Actualité PC
steam logo vignette

Steam : Valve revient sur les causes et conséquences du bug de Noël

par
Source: Steam

Nous avons le fin mot de cette histoire qui aurait pu se transformer en cauchemar. Plus de peur que de mal à l'arrivée.

Une semaine après, Valve revient sur le bug de Noël ayant touché sa plateforme Steam et ayant fait peur à certains utilisateurs par rapport à la protection de leurs données. En effet, en vous connectant à votre compte, vous êtes peut-être tombé sur celui d’un autre, sans pouvoir agir dessus fort heureusement. À l’arrivée, il s’agissait d’un problème de cache, induit par une attaque DoS. Explications.

steam logo vignette

Ce qui est arrivé :

Le 25 décembre, une erreur de configuration a fait que certains utilisateurs ont vu des pages Steam d’autres utilisateurs. Entre 11h50 et 13h20 (PST), les requêtes de pages de 34 000 utilisateurs, qui contiennent des informations personnelles, ont peut-être été envoyées et vues ailleurs.

Les informations de ces requêtes ont varié selon les pages, mais certaines affichaient l’adresse de facturation, les quatre derniers chiffres du numéro de téléphone lié au Steam Guard, l’historique d’achats, les deux derniers chiffres de la carte bancaire et/ou l’adresse mail. Ces requêtes sous cache n’ont jamais inclus la carte bancaire entière, les mots de passe ou suffisamment de données pour procéder à une transaction.

Si vous n’avez pas chargé une page du Store avec vos données personnelles (comme celles de votre compte ou d’une vérification) durant cette période, ces informations n’ont peut-être pas été montrées ailleurs.

Valve travaille actuellement avec son partenaire spécialiste dans le cache pour identifier les utilisateurs dont les informations ont pu servir à d’autres, et nous contacterons ceux affectés une fois qu’ils l’auront été. Comme aucune action non autorisée n’a été permise au-delà de l’accès à certaines informations, aucune autre action n’est requise de la part des utilisateurs.

Comment c’est arrivé :

Durant le matin de Noël (Heure du Pacifique), le magasin de Steam a été l’objet d'une attaque DoS qui a empêché de se rendre sur les pages du Store. Les attaques à l’encontre de Steam sont courantes, gérées directement par Valve avec l’aide de sociétés partenaires et n’impactent généralement pas les utilisateurs. Durant l’attaque de Noël, le trafic a augmenté de 2 000 % par rapport à la moyenne.

En réponse à cette attaque spécifique, les règles de cache, conduites par les partenaires de cache de Steam, ont été déployées afin de minimiser son impact sur les serveurs du Store et de permettre un trafic normal. Durant la seconde vague de l’attaque, une deuxième configuration cache a été lancée et elle a incorrectement mis en cache les informations des utilisateurs enregistrés. Cette erreur de configuration a provoqué le fait que certains utilisateurs ont vu des pages Steam d’autres utilisateurs. Les requêtes ont varié selon les personnes, avec certaines pages dans la mauvaise langue ou le remplacement de données par celles d’un autre.

Une fois cette erreur identifiée, le Steam Store a été fermé et une nouvelle configuration de cache a été déployée. Le Steam Store est resté fermé jusqu’à vérification de toutes les configurations de cache, et nous avons reçu la confirmation que toutes les dernières configurations ont été reçues par les serveurs de nos partenaires et que toutes les données en cache ont été nettoyées.

Nous allons continuer à travailler avec nos partenaires pour identifier les victimes et pour améliorer le processus de mise en cache. Nous nous excusons auprès de ceux dont les informations personnelles ont été exposées par erreur et pour l’interruption du service.

Mots-clés

Commenter 9 commentaires

Avatar de l’utilisateur
Zek
N'empêche on apprend quoi dans ce communiqué ?

Première vague d'attaque, le service Steam ne bronche pas.
Deuxième vague d'attaque, le service Steam à cause d'une erreur de configuration (donc humaine) ferme temporairement.

La fuite d'info ne concerne que 34000 utilisateurs, et rien n'est exploitable.
Seul la communication est vraiment déplorable chez Valve.


De l'autre côté, Sony/Microsoft, qui ont un très bon service de communication, mais des serveurs et une protection en mousse (je ne sais pas si c'est toujours d'actualité) malgré les abonnements payants pour une qualité de service pas franchement top (pas moi qui le dit mais les joueurs à une époque pour le jeu en ligne). Le piratage de 2011 du PSN étant le pire de tous.

Donc à bien y réfléchir, on en fait de trop pour cette affaire avec Valve, faut bien entendu mettre en avant la communication déplorable mais hormis ça, y'a pas vraiment à ce plaindre dans cette affaire.
Signaler Citer
Avatar de l’utilisateur
Big Boss
Au contraire. Après avoir crié sur les toits que Steam était plus stable que le PSN et Xbox live, on a bien vu aujourd'hui qu'un DoS à suffit à semer la pagaille, que ça soit de manière directe ou indirecte.

Le coup du changement de configuration à la volée me fait bien rire en tout cas... On essaye de nous faire croire que Steam est imprenable, que l'erreur vient d'un employé mal formé.... Lol
Signaler Citer
Avatar de l’utilisateur
Zek
Et pourquoi pas ? C'est rare que Steam à des problèmes, en général le service encaisse bien les piques surtout lors des périodes promos, le jeu en ligne est rarement inaccessible (surcharge des serveurs). Tu peux dire ce que tu veux, mais les faits démontrent que, oui rien n'est imprenable mais faut pas non plus en faire tout un fromage, le nombres de victimes, les infos non exploitables, la qualité du service en général même lors des piques, etc, Valve est juste meilleur que Sony/Microsoft sans demander du flouze que je considère comme du vol pour le jeu en ligne.

De plus, Valve n'a jamais subit un piratage par exemple comme celui de 2011 du PSN en ampleur, une vraie honte on peut dire pour Sony qui collectionne les gamelles en tout genre. Donc oui le service de Valve est très stable, à des années lumières de celui de Sony/Microsoft, une petite erreur en cours de chemin sans conséquence grave, ne peut changer cela. Même les débits sont bon sur Steam, combien de joueurs sur console pour se plaindre qui fallait plus de 10h pour quelques Go ? Alors que ses personnes ont de bonnes connexions ? Les patchs à dl qui font le double sur console aussi. Non sérieusement, il serait intéressant de faire un article de comparaison entre Steam, PSN/Live, tiens.
Signaler Citer
Avatar de l’utilisateur
Mykkoo
Steam est certes "gratuit", mais en rien infaillible, et de loin, ce n'est pas le 1er ddos qui fait "tomber" la plateforme, et d'autres problèmes plus sérieux l'ont déjà affecté

Zek a écrit:De plus, Valve n'a jamais subit un piratage par exemple comme celui de 2011 du PSN

Novembre 2011, Steam a cédé et pas qu'un peu
Zek a écrit:Valve est juste meilleur que Sony/Microsoft sans demander du flouze que je considère comme du vol pour le jeu en ligne.

Perso, je télécharge aussi vite sur Steam que sur le PSN dorénavant, et je ne suis pas plus embête avec l'un ou l'autre.

Big Boss a écrit:Le coup du changement de configuration à la volée me fait bien rire en tout cas... On essaye de nous faire croire que Steam est imprenable, que l'erreur vient d'un employé mal formé.... Lol

J'avoue que j'ai aussi du mal avec cette explication.
Signaler Citer
Avatar de l’utilisateur
Zek
Oui je suis au courant, toujours le problème des gens qui enregistrent le numéro de la carte bancaire par fainéantise, chose à ne jamais faire, mais on est loin des 2.2 millions de cartes bancaires suite au piratage de 2011 du PSN, et de l'utilisation frauduleuse d'un certains nombres de cartes. Et surtout aucune preuve que les numéros des cartes ont pu être décryptées chez Steam en 2011, etc.

Pour les problèmes de débit, je l'ai lu, assez régulièrement ici sur Gamergen ou PS3Gen, mais bon j'avoue que je ne sais pas si c'est encore d'actualité. Pour le double des patchs c'est un fait encore d’actualité, le dernier exemple en date était le jeu The Witcher 3.
Signaler Citer
Avatar de l’utilisateur
Edward L.
Le changement de configuration en pleine période des fêtes, c'est monstrueusement crétin. Aller trifouiller les réglages alors qu'on tend, vers les fêtes, à avoir un traffic accru et des employés moins nombreux, c'est très bête. Bref, c'est fini.

Espérons que Valve a retenu la leçon.
Signaler Citer