logiciels utilisent pour distribuer leurs produits sur la plateforme Steam. Il prend en charge la gestion des droits numériques (DRM), le multijoueur, le streaming vidéo, le matchmaking, le système de succès, la voix et le chat dans le jeu, les microtransactions, les statistiques, la sauvegarde dans le cloud et le partage de contenu créé par la communauté (Steam Workshop). Depuis la fin du mois d'août et jusqu'en septembre 2023, un nombre élevé de rapports fait état de comptes Steamworks compromis et d'attaquants téléchargeant des fichiers qui infectent les joueurs avec des logiciels malveillants.

Valve a assuré à la communauté des joueurs que l'impact de ces attaques était limité à quelques centaines d'utilisateurs, qui ont été informés individuellement de la violation potentielle par le biais de notifications envoyées par l'entreprise. Pour endiguer ce problème, Valve mettra en place, à partir du 24 octobre 2023, un nouveau contrôle de sécurité par SMS que les développeurs de jeux devront passer avant de publier une mise à jour sur la branche de sortie par défaut (et non sur les versions bêta).

Bien que nous accueillions favorablement tout renforcement des mesures de sécurité, nous doutons que cette mesure améliore considérablement la sécurité des développeurs et des utilisateurs. Pour atténuer le problème de la prise de contrôle des comptes de développeurs ou, pire encore, de leur équipement, d'autres tactiques éprouvées doivent être appliquées.

Tout d'abord, pour les développeurs, nous recommandons d'appliquer une MFA (authentification multifacteur) non basée sur les SMS pour protéger tous leurs comptes, avec des applications d'authentification au strict minimum, en plus de phrases de passe fortes. Ensuite, bien sûr, l'équipement utilisé pour le développement doit également être protégé par un logiciel de sécurité puissant afin d'éviter que des logiciels malveillants voleurs d'informations ne s'emparent de l'identité complète d'un développeur.

Pour Steam/Valve, nous suggérons l'introduction d'une solution MFA forte basée sur des certificats (ils pourraient utiliser leur propre application Steam Guard) afin de maximiser la sécurité de leur écosystème dans son ensemble. Nous ne devons pas oublier que les utilisateurs font confiance à la plateforme, car ils pensent qu'elle s'occupe de la sécurité des développeurs individuels.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Benoit Grunemwald

Expert en Cyber sécurité pour ESET France

Aucun commentaire à «Malwares : Steam impose la vérification par SMS»

Laisser un commentaire

* Champs requis