Steam : une faille âgée de 10 ans menaçait les utilisateurs du service

Un bug vieux d'une dizaine d'années se cachait tranquillement dans Steam. Il donnait la possibilité à des hackers de contrôler le PC d'autres utilisateurs.

C’est sur le blog de Tom Court que l’on découvre un bug qui permettait jusqu’au 22 mars dernier aux hackers de potentiellement prendre le contrôle d’ordinateurs d’autres utilisateurs de Steam, la plateforme de Valve. Celle-ci est fréquentée par une base active de quinze millions de joueurs, ce qui n’est pas rien. Et comme l’illustre Tom Court dans la vidéo ci-dessous, il a par exemple pu ouvrir la calculatrice d’un ordinateur sous Windows 10 en exploitant ladite faille. Dans les faits, un dysfonctionnement permettait à des utilisateurs malintentionnés d’utiliser des lignes de commandes à distance.

La faille était issue d’une corruption provenant d’un tas (emplacement de la mémoire créer lors de l’exécution de Steam) de la librairie du logiciel, et cette corruption pouvait être déclenchée à distance par des pirates. Sa localisation, dans une zone de code qui permet de communiquer des paquets de données via Internet et plus particulièrement un protocole UDP, posait problème. La firme de Bellevue a toutefois été prompte à s’occuper du problème : la faille, rapportée le 20 février dernier, était déjà en passe d’être corrigée sur la branche bêta de Steam 12 heures plus tard.

Un patch correctif stable et fonctionnel a quant à lui été déployé le 22 mars dernier, réglant intégralement le problème présent dans le client Steam depuis dix ans. Ce qui montre qu’il est utile de redoubler de vigilance et mettre les mains dans le code pour ceux qui ont des connaissances dans le domaine, surtout dans le cas d’outils qui commencent à manifester un certain âge. Tom Court a ici salué la réactivité de Valve, alors que ce dernier a remercié l’homme pour sa trouvaille.