Fuite massive de données Steam : Plus de 89 millions d'utilisateurs potentiellement exposés via un fournisseur tiers

Steam, la célèbre plateforme de jeux vidéo sur PC, est reconnue pour sa robustesse et sa sécurité. Pourtant, une récente alerte vient ébranler cette réputation : une fuite massive de données aurait exposé les informations de plus de 89 millions d'utilisateurs. Cette brèche n'est pas directement liée à Steam lui-même, mais à un fournisseur tiers, probablement chargé de la gestion des SMS pour l’authentification à deux facteurs (2FA), avec lequel Valve aurait collaboré.

L'alerte a été relayée par Mellow_Online1 sur Twitter, suite à une publication LinkedIn de la société Underdark, spécialisée dans la cybersécurité. Selon cette publication, un hacker opérant sous le pseudonyme Machine1337 aurait mis en vente un ensemble de données contenant plus de 89 millions d’enregistrements Steam sur un forum du dark web.

Ce lot de données ne se limite pas aux simples identifiants. D’après l’analyse d’Underdark AI, les informations volées incluraient :

• des noms d'utilisateur et mots de passe,

• des journaux de SMS 2FA,

• le contenu des messages,

• des métadonnées,

• et même des informations sur l’état de livraison des SMS.

Cela suggère une faille critique chez un prestataire de services cloud chargé de l’envoi des messages de vérification 2FA pour Steam et potentiellement d'autres services.

Même si Steam n’a pas été directement piraté, cette fuite reste très préoccupante. L'attaque cible probablement un service externe auquel Valve faisait appel pour sécuriser ses connexions utilisateurs. Ce genre de sous-traitance est courant dans l’industrie, mais cette affaire souligne les risques qu’elle peut entraîner.

La publication d’Underdark mentionne que le nom du fournisseur compromis figure dans les journaux récupérés, bien qu’il ne soit pas révélé publiquement. Cela renforce l’idée que Valve aurait pu être pris de court par la défaillance d’un partenaire externe.

L’exposition d’autant de données ouvre la voie à plusieurs types de menaces :

• Tentatives de réutilisation d’identifiants sur d'autres sites (technique du credential stuffing),

• Envoi de faux SMS 2FA pour piéger les utilisateurs,

• Accès frauduleux aux comptes, surtout si l’utilisateur a négligé de changer ses mots de passe.

Si vous utilisez Steam, il est impératif d’agir rapidement :

1. Changez immédiatement votre mot de passe Steam, surtout si vous l’utilisez aussi ailleurs.

2. Activez Steam Guard, l’authentification à deux facteurs de la plateforme.

3. Ignorez tout message suspect ou inattendu demandant des codes de vérification.

4. Utilisez un gestionnaire de mots de passe pour avoir des identifiants uniques et complexes pour chaque service.

Cette affaire rappelle une vérité fondamentale du monde numérique : la sécurité d’un service dépend aussi de ses partenaires. Même si Valve applique des protocoles rigoureux, un maillon faible dans la chaîne peut tout compromettre.

Restez vigilant, surveillez vos comptes, et adoptez de bonnes pratiques numériques. Dans un monde où la cybercriminalité ne cesse de croître, mieux vaut prévenir que guérir.