Un pirate informatique propose à la vente des millions de données d'utilisateurs Steam, qui comprennent notamment des codes d'authentification. Twilio, partenaire de Valve pour les SMS, a formellement démenti avoir été compromis.
La plateforme de jeux vidéo Steam navigue en eaux troubles. Un hacker connu sous le pseudonyme Machine1337 (alias EnergyWeaponsUser) affirme détenir les données de 89 millions d'utilisateurs, qu'il propose pour la modique somme de 5 000 dollars. Le problème ? BleepingComputer a analysé un échantillon de 3 000 enregistrements et confirme avoir trouvé des messages SMS historiques contenant des codes à usage unique et des numéros de téléphone.
Une fuite des données Steam qui sème la panique dans l'univers du gaming
Après la révélation de ce piratage une fois de plus XXL, la situation est d'autant plus préoccupante que Steam compte plus de 120 millions d'utilisateurs actifs mensuels. Autant dire que si ces données tombent entre de mauvaises mains, c'est potentiellement les deux tiers des joueurs qui pourraient voir leurs bibliothèques de jeux et informations personnelles en danger. Ce serait alors un véritable tsunami dans l'écosystème du jeu vidéo en ligne.
L'origine de cette fuite intrigue les experts. MellowOnline1, journaliste indépendant et créateur du groupe SteamSentinels, qui surveille les abus dans l'écosystème Steam, suggère qu'il s'agirait d'une compromission de la chaîne d'approvisionnement impliquant Twilio, plutôt que d'une brèche directe chez Steam.
D'après les analyses techniques mentionnées dans les sources, les données fuitées ressembleraient à des journaux SMS provenant des systèmes backend de Twilio. MellowOnline1 évoque l'hypothèse d'un compte administrateur compromis ou d'un abus de clés API qui aurait permis d'accéder à ces informations normalement protégées.
Twilio dans la tourmente, malgré ses démentis
« Il n'y a aucune preuve suggérant que Twilio a été compromis. Nous avons examiné un échantillon des données trouvées en ligne, et ne voyons aucune indication que ces données ont été obtenues de Twilio », explique l'entreprise. Voilà la position ferme adoptée par l'acteur américain, partenaire de Valve pour les services de messagerie 2FA.
L'hypothèse privilégiée par les experts serait plutôt celle d'un fournisseur SMS intermédiaire, qui aurait fait l'objet d'une intrusion. Une théorie crédible puisque BleepingComputer mentionne explicitement n'avoir « pas pu déterminer si les données proviennent d'un fournisseur SMS ou de qui il pourrait s'agir » et n'avoir « pas pu vérifier les affirmations du pirate informatique. »
En attendant que l'origine exacte soit déterminée, les joueurs sont vivement encouragés à renforcer leur sécurité. L'activation de l'authentificateur mobile Steam Guard (plutôt que les SMS), le changement de mot de passe et la vigilance face aux tentatives de phishing sont indispensables. Car les données exposées, dont certaines datent de mars 2025, sont suffisamment récentes pour servir de tremplin à des attaques ciblées.
