Une faille de sécurité chez le client de Steam, présente dans toutes les versions publiées au cours des dix dernières années, a finalement été corrigée par Valve. Il a permis aux cybercriminels d’exécuter un code malveillant capable d’affecter les plus de 15 millions d’utilisateurs de la plateforme.
La brèche a été découverte par Tom Court, spécialiste de la sécurité au sein du cabinet-conseil Context Information Security. Selon lui, c’était un échec d’exécution de code à distance, car les pirates pouvaient effectuer des requêtes réseau sans accéder à la machine de la victime.
Pour communiquer avec le client, Steam envoie des paquets UDP (User Datagram Protocol), équivalent au TCP (Transmission Control Protocol) qui est généralement plus rapide. La Cour a déclaré que le pirate n’avait besoin que d’envoyer un paquet UDP mal formé.
Ensuite, le client Steam est tombé sur le bogue, a fait sauter le dépassement de tampon dans une de ses bibliothèques et est devenu vulnérable aux codes malveillants.
Valve avait déjà partiellement corrigé le problème en juillet 2017. Selon la Cour, Steam a obtenu la protection ASLR, ce qui rend plus difficile l’identification de la partie de la mémoire de l’appareil dans laquelle un programme est exécuté.
L’amélioration a compliqué les activités malveillantes, mais ne les a pas fermées. En février, la Cour a donné des détails sur la défaillance de Valve, qui a publié une correction définitive le 4 avril. Les utilisateurs ayant près de deux mois pour mettre à jour le programme, l’expert a publié un rapport détaillé sur le site web Contexte.
