Après la panique générée par l'annonce d'une fuite de 89 millions de comptes Steam, Valve a voulu rassurer ses utilisateurs. L'entreprise confirme que la brèche n'a pas touché ses serveurs et minimise les risques pour les joueurs.
Pour Steam et son développeur Valve, la tempête médiatique aura été aussi intense que brève. Hier, un mystérieux hacker proposait à la vente des données de millions d'utilisateurs Steam pour la modique somme de 5 000 dollars. Aujourd'hui, Valve sort du silence pour désamorcer la bombe, et inciter à… ne pas changer son mot de passe. L'entreprise affirme catégoriquement que ses systèmes n'ont jamais été compromis, tout en confirmant enquêter sur la véritable origine de cette fuite. On fait le point.
Une fuite bien moins grave que prévu, explique Valve, l'éditeur de Steam
La panique qui s'est emparée des 120 millions d'utilisateurs de Steam peut retomber d'un cran. Selon Valve, les données exposées (89 millions de comptes au total) se limitent en fait à d'anciens SMS qui comportaient des codes à usage unique valides seulement 15 minutes, le tout accompagnés des numéros de téléphone destinataires.
Point crucial à préciser, c'est que d'après l'éditeur, ces informations ne permettent pas d'établir un lien avec les comptes Steam correspondants. « Les données divulguées n'associaient pas les numéros de téléphone à un compte Steam, des mots de passe, des coordonnées de paiement ou d'autres données personnelles », précise Valve. La valorisation à 5 000 dollars semble presque surévaluée pour ces miettes informationnelles.
Les experts de l'entreprise américaine pointent plutôt du doigt les vulnérabilités inhérentes aux SMS « non chiffrés en transit et routés via plusieurs fournisseurs », avant d'atteindre votre téléphone. Une théorie qui converge avec l'hypothèse d'un fournisseur intermédiaire compromis, Twilio ayant déjà formellement démenti toute intrusion.
Les joueurs peuvent souffler, mais rester vigilants
Contrairement aux recommandations d'urgence habituelles, Valve est catégorique et adopte un discours qui, une fois n'est pas coutume, pourra surprendre les experts cyber. « Vous n'avez pas besoin de changer vos mots de passe ou numéros de téléphone. » Valve veut sans doute montrer la confiance de l'entreprise dans sa propre analyse du risque. On vous conseille toutefois de changer, au moins deux fois par an, votre mot de passe. Ça ne mange pas de pain.
La plateforme en profite néanmoins pour rappeler les bons réflexes. Il faut toujours se méfier des messages de sécurité non sollicités et vérifier régulièrement les appareils autorisés à accéder à son compte. Une mesure de bon sens à l'heure où le phishing reste la principale porte d'entrée des cybercriminels.
Valve encourage aussi ses utilisateurs à abandonner définitivement l'authentification par SMS au profit de son authentificateur mobile Steam Guard, réputé plus sécurisé. Un conseil qui sonne comme une confirmation silencieuse que la vulnérabilité exploitée ne risque pas de disparaître de sitôt dans l'écosystème complexe des fournisseurs de messagerie.
27 juin 2025 à 09h45
