La division Seattle du FBI cherche à identifier des victimes de malwares dissimulés dans sept jeux Steam entre mai 2024 et janvier 2026. Des centaines de comptes ont été vidés. Les joueurs concernés peuvent se signaler directement à l'agence
Le FBI vient de mettre à disposition un formulaire de signalement pour retrouver les joueurs qui ont téléchargé BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi ou Tokenova sur Steam. Des malwares étaient cachés dans ces titres, capables d'aspirer identifiants, cookies de session, données bancaires et portefeuilles crypto. Toutes les identités communiquées seront gardées confidentielles, et les victimes pourraient bénéficier d'une restitution en vertu de la loi fédérale américaine. Pour se signaler, un formulaire est disponible sur le site du FBI, ou par e-mail à Steam_Malware@fbi.gov.
Valve a confirmé sa coopération avec les autorités et envoyé des notifications directes à certains joueurs. Plusieurs d'entre eux ont d'abord pris ces messages pour du phishing, au point de les signaler sur Reddit avant de comprendre qu'ils étaient authentiques.
Un jeu propre à la sortie, piégé un mois plus tard
- Magasin varié et régulièrement mis à jour.
- Nombreuses fonctionnalités sociales.
- Chat vocal satisfaisant sur le multijoueur.
BlockBlasters a été publié le 30 juillet 2025 sans aucun code malveillant. Un mois plus tard exactement, le 30 août, une mise à jour a glissé un composant de cryptodrainer dans le jeu, sans aucune alerte visible pour les joueurs déjà installés. Raivo Plavnieks, streamer letton connu sous le pseudo RastalandTV, en a fait les frais en plein direct, alors qu'il organisait une collecte de fonds pour financer son traitement contre un cancer de stade 4. Plus de 32 000 dollars ont disparu de son portefeuille en quelques minutes. Au total, 261 comptes Steam ont été touchés pour un préjudice cumulé de 150 000 dollars.
Publier un titre propre d'abord, attendre que les joueurs l'installent, puis frapper via une mise à jour silencieuse, c'est une première, car aucun antivirus ne re-scanne un jeu qu'il a déjà validé. Aucune alerte ne se déclenche. Le joueur fait confiance à quelque chose qu'il connaît déjà.
Supprimer le jeu ne clôt pas l'affaire
Valve a retiré ces titres dès leur signalement, parfois en quelques jours comme pour PirateFi, repéré dès février 2024. Pourtant, la suppression d'un jeu du store ne neutralise pas les dommages déjà causés. Les tokens d'authentification volés, les cookies exfiltrés, les identifiants récupérés circulent encore, vendus ou réutilisés bien après la disparition du jeu.
Dans son avis, le FBI précise que les victimes d'un infostealer s'exposent à des risques à long terme sur leurs comptes de messagerie, leurs plateformes gaming, leurs wallets et tous les services qui partagent les mêmes identifiants. Un joueur qui a installé PirateFi début 2024 sans rien remarquer peut très bien voir un compte compromis aujourd'hui. Avec 132 millions d'utilisateurs actifs mensuels sur Steam en 2025, même un taux de contamination infime représente des milliers de personnes potentiellement exposées, dont beaucoup ne le savent pas encore.
