Steam : les vols de compte se multiplient, quelle est la technique des pirates ?

Alexandre Boero
Chargé de l'actualité de Clubic
15 septembre 2022 à 13h10
23
© Photo Oz / Shutterstock.com
© Photo Oz / Shutterstock.com

Ces derniers temps, les pirates exploitent une technique de phishing récente qui consiste à voler les identifiants des utilisateurs Steam par le biais d'une illusion informatique.

Le célèbre Steam n'a pas été épargné ces vingt dernières années par les arnaques et autres piratages des escrocs du Web. Mais depuis quelques mois, les hackers font appel à la technique dite du phishing « Browser-in-the-Browser » ou BitB, qu'on peut littéralement traduire par « navigateur dans le navigateur ». Cette technique consiste à dérober les informations d'identification des utilisateurs de la plateforme de jeux vidéo en leur soumettant une copie quasi-parfaite d'une page Steam. S'il existe bien des « trucs » pour détecter la fausse page, le procédé est diablement efficace.

Des pirates qui appâtent les joueurs avec des propositions ou des événements attractifs

Cette technique de phishing, récente, fut découverte au début de l'année par le chercheur mrd0x. Les pirates l'utilisent en créant une fausse fenêtre de navigateur, mais pas un « navigateur » au sens propre, plus ici une fenêtre de navigation associée à un service qui peut être une page Facebook, Google, Outlook ou encore Steam. Si l'on compare la fenêtre imitée à la vraie, il est quasi impossible de les dissocier.

Dans le cas de Steam, qui utilise une fenêtre contextuelle pour aider ses utilisateurs à s'authentifier plutôt qu'un nouvel onglet, les hackers ont vu une opportunité. L'arnaque a été identifiée sur la plateforme du groupe Valve par le groupe de surveillance informatique Group-IB, qui a évidemment prévenu l'éditeur de la menace.

La question que tout le monde se pose à présent : comment attirer les victimes vers une fausse page web qui contient un bouton de connexion ? Avec Steam, les pirates ont compris qu'il fallait appâter les joueurs avec des propositions attractives. Ils leur envoient alors des messages en leur proposant par exemple de rejoindre une équipe pour participer à un tournoi de League of Legends (LoL), de Counter Strike, de Dota 2 ou PUBG. D'autres propositions, comme la possibilité de voter pour son équipe préférée ou d'acheter des billets à prix réduit pour des événements de e-Sport, sont aussi relayées auprès des utilisateurs.

L'un des appâts des hackers © Group-IB
L'un des appâts des hackers © Group-IB

Il existe aussi le cas où les viewers d'une vidéo YouTube soi-disant diffusée en live (mais en fait enregistrée) ont pu être invités à cliquer sur un lien présent en description pour obtenir un skin gratuit dans CS:GO. Le site web de phishing s'affichait également à l'écran.

Une technique qui éteint tous les soupçons (ou presque) rencontrés dans le phishing « traditionnel »

Group-IB nous explique que tous les boutons (ou presque) des pages web appâts ouvrent directement un formulaire de saisie de données de compte qui imite évidemment une fenêtre Steam légitime, avec un faux signe de verrouillage vert et un faux champ d'URL qu'il est possible de copier. Les pirates ont même imité la fenêtre d'authentification à double facteurs de la plateforme, Steam Guard, pour étendre leur champ d'action.

Alors qu'habituellement, les pirates essaient de pousser les victimes à ouvrir des pages web de phishing dans un nouvel onglet, les attaques Browser-in-the-Browser ouvrent une fausse fenêtre de navigateur directement dans le même onglet, ce qui peut plus facilement convaincre les utilisateurs que la page est bien légitime. Autre coup de force des hackers : la fenêtre illégitime permet même de basculer d'une langue à une autre, 27 étant au total proposées. Elles sont toutes fonctionnelles et la langue initiale est même choisie de façon automatique, grâce aux préférences du navigateur.

Une demande de code 2FA sur une ressource de phishing © Group-IB
Une demande de code 2FA sur une ressource de phishing © Group-IB

Sur la capture d'écran proposée par Group-IB, on note que l'URL contenue dans la barre d'adresse de la fenêtre contextuelle est identique à celle du lien légitime. C'est aussi une vraie différence par rapport au hameçonnage traditionnel, où l'URL affichée est différente de l'URL légitime, ce qui éveille plus facilement les soupçons.

Autre différence notable : la certification SSL. Dans un cas de phishing classique, la ressource à l'origine de la page illégitime ne peut pas émettre ce certificat. Et malheureusement, le phishing du navigateur dans le navigateur offre la possibilité au pirate d'afficher le petit cadenas verrouillé de sécurité.

Comment peut-on détecter ces fausses fenêtres ?

Si la fenêtre est fausse, les boutons servant à la réduire et à la fermer fonctionnent, ou tout du moins donnent lieu à une action, ce qui renforce la crédibilité de la technique. Très souvent, les pages de phishing BitB vont même jusqu'à contenir une alerte visant à informer les utilisateurs sur les données enregistrées par la ressource tierce, ce qui est assez pervers mais qui, ici aussi, renforce l'impression d'être sur une fenêtre Steam légitime.

© Group-IB
© Group-IB

Une fois les données d'identification saisies par la victime, celles-ci sont directement envoyées aux cyberattaquants. Si la personne piégée a protégé son compte à l'aide de l'authentification renforcée, la ressource envoie alors une demande de code, code créé à l'aide d'une application distincte, qui envoie une notification push à l'appareil de la victime. Une technique qui va loin donc, mais qui n'est pas totalement infaillible.

Il est en effet possible d'identifier une fausse fenêtre de navigateur, de plusieurs façons :

  • On le voit sur la dernière capture d'écran, mais la conception de l'en-tête et la barre d'adresse de la fenêtre contextuelle sont légèrement différentes. Veillez à bien regarder la police d'écriture ou le design des boutons de commande, qui peuvent être légèrement différents des originaux.
  • Pensez toujours à vérifier si une nouvelle fenêtre s'est bien ouverte dans la barre des tâches. Si ce n'est pas le cas, alors c'est que la fenêtre est fausse.
  • La taille de la fenêtre est sans doute l'élément le plus efficace. Essayez de la redimensionner. Si vous n'y parvenez pas, c'est qu'elle n'est pas légitime. Même chose d'ailleurs en essayant de déplacer la fenêtre. Si vous ne pouvez pas la déplacer sur les éléments de contrôle de la fenêtre initiale, c'est qu'elle est fausse.
  • Le cas échéant, vous vous apercevrez qu'une fenêtre est fausse si le clic sur le bouton « réduire » de cette dernière la ferme purement et simplement.
  • Nous vous parlions tout à l'heure du certificat SSL. Dans le cas d'un phishing BitB, le symbole de verrouillage n'est en fait qu'une banale image. Vous le remarquerez en cliquant dessus, puisque rien ne se passera. Un vrai navigateur vous laisse l'accès aux informations du certificat sur un simple clic.
  • Une fausse barre d'adresse n'est par principe pas fonctionnelle, donc elle ne vous permettra pas de saisir une URL différente. Et si malgré tout vous y parvenez, vous remarquerez qu'il sera impossible de l'ouvrir dans la même fenêtre.
  • Enfin, si vous prenez la peine de désactiver l'exécution des scripts JavaScript depuis les paramètres de votre navigateur, vous ne pourrez pas afficher les fausses fenêtres.

Source : Group-IB

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (23)

Popoulo
Me suis arrêté à « phishing ».
Kriz4liD
Les techniques sont bien rôdées , créer un site qui ressemble à une interface légitime est tellement facile .<br /> Le fishing marche car les cibles sont des jeunes ados qui souhaites avoir des skins et des jeux gratos, ils click n’importe ou et valident n’importe quoi!<br /> J avais surpris mon fils entrain desssayer de télécharger stickiman depuis un site pirate !!! Je lui ai d’abord expliqué qu’il faut faire attention car il peut y avoir des grosses saletés qui pourrait ruiner sa vie , puis je lui ai montré le bon site pirate a utiliser🫣
d0na55
la piraterie n’est pas finie
_Troll
Quand ils arrivent a voler les identifications de connwxion, apres ils en fond quoi ?
xryl
C’est diabloment efficace comme technique. Les joueurs se retrouvent dans le blizzard après. C’est valve qui va perdre l’e-steam des joueurs s’ils ne réagissent pas.
xryl
Ils vident les comptes préchargés. Ils achètent des jeux qu’ils ont eux même produit (ou un contact qui leur reverse une partie), bref, c’est pas le loto, mais une fois multiplié par le nombre de poissons, ça doit quand même rapporter pas mal vu le travail réalisé pour l’arnaque.
AlexLex14
En une phrase : certains comptes Steam vaudraient des dizaines, voire des centaines de milliers d’euros…<br /> Le reste, tu l’as deviné
xryl
Une technique toute simple contre ce genre de pratique: utiliser linux vu le bordel du desktop sous linux, c’est quasiment impossible de savoir quelle est la décoration de vos fenêtres (et donc de les imiter). Sinon, je suppose qu’il doit y avoir des outils pour changer le thème des bords des fenêtres sous Windows aussi.
SplendoRage
Il y a encore mieux. Simplement passer par l’app officielle de Steam et c’est marre !<br /> Si c’est pas dans le store, c’est que c’est pas officiel …
zeebix
Comment ils contournent steam guard ?
xryl
Ils ne contournent pas Steam Guard. Ils te présentent une fenêtre qui ressemble à Steam Guard, tout en entrant les identifiants que tu as donné préalablement sur la vrai page de Steam Guard (via leurs serveurs). Du coup, tu reçois un code de Steam (même s’il a été demandé par leur serveur et pas par toi). Comme tu fais pas gaffe que c’est pas la bonne page (après tout, elle y ressemble comme 2 gouttes d’eau), tu tapes le code que tu as reçu par SMS ou via l’appli Steam de génération de code, dans leur page. Dès que tu l’as tapé, ils l’ont et leur serveur va se connecter à ta place avec ton code (qui reste valable un certain temps). Bref, c’est game over, je ne sais pas s’ils ont poussé le vice à reproduire la page de login successful de Steam histoire que tu ne te doute de rien.<br /> Si Steam envoyait un mail qui disait que tu t’es connecté, avec l’origine de la connexion, tu te rendrais compte que tu ne te serais pas connecté de chez toi, mais de leurs serveurs.
cid1
Hier, je me suis connecté à Steam par l’appli téléchargée pour Windows, et là j’ai découvert que quelqu’un avait essayé de s’approprier mon compte, sur lequel je n’ai ni argent ni mode de paiement, heureusement Steamguard a repéré le truc et à envoyé celui-ci dans sa grotte, j’ai eu une tentative de phishing particulière sur ma mutualité, le ou les pirates ont envoyés un mail qui demandait de se connecter sur sa mutuelle, sauf que ce mail était de temps en temps écrit avec un caractère chinois, j’ai supprimé le mail et hop la, casse toi le chinuuse pirate.
March_Malow
…ensuite le propriétaire réinitialise son mot de passe et l’histoire est finie.<br /> Et même si ils ont le temps de dérober les informations bancaires (à condition qu’elles ai été enregistrées), il suffit d’activer les validations de paiements de la banque pour qu’ils ne puissent rien faire avec.<br /> Bref le piratage est facilement évitable mais cela passe par une bonne « hygiène numérique ».<br /> Si le piratage a encore de beaux jours devant lui, c’est uniquement à cause du manque de bonnes pratiques de la part des utilisateurs, et ce n’est pas la sensibilisation qui manque aujourd’hui.<br /> Mais bon les technologies évoluent vite et je ne doute pas qu’un jour le piratage deviendra impossible, ou bien à minima trop difficile pour demeurer lucratif.
Aegis
@AlexLex14 chapeau pour l’article.<br /> C’est un type d’attaque récent, bien expliqué et les solutions sont documentées. <br /> As-tu un blog ou des articles ailleurs sur la vulgarisation de la cyber sécurité? J’ai l’impression que tu as la fibre
Fitz557
Merci pour cet article ! Il est vachement bien foutu, ça fait plaisir à lire
pecore
Ou à la rigueur, si pour quelques raisons tu te trouves sur le site Steam et non l’app et que tu vois quelque chose qui t’intéresse, basculer sur l’app pour voir si l’offre s’y trouve aussi.
AlexLex14
C’est gentil ça, merci beaucoup
pecore
Je plussoie sur plusieurs messages : merci pour l’article clair et explicite.<br /> Merci aussi de ne pas avoir cédé à la tentation du sensationnalisme en mettant un titre qui laisserait entendre, mais sans le dire explicitement, que Valve serait en partie responsable de ces piratage. Tout le monde n’a pas votre professionnalisme.
AlexLex14
Salut, et merci beaucoup pour ces gentils mots agréables à lire <br /> J’ai beaucoup écrit déjà avec CluClu sur la cyber, mais sinon, j’ai tenté une petite vidéo sur ma chaîne YouTube perso sur les mots de passe (un truc de base en me disant que le grand public voudrait peut-être des conseils sur le sujet), mais j’ai l’impression que ce n’est pas vraiment le public (sur YouTube)… Elle est par ici la vidéo, avec quelques conseils utiles &gt; Comment protéger efficacement vos mots de passe ? Mes 8 conseils ! - YouTube<br /> Sinon, il y a bientôt les Assises de la sécurité et nous serons sur place, avec de beaux sujets fournis à venir sur le sujet sur Clubic
AlexLex14
Merci à toi aussi @pecore pour ces encouragements
Cleever
Pas mal de techniques… Sinon faut juste pas répondre aux inconnus
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

BitB : nouvelle technique de phishing pour récupérer votre mot de passe BitB : nouvelle technique de phishing pour récupérer votre mot de passe
Attention à ce scam qui a déjà fait 10 millions de victimes sur Facebook Attention à ce scam qui a déjà fait 10 millions de victimes sur Facebook
Voici à quoi ressemble le navigateur signé DuckDuckGo Voici à quoi ressemble le navigateur signé DuckDuckGo
Comment les cookies permettent de déjouer l'authentification à plusieurs facteurs Comment les cookies permettent de déjouer l'authentification à plusieurs facteurs
Google Chrome 104 est disponible, découvrez toutes les nouveautés Google Chrome 104 est disponible, découvrez toutes les nouveautés