Un article intéressant, et potentiellement terrifiant, de The Register révèle une vulnérabilité sérieuse dans Steam, qui aurait pu fermer la plateforme entière si elle avait été révélée publiquement.
Un expert en sécurité du nom d’Artem Moskowsky a découvert, en fouinant un peu, un bogue majeur dans l’API (Application Programming Interface) de Steamworks. Ce bug permettait de générer des clés de jeu pour presque tous les jeux actuellement en vente sur Steam.
L’API Steamworks est un système géré par Valve qui permet aux développeurs et aux éditeurs de jeux de faire toutes sortes de choses avec leurs jeux. L’API fait partie d’une suite d’outils fournis par Valve pour permettre aux créateurs de jeux d’améliorer la compatibilité, les fonctionnalités et le plaisir général des jeux sur la plateforme. Dans des circonstances normales, des éléments tels que la gestion des droits numériques, la compatibilité logicielle, la distribution de contenu et de correctifs et d’autres aspects d’un jeu peuvent être gérés via ces outils. L’une des fonctions spéciales de l’API tourne spécifiquement autour de la gestion des clés pour les jeux.
Les éditeurs et les développeurs de jeux peuvent générer des clés gratuites pour leurs jeux, puis les utiliser pour offrir des cadeaux, des codes d’évaluation gratuits et d’autres cadeaux de ce type aux joueurs et aux publications. Normalement, ce système est sécurisé et se limite aux jeux appartenant directement au développeur. Mais il s’avère que la vérification de la propriété était contrôlée par un seul identifiant côté client. Le chercheur a pu contourner l’authentification de l’API en changeant une seule valeur dans la chaîne soumise au serveur.
Pour exploiter la vulnérabilité, il était nécessaire d’effectuer une seule requête, a déclaré Moskowsky. J’ai réussi à contourner la vérification de la propriété du jeu en modifiant un seul paramètre. Après cela, je pouvais entrer n’importe quel identifiant dans un autre paramètre et obtenir n’importe quel jeu de clés.
Cela signifie qu’il avait maintenant un accès complet à la bibliothèque Steam, au moins pour générer des clés pour les jeux. Dans un exemple, 36 000 clés ont été générées pour Portal 2.
Cela signifie donc que toute personne disposant d’un compte de développeur Steamworks pouvait potentiellement générer des centaines de clés pour des jeux populaires, puis les distribuer à divers sites de revente du marché gris, réalisant ainsi un bénéfice appréciable au détriment des développeurs honnêtes. Et si cette tendance s’était répétée pour plusieurs jeux plus coûteux, la perte potentielle de revenus se serait chiffrée en millions de dollars.
Il est difficile de savoir si d’autres fonctions malveillantes ont pu être exécutées avec la version boguée de l’API. Bien que si la même vérification était en place pour des choses comme le téléchargement de contenu vers des jeux, il aurait été potentiellement possible d’introduire des charges utiles malveillantes dans des jeux populaires en utilisant un exploit similaire. Cependant, cela nécessiterait probablement de créer une version complète du jeu cible, avec la charge utile malveillante à l’intérieur, afin d’infecter les utilisateurs finaux. Je doute sérieusement que ce soit aussi facile, Valve n’est pas aussi stupide.
Ce bogue et un total de 19 autres ont été signalés à Valve par le découvreur le 7 août 2018. L’entreprise a corrigé la vulnérabilité en mettant en place des contrôles plus stricts côté serveur. Moins de trois jours après qu’il l’ait signalé à Valve, l’entreprise lui a versé une commission de découvreur de 15 000 dollars, plus 5 000 dollars de bonus. Artem Moskowsky vient donc de toucher un joli salaire.
Dans l’ensemble, prenez-en de la graine, ne mettez pas toute votre sécurité du côté client. N’importe quel pirate, expert en sécurité, ou même un enfant stupide peut battre ce genre de protection faible.
