Valve dément les informations faisant état d'une fuite de données Steam

Valve s'est défendue aujourd'hui contre les allégations de fuite massive de données sur Steam. L'entreprise a insisté sur le fait qu'aucun de ses systèmes n'avait été compromis et qu'aucun compte, mot de passe ou donnée personnelle n'avait été dérobé. Cependant, l'éditeur de Steam Games a confirmé que des pirates informatiques avaient accédé à d'anciens SMS contenant des informations limitées.

Un individu malveillant, ayant révélé sur LinkedIn être en possession de plus de 89 millions d'identifiants d'utilisateurs Steam contenant des codes d'accès à usage unique, proposait ces informations volées, prétendument extraites de Steam, au prix de 5 000 $.

Valve nie toute violation de données suite à la fuite des codes d'authentification à deux facteurs

indépendant spécialisédent les jeux vidéo et créateur du groupe SteamSentinels Community, a suggéré que l'incidentdent dû à une compromission de la chaîne d'approvisionnement impliquant Twilio. Il a révélé des preuves techniques dans la fuite, montrant des entrées de journal SMS en temps réel provenant des systèmes de Twilio. Il pense que l'abus a compromis le compte administrateur ou les clés API. 

Salut les gamers ! Paniqués par la fuite de 89 millions de comptes Steam ? Pas de panique, Valve assure que ce n'est pas grave. Il s'agit simplement d'anciens SMS et numéros de téléphone pour l'authentification à deux facteurs, pas de mots de passe ni de cartes bancaires. Analysons la situation ensemble. #Steam #Gaming #CyberSec #NoPanicZone pic.twitter.com/XoRgPgWIBP

– Jamal Allenjawi (@Lengo213) 15 mai 2025

Twilio, fournisseur de services cloud et d'API pour l'envoi de SMS, d'appels vocaux et de messages d'authentification à deux facteurs (2FA) utilisés par Steam pour l'authentification des utilisateurs, a reconnu l'incident et confirmé enquêter sur ladent. Un porte-parole de Twilio a déclaré que l'entreprise prenait cette affaire très au sérieux. Il a ajouté qu'elle examinait l'dent présumé et communiquerait davantage d'informations dès qu'elles seraient disponibles.

Un communiqué de Valve a révélé que l'entreprise poursuivait ses investigations afin de déterminer l'origine de la fuite. Selon Valve, tout SMS est chiffré lors de sa transmission et transite par plusieurs opérateurs avant d'atteindre le téléphone de l'utilisateur.

Valve a déclaré que tous les codes en possession du pirate étaient périmés et qu'aucun fichier ne contenait d'informations de paiement ni de lien direct avec les numéros de téléphone associés aux comptes Steam. Les données consistaient en d'anciens SMS contenant des codes à usage unique valables 15 minutes seulement. Valve a précisé qu'il ne s'agissait pas d'une violation des systèmes Steam.

L'éditeur Steam a ajouté qu'aucune autre information de compte, mot de passe, donnée de paiement ou donnée personnelle ne se trouvait dans le cache. Twilio a ensuite pris contact avec Steam pour préciser qu'aucun élément ne laissait supposer que ses systèmes avaient été compromis. Le porte-parole de l'entreprise a déclaré que Twilio avait examiné un échantillon des données trouvées en ligne et n'avait trouvé aucun indice permettant de les relier à ses systèmes.

Valve recommande l'utilisation de Steam Mobile Authenticator

Steam rappelle aux utilisateurs de faire preuve de prudence lorsqu'ils reçoivent des codes SMS pour modifier leur adresse e-mail ou leur mot de passe Steam. Ces codes seront envoyés par e-mail ou via le système de messagerie sécurisée de Steam lors de toute demande de changement de mot de passe. 

D'après Valve, les utilisateurs n'ont pas besoin de modifier leur mot de passe ni leur numéro de téléphone, mais l'activation de l'authentificateur mobile Steam est fortement recommandée pour unetron. Valve a précisé que cet outil envoie les messages directement à l'application mobile Steam, sans passer par des applications tierces.

L'équipe de sécurité de Valve enquête sur les anciens messages retrouvés en ligne afin de déterminer comment ils ont été divulgués et d'empêcher que cela ne se reproduise. Les utilisateurs de Steam peuvent consulter régulièrement la sécurité de leur compte via le lien pour rester informés des dernières modifications apportées aux enregistrements. 

Des communautés en ligne comme Underdark.ai  estiment que les conséquences sont graves, compte tenu du rôle de Steam en tant que plateforme de jeux et de la mine d'or de données personnelles et financières liées à ses utilisateurs du monde entier. Un article publié sur LinkedIn par Underdark.ai révèle que la vérification de cette faille pourrait entraîner une vague d'hameçonnage. L'article ajoute que des prises de contrôle de comptes et des attaques ciblées au sein de la communauté des joueurs sont également possibles. 

de Steam peuvent protéger leurs comptes en activant l'authentification à deux facteurs (2FA). L'article les incitait également à surveiller leurs courriels afin de détecter toute activité suspecte et à modifier leurs mots de passe Steam. Il soulignait en effet que les utilisateurs devaient se méfier des tentatives d'hameçonnage se faisant passer pour des publicités de jeux ou des messages d'assistance.