Valve a annoncé la mise en œuvre de mesures de sécurité supplémentaires pour les développeurs qui publient des jeux sur Steam, notamment des codes de confirmation par SMS. Il s’agit de faire face à une récente épidémie de mises à jour malveillantes poussant des logiciels malveillants à partir de comptes d’éditeurs compromis, écrit Bleeping Computer.
Malwares : Steam impose la vérification par SMS
Steamworks est un ensemble d'outils et de services que les développeurs et les éditeurs de jeux/logiciels utilisent pour distribuer leurs produits sur la plateforme Steam. Il prend en charge la gestion des droits numériques (DRM), le multijoueur, le streaming vidéo, le matchmaking, le système de succès, la voix et le chat dans le jeu, les microtransactions, les statistiques, la sauvegarde dans le cloud et le partage de contenu créé par la communauté (Steam Workshop). Depuis la fin du mois d'août et jusqu'en septembre 2023, un nombre élevé de rapports fait état de comptes Steamworks compromis et d'attaquants téléchargeant des fichiers qui infectent les joueurs avec des logiciels malveillants.
Valve a assuré à la communauté des joueurs que l'impact de ces attaques était limité à quelques centaines d'utilisateurs, qui ont été informés individuellement de la violation potentielle par le biais de notifications envoyées par l'entreprise. Pour endiguer ce problème, Valve mettra en place, à partir du 24 octobre 2023, un nouveau contrôle de sécurité par SMS que les développeurs de jeux devront passer avant de publier une mise à jour sur la branche de sortie par défaut (et non sur les versions bêta).
Bien que nous accueillions favorablement tout renforcement des mesures de sécurité, nous doutons que cette mesure améliore considérablement la sécurité des développeurs et des utilisateurs. Pour atténuer le problème de la prise de contrôle des comptes de développeurs ou, pire encore, de leur équipement, d'autres tactiques éprouvées doivent être appliquées.
Tout d'abord, pour les développeurs, nous recommandons d'appliquer une MFA (authentification multifacteur) non basée sur les SMS pour protéger tous leurs comptes, avec des applications d'authentification au strict minimum, en plus de phrases de passe fortes. Ensuite, bien sûr, l'équipement utilisé pour le développement doit également être protégé par un logiciel de sécurité puissant afin d'éviter que des logiciels malveillants voleurs d'informations ne s'emparent de l'identité complète d'un développeur.
Pour Steam/Valve, nous suggérons l'introduction d'une solution MFA forte basée sur des certificats (ils pourraient utiliser leur propre application Steam Guard) afin de maximiser la sécurité de leur écosystème dans son ensemble. Nous ne devons pas oublier que les utilisateurs font confiance à la plateforme, car ils pensent qu'elle s'occupe de la sécurité des développeurs individuels.