Rechercher Annuler

Un hacker de 16 ans pirate Steam et y installe son jeu

De Nicolas - Posté le 30 mars 2016 à 16h53 dans Jeux vidéo

Une faille dans la plateforme Steam vient d'être mise en lumière d'une manière bien originale puisqu'un adolescent de 16 ans l'a utilisé pour installer son jeu sur le site sans l'accord de Valve. Une prouesse que nous vous détaillons. 

steam

Un hacker honnête

Ruby Nealon a fait les choses bien puisqu'avant de hacker Steam, le jeune homme de 16 ans a envoyé plusieurs mails à Valve pour alerter sur une faille de sécurité. Malheureusement, tous les messages sont restés sans réponse. Face à ce mutisme, le jeune homme a donc décidé de passer à la vitesse supérieure en installant un faux jeu sur la plateforme, le tout sans passer par les procédures de certifications habituellement nécessaires et sans payer les 100 dollars qui permettent de proposer des titres sur Greenlight. Le jeu, baptisé Watch Paint Dry, ne dure que 45 secondes et était surtout un prétexte pour prouver la faille. Il n'aura fallu que quelques heures pour que les premières réactions des utilisateurs arrivent et que Valve prenne la mesure du problème.

"J'ai été satisfait des réactions des gens. Les gens se sont énervés à ce sujet et je voulais qu'ils en parlent. Je voulais que les gens réalisent qu'il s'agit d'un des plus gros sites Internet et que c'est un back-end. Un putain d'ado de 16 ans a fait ça en deux nuits", affirme Ruby

Une mise en place assez simple...

Ruby détaille grossièrement les étapes de son piratage. On apprend ainsi qu'il a réussi à récupérer Steamworks, l'outil permettant de préparer l'intégration d'un jeu sur Steam. Ensuite, une autorisation en trois étapes est nécessaire : fiche produit, version finale soumise puis validation finale. En modifiant le code source de Steamworks, le jeune hacker a fait croire à Steam que sa fiche produit était faite en lui accordant la valeur correspondant aux produits validés. En remplaçant des identifiants, le jeu s'est automatiquement retrouvé sur la plateforme comme s'il avait passé toutes les autorisations

steam

... pour un expert

Si les opérations semblent assez simples, nous tenons à rappeler que Ruby est un petit génie puisqu'il a intégré l'université à l'âge de 14 ans et qu'il s'amuse à dénicher les failles de sécurité sur les plus gros sites depuis ses 11 ans. Il ainsi déjà découvert des failles chez Microsoft ou Corsair. Concernant la réaction de Valve, le jeune homme se dit déçu : 

"Non seulement ils ne m'ont pas offert de récompense comme l'aurait fait Google, mais ils ne veulent pas non plus me mettre dans leur page des remerciements liés à la sécurité, car c'est apparemment seulement pour les gens soumettant régulièrement des bugs. Je ne veux pas avoir l'air de râler pour des conneries gratuites, mais si c'était Google [...] avec le même genre de vulnérabilité, ils auraient payé. Mais Valve ne m'a rien proposé. Je ne suis pas énervé, mais je suis un peu déçu, vu la taille d'une compagnie telle que Valve […] En ne proposant pas de récompense, vous passez à côté de centaines de choses qui passent inaperçues et qui pourraient même être exploitées en ce moment même par les mauvaises personnes, simplement car les chercheurs n'ont pas envie de prendre du temps sur un travail qui ne paye pas."

Valve finit par faire un maigre geste 

La société a finalement décidé de laisser le compte éditeur de Ruby Nealon actif afin qu'il puisse poursuivre sa chasse aux failles. Notez qu'il a d'ailleurs déjà trouvé deux autres bugs qu'il révèlera lorsqu'ils seront corrigés. Une faiblesse en termes de sécurité qui est loin d'être rassurante pour les utilisateurs et pour la société elle-même qui ferait bien de mettre les bouchées doubles pour sécuriser davantage sa plateforme. 

Une erreur ?

Source(s) : Kotaku

Mots-Clés : hackersteamvalve

Par Nicolas

J'ai découvert les nouvelles technologies en jouant à Duck Hunt sur ma Nes, en passant des appels sur mon mobile Itinéris et en insultant des routiers via la Cibi de mon père. Eh oui, j'ai bientôt 35 ans ! Je suis recordman de la rédaction de SMS avec un doigt. Signe particulier : ne possède pas d'iPhone ! Edit 2021 : quelques années de plus et finalement j'ai un iPhone dans la poche.

Cliquez sur une phrase de l'article pour proposer une correction.

J'ai compris !

Commentaires (42)

Par jeanLucasec, il y a 8 ans :

Il va se faire embaucher par Valve !

Répondre à ce commentaire

Par Techniks, il y a 8 ans (en réponse à jeanLucasec):

il va devenir pdg de Valve

Répondre à ce commentaire

Par le mangeur de poney, il y a 8 ans (en réponse à Techniks):

enfin co-pdg raptor jésus nowell (pas sur de l'exactitude du nom) est toujours la malgré tout

Répondre à ce commentaire

Par Jamjam, il y a 8 ans (en réponse à le mangeur de poney):

C'est Gabe Newell putain... Sérieusement ça t'aurais pris 2 secondes pour vérifier et maintenant tu passes pour un glandu. Si tu connais pas GabeN alors ne dis rien et ne poste pas ce genre de commentaires inutiles et pathétiques pour faire croire que tu t'y connais alors que tu ne sais même pas comment il s'appelle. C'est vraiment triste...

Répondre à ce commentaire

Par Captain Obvious, il y a 8 ans (en réponse à Jamjam):

Oulalala c'est vraiment très très grave !
Ta réaction est infiniment plus triste.

Répondre à ce commentaire

Par Baboth, il y a 8 ans (en réponse à Jamjam):

Non mais... Sérieux?!
Le commentaire "inutile et pathétique", j'aurais plutôt tendance à dire qu'il vient de toi. T'as pas l'impression de t'exciter pour rien? Abruti.

Répondre à ce commentaire

Par le mangeur de poney, il y a 8 ans (en réponse à Jamjam):

classic pc master race j'ai rien contre les joueurs pc mais j'aime pas les cons et par hasard tu joue sur PC =D non srx il était 4h du mat quand jai posté mec regarde l'heure avant de parler pour rien

Répondre à ce commentaire

Par Hyperaziel, il y a 8 ans (en réponse à le mangeur de poney):

Hey deviens pas agressif envers les PCistes parce que t'est tombé sur un troud'balle mal luné, deviens pas comme lui :)

Répondre à ce commentaire

Par Nawlieth, il y a 8 ans (en réponse à le mangeur de poney):

#Pasdamalgames

Répondre à ce commentaire

Par ujyhgf, il y a 8 ans (en réponse à le mangeur de poney):

Le président français actuel (2016), Jacques Chirac (pas sûr de l'exactitude du nom).
On wait

Répondre à ce commentaire

Par Nono, il y a 8 ans (en réponse à Jamjam):

C'est triste de s’appeler Jamjam...

Répondre à ce commentaire

Par Mamie carotte, il y a 8 ans (en réponse à Techniks):

Enfaite Gaben est le président du conseil d'administration de valve étant donné que valve est une société dîte "horizontale", donc ces salariés n'ont pas réellement de supérieur hiérarchique, donc pas de PDG. (Merci wikipédia :D)

Répondre à ce commentaire

Par Oui, il y a 8 ans :

Eh bah. C'est qu'ils sont vachement reconnaissants chez Valve, heureusement pour eux ce petit gars n'avait pas de mauvaises intentions. Ça aurait pu vite dégénérer s'il avait leak cette faille sur des sites comme Reddit...

Répondre à ce commentaire

Par LeTitanicNeSombreraPlus, il y a 8 ans (en réponse à Oui):

Je me demande si leurs développeurs ne sortent pas de chez Apple, car ils sont pareils

Répondre à ce commentaire

Par Monkey3, il y a 8 ans (en réponse à LeTitanicNeSombreraPlus):

Tu peux développer s'il te plait ???

Répondre à ce commentaire

Par Logan Cold, il y a 8 ans (en réponse à Monkey3):

C'est en DLC, ça, gros.

Répondre à ce commentaire

Par Overlord, il y a 8 ans (en réponse à Logan Cold):

Ouaip mais seulement si tu le pré-commande et achète le season pass ^^

Répondre à ce commentaire

Par Hieronymus, il y a 8 ans :

La vraie question a se poser vous ont conviendrait tous est de savoir si ces parents lui ont vraiment donné un nom comme ça ??

Répondre à ce commentaire

Par Hyperaziel, il y a 8 ans (en réponse à Hieronymus):

La réponse est oui et c'est sans doute ce traumatisme qui l'a obligé a mûrir très vite #jeanmichelfreudhumoriste

Répondre à ce commentaire

Par Vorkul, il y a 8 ans (en réponse à Hieronymus):

C'était des fans de Zelda :P

Répondre à ce commentaire

Par DkL, il y a 8 ans (en réponse à Vorkul):

Je pense plus que ses parents était programmeur car le Ruby est un langage de programmation à moins que ce ne soit une grosse coïncidence ^^

Répondre à ce commentaire

Par eliox, il y a 8 ans :

Valve pas reconnaissant c'est sur qu'ils vont se faire hacker par d'autres moins sympa...

Moi si je devais hacker Steam, je donnerai des jeux gratos :)

Répondre à ce commentaire

Par Novaplimouth , il y a 8 ans via l'application Hitek :

Ou alors si ils sortent pas de chez Windows qui offre de magnifiques ecran bleu ;)

Répondre à ce commentaire

Par Brolydbs, il y a 8 ans :

Il a intégré l'université a l'age de 14 ,bien sur .

Répondre à ce commentaire

Par John Polen, il y a 8 ans (en réponse à Brolydbs):

ça arrive aux génies et il y en a plein qui arrivent à la fac avant d'avoir 15 ans.

Répondre à ce commentaire

Par Meta, il y a 8 ans (en réponse à Brolydbs):

C'est pas rare tu sais? j'ai une amie qui est entrée en prépa à 15 ans après tout '-'

Répondre à ce commentaire

Par benouais, il y a 8 ans :

Tain vla la faille de ouf ... pouvoir déposer ce qu'on veux sur steam , virus trojan et j'en passe .... je vous dit pas la claque que ce serait pris valve ... Surtout si sont exploitation est aussi simpliste que décrite ici O_O

ils devraient lui baiser les pieds ... littéralement !!! Vu le fric et l'image qu'il vient de leur éviter de perdre ...

Répondre à ce commentaire

Par Nerax, il y a 8 ans via l'application Hitek :

Ce mec ira loin dans la vie !

Répondre à ce commentaire

Par Paeh, il y a 8 ans :

Il aurait pu proposer Half-Life 3 histoire de les troller un peu plus.

Répondre à ce commentaire

Par Quelqu'un, il y a 8 ans :

Les identifiants dans les champs cachés des formulaires, je crois que c'est ce dont on se méfie le plus lorsque l'on est développeur, c'est un peu la faille de sécurité la plus banale dans le domaine...

Cela rend bien service à Valve, cependant je comprends que cela ne mérite pas de récompense, c'est pas comme-ci le petit génie avait déniché une faille demandant un travail d'expert.

Répondre à ce commentaire

Par Quelqu'un, il y a 8 ans (en réponse à Quelqu'un):

S'il avait ouvert le code source de steamwork dans un IDE, et fait une recherche dans tous les fichiers pour la valeur "id", il aurait pu trouver sa faille en 10/15 minutes et pas deux nuits...

Répondre à ce commentaire

Par hQamonky, il y a 8 ans (en réponse à Quelqu'un):

"Cela rend bien service à Valve, cependant je comprends que cela ne mérite pas de récompense"
Comme tu l'as dis "cela rend bien service", dans le monde de l'entreprise un service ça se paye. Par exemple valve est une société que livre des services, et leurs services ne sont pas gratuit !
"c'est pas comme-ci le petit génie avait déniché une faille demandant un travail d'expert."
Ce n'est pas parce que tu n'es pas LE meilleur et que tu n'as pas fournis quelque chose le plus rapidement ou le plus efficacement possible que tu ne mérite pas d'être récompensé. L'important c'est que tu l'as fait et t'es le seul à l'avoir fait. La caissière de ton supermarché est payée à la fin du mois, pourtant pas besoin d'être un expert pour faire son travail.
En plus il pourrait le récompenser pour montrer leur gratitude, ça ne coûte vraiment pas grand chose à une société de l'ampleur de valve de lui donner quelques jeux ou un peu d'argent.
Je trouve ça encore plus aberrant qu'ils le "récompensent" en laissant son compte éditeur actif. En gros c'est "tient on te laisse faire le boulot à notre place et en plus tu le fais gratuit".

Répondre à ce commentaire

Par Yolo, il y a 8 ans :

Ils sont sérieux avec leur formuaires a la con ? La possibilité de modifier les gens même HIDDEN c'est ce qu'on apprends dès le début du dev html/php ....

Répondre à ce commentaire

Par spraydown, il y a 8 ans :

Gaben left the game (Got shrekt by a kid)

Répondre à ce commentaire

Par spraydown, il y a 8 ans :

D'après l'explication, la faille n'était vraiment pas compliquée à trouver, on dirait un code de débutant..

Répondre à ce commentaire

Par Geek Malin, il y a 8 ans :

Quelle bande de pinces Valve !! Ces sociétés sont prêtes à débourser des centaine de milliers de dollars pour des audits de sécurité, mais pas à lâcher quelques dollars et des remerciement à un môme qui clairement leur à peut-être éviter le pire !

Répondre à ce commentaire

Par Stroumph, il y a 8 ans :

Il va trouver Half Life 3 dans un fichier caché !!!!

Répondre à ce commentaire

Par Hade, il y a 8 ans :

" Il ainsi déjà découvert des failles chez Microsoft ou Corsair." Petite faute dans la rédaction ;)

Répondre à ce commentaire

Par Olbatarr, il y a 8 ans :

Valve ne sert strictement à rien, tu te fais hack ton compte voler 500€ de skin CS et Valve te dit que se n'est pas de leur faute ! C'est qu'une bande de rigolos sans compétences , donc il aurait dû les laisser dans leur ignorance et faire de la merde pour les mettre en PLS !

Répondre à ce commentaire

Par encore moi XD coucou !, il y a 4 ans :

Je suis totalement d'accord avec toi, mais le génie à fait son choix. Moi à sa place, si j'avais ces compétences, j'aurais hacké Valve, copié ses jeux dans mes dossiers, supprimé leur jeu dans leur boutique d'application et voir leur réaction, puis rendre leur jeu en ayant rajouté des bugs par-ci et par-la pour les emmerder, pour qu'ils se réveillent et pour les faire travailler un peu

ça serait drôle si quelqu'un qui a ces compétences le ferait à ma place

Répondre à ce commentaire

Par encore moi XD coucou !, il y a 4 ans (en réponse à encore moi XD coucou !):

après, je ne vous oblige pas à le faire, mais ça serait drôle XD

Si un hacker lis mon message ( si quelqu'un le lis, ça serait une prouesse )

tu peux le faire et me contacter pour me dire si tu as réussi et savoir leur réaction s'il te plaît ?

en échange, lis ceci :

Lis mon adresse email, je pense que ça pourrait te faire rire XD

Répondre à ce commentaire

Par encore moi XD coucou !, il y a 4 ans :

Désolé, je n'ai pas mieux comme récompense à part te taper des barres sur mon adresse email (UwU)

Répondre à ce commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas visible. Pour avoir une image de profil, utilisez le service gravatar.

Tu es membre premium car tu as commandé une HITEKBOX. Tu peux donc ajouter des smileys et des images.