Un hacker de 16 ans pirate Steam et y installe son jeu

30 mars 2016 à 16h53 dans Jeux vidéo

Une faille dans la plateforme Steam vient d'être mise en lumière d'une manière bien originale puisqu'un adolescent de 16 ans l'a utilisé pour installer son jeu sur le site sans l'accord de Valve. Une prouesse que nous vous détaillons.

steam

Un hacker honnête

Ruby Nealon a fait les choses bien puisqu'avant de hacker Steam, le jeune homme de 16 ans a envoyé plusieurs mails à Valve pour alerter sur une faille de sécurité. Malheureusement, tous les messages sont restés sans réponse. Face à ce mutisme, le jeune homme a donc décidé de passer à la vitesse supérieure en installant un faux jeu sur la plateforme, le tout sans passer par les procédures de certifications habituellement nécessaires et sans payer les 100 dollars qui permettent de proposer des titres sur Greenlight. Le jeu, baptisé Watch Paint Dry, ne dure que 45 secondes et était surtout un prétexte pour prouver la faille. Il n'aura fallu que quelques heures pour que les premières réactions des utilisateurs arrivent et que Valve prenne la mesure du problème.

"J'ai été satisfait des réactions des gens. Les gens se sont énervés à ce sujet et je voulais qu'ils en parlent. Je voulais que les gens réalisent qu'il s'agit d'un des plus gros sites Internet et que c'est un back-end. Un putain d'ado de 16 ans a fait ça en deux nuits", affirme Ruby

Une mise en place assez simple...

Ruby détaille grossièrement les étapes de son piratage. On apprend ainsi qu'il a réussi à récupérer Steamworks, l'outil permettant de préparer l'intégration d'un jeu sur Steam. Ensuite, une autorisation en trois étapes est nécessaire : fiche produit, version finale soumise puis validation finale. En modifiant le code source de Steamworks, le jeune hacker a fait croire à Steam que sa fiche produit était faite en lui accordant la valeur correspondant aux produits validés. En remplaçant des identifiants, le jeu s'est automatiquement retrouvé sur la plateforme comme s'il avait passé toutes les autorisations.

steam

... pour un expert

Si les opérations semblent assez simples, nous tenons à rappeler que Ruby est un petit génie puisqu'il a intégré l'université à l'âge de 14 ans et qu'il s'amuse à dénicher les failles de sécurité sur les plus gros sites depuis ses 11 ans. Il ainsi déjà découvert des failles chez Microsoft ou Corsair. Concernant la réaction de Valve, le jeune homme se dit déçu :

"Non seulement ils ne m'ont pas offert de récompense comme l'aurait fait Google, mais ils ne veulent pas non plus me mettre dans leur page des remerciements liés à la sécurité, car c'est apparemment seulement pour les gens soumettant régulièrement des bugs. Je ne veux pas avoir l'air de râler pour des conneries gratuites, mais si c'était Google [...] avec le même genre de vulnérabilité, ils auraient payé. Mais Valve ne m'a rien proposé. Je ne suis pas énervé, mais je suis un peu déçu, vu la taille d'une compagnie telle que Valve […] En ne proposant pas de récompense, vous passez à côté de centaines de choses qui passent inaperçues et qui pourraient même être exploitées en ce moment même par les mauvaises personnes, simplement car les chercheurs n'ont pas envie de prendre du temps sur un travail qui ne paye pas."

Valve finit par faire un maigre geste

La société a finalement décidé de laisser le compte éditeur de Ruby Nealon actif afin qu'il puisse poursuivre sa chasse aux failles. Notez qu'il a d'ailleurs déjà trouvé deux autres bugs qu'il révèlera lorsqu'ils seront corrigés. Une faiblesse en termes de sécurité qui est loin d'être rassurante pour les utilisateurs et pour la société elle-même qui ferait bien de mettre les bouchées doubles pour sécuriser davantage sa plateforme.

Rédigé par Nicolas

J'ai découvert les nouvelles technologies en jouant à Duck Hunt sur ma Nes, en passant des appels sur mon mobile Itinéris et en insultant des routiers via la Cibi de mon père. Eh oui, j'ai bientôt 35 ans ! Je suis recordman de la rédaction de SMS avec un doigt. Signe particulier : ne possède pas d'iPhone ! Edit 2021 : quelques années de plus et finalement j'ai un iPhone dans la poche.

Articles de Nicolas

Source(s) : Kotaku

Sujets chauds

Kaamelott : Alexandre Astier annonce l'arrivée de ce cadeau pour les 20 ans de la série

Dune Prophecy épisode 1 : les internautes comparent la série HBO à Game of Thrones

Harry Potter : J.K. Rowling très impliquée dans la série HBO, Warner prend sa défense

Léna Situations a vécu cette expérience drastique, les internautes se demandent pourquoi

Dragons : les internautes réagissent au trailer du live-action, ça pue pour Dreamworks

Marvel : voici comment le MCU pourrait ramener Jenna Ortega après Iron Man 3

Sujets pouvant vous intéresser

Game of Thrones : la fin de la saison 7 pourrait bientôt être mise en ligne par les hackers

Des hackers allemands dévoilent la vulnérabilité de l'appli McDonald's pour manger gratuitement

Les robots sexuels pourraient bien finir par vous tuer

"Votre pénis m'appartient maintenant" : quand leur ceinture de chasteté est verrouillée par un…

Un jeune hacker de 16 ans a créé un virus qui lui a rapporté 358 000 euros

A lui seul, ce hacker s'en prend à la Corée du Nord

hackersteamvalve

Commentaires (42)

Il va se faire embaucher par Valve !

Par jeanLucasec, il y a 9 ans Répondre

il va devenir pdg de Valve

Par Techniks, il y a 9 ans (en réponse à jeanLucasec) Répondre

enfin co-pdg raptor jésus nowell (pas sur de l'exactitude du nom) est toujours la malgré tout

Par le mangeur de poney, il y a 9 ans (en réponse à Techniks) Répondre

C'est Gabe Newell putain... Sérieusement ça t'aurais pris 2 secondes pour vérifier et maintenant tu passes pour un glandu. Si tu connais pas GabeN alors ne dis rien et ne poste pas ce genre de commentaires inutiles et pathétiques pour faire croire que tu t'y connais alors que tu ne sais même pas comment il s'appelle. C'est vraiment triste...

Par Jamjam, il y a 9 ans (en réponse à le mangeur de poney) Répondre

Oulalala c'est vraiment très très grave !
Ta réaction est infiniment plus triste.

Par Captain Obvious, il y a 9 ans (en réponse à Jamjam) Répondre

Non mais... Sérieux?!
Le commentaire "inutile et pathétique", j'aurais plutôt tendance à dire qu'il vient de toi. T'as pas l'impression de t'exciter pour rien? Abruti.

Par Baboth, il y a 9 ans (en réponse à Jamjam) Répondre

classic pc master race j'ai rien contre les joueurs pc mais j'aime pas les cons et par hasard tu joue sur PC =D non srx il était 4h du mat quand jai posté mec regarde l'heure avant de parler pour rien

Par le mangeur de poney, il y a 9 ans (en réponse à Jamjam) Répondre

Hey deviens pas agressif envers les PCistes parce que t'est tombé sur un troud'balle mal luné, deviens pas comme lui :)

Par Hyperaziel, il y a 9 ans (en réponse à le mangeur de poney) Répondre

#Pasdamalgames

Par Nawlieth, il y a 9 ans (en réponse à le mangeur de poney) Répondre

Le président français actuel (2016), Jacques Chirac (pas sûr de l'exactitude du nom).
On wait

Par ujyhgf, il y a 9 ans (en réponse à le mangeur de poney) Répondre

C'est triste de s’appeler Jamjam...

Par Nono, il y a 9 ans (en réponse à Jamjam) Répondre

Enfaite Gaben est le président du conseil d'administration de valve étant donné que valve est une société dîte "horizontale", donc ces salariés n'ont pas réellement de supérieur hiérarchique, donc pas de PDG. (Merci wikipédia :D)

Par Mamie carotte, il y a 9 ans (en réponse à Techniks) Répondre

Eh bah. C'est qu'ils sont vachement reconnaissants chez Valve, heureusement pour eux ce petit gars n'avait pas de mauvaises intentions. Ça aurait pu vite dégénérer s'il avait leak cette faille sur des sites comme Reddit...

Par Oui, il y a 9 ans Répondre

Je me demande si leurs développeurs ne sortent pas de chez Apple, car ils sont pareils

Par LeTitanicNeSombreraPlus, il y a 9 ans (en réponse à Oui) Répondre

Tu peux développer s'il te plait ???

Par Monkey3, il y a 9 ans (en réponse à LeTitanicNeSombreraPlus) Répondre

C'est en DLC, ça, gros.

Par Logan Cold, il y a 9 ans (en réponse à Monkey3) Répondre

Ouaip mais seulement si tu le pré-commande et achète le season pass ^^

Par Overlord, il y a 9 ans (en réponse à Logan Cold) Répondre

La vraie question a se poser vous ont conviendrait tous est de savoir si ces parents lui ont vraiment donné un nom comme ça ??

Par Hieronymus, il y a 9 ans Répondre

La réponse est oui et c'est sans doute ce traumatisme qui l'a obligé a mûrir très vite #jeanmichelfreudhumoriste

Par Hyperaziel, il y a 9 ans (en réponse à Hieronymus) Répondre

C'était des fans de Zelda :P

Par Vorkul, il y a 9 ans (en réponse à Hieronymus) Répondre

Je pense plus que ses parents était programmeur car le Ruby est un langage de programmation à moins que ce ne soit une grosse coïncidence ^^

Par DkL, il y a 9 ans (en réponse à Vorkul) Répondre

Valve pas reconnaissant c'est sur qu'ils vont se faire hacker par d'autres moins sympa...

Moi si je devais hacker Steam, je donnerai des jeux gratos :)

Par eliox, il y a 9 ans Répondre

Ou alors si ils sortent pas de chez Windows qui offre de magnifiques ecran bleu ;)

Par Novaplimouth , il y a 9 ans Répondre

Il a intégré l'université a l'age de 14 ,bien sur .

Par Brolydbs, il y a 9 ans Répondre

ça arrive aux génies et il y en a plein qui arrivent à la fac avant d'avoir 15 ans.

Par John Polen, il y a 9 ans (en réponse à Brolydbs) Répondre

C'est pas rare tu sais? j'ai une amie qui est entrée en prépa à 15 ans après tout '-'

Par Meta, il y a 9 ans (en réponse à Brolydbs) Répondre

Tain vla la faille de ouf ... pouvoir déposer ce qu'on veux sur steam , virus trojan et j'en passe .... je vous dit pas la claque que ce serait pris valve ... Surtout si sont exploitation est aussi simpliste que décrite ici O_O

ils devraient lui baiser les pieds ... littéralement !!! Vu le fric et l'image qu'il vient de leur éviter de perdre ...

Par benouais, il y a 9 ans Répondre

Ce mec ira loin dans la vie !

Par Nerax, il y a 9 ans Répondre

Il aurait pu proposer Half-Life 3 histoire de les troller un peu plus.

Par Paeh, il y a 9 ans Répondre

Les identifiants dans les champs cachés des formulaires, je crois que c'est ce dont on se méfie le plus lorsque l'on est développeur, c'est un peu la faille de sécurité la plus banale dans le domaine...

Cela rend bien service à Valve, cependant je comprends que cela ne mérite pas de récompense, c'est pas comme-ci le petit génie avait déniché une faille demandant un travail d'expert.

Par Quelqu'un, il y a 9 ans Répondre

S'il avait ouvert le code source de steamwork dans un IDE, et fait une recherche dans tous les fichiers pour la valeur "id", il aurait pu trouver sa faille en 10/15 minutes et pas deux nuits...

Par Quelqu'un, il y a 9 ans (en réponse à Quelqu'un) Répondre

"Cela rend bien service à Valve, cependant je comprends que cela ne mérite pas de récompense"
Comme tu l'as dis "cela rend bien service", dans le monde de l'entreprise un service ça se paye. Par exemple valve est une société que livre des services, et leurs services ne sont pas gratuit !
"c'est pas comme-ci le petit génie avait déniché une faille demandant un travail d'expert."
Ce n'est pas parce que tu n'es pas LE meilleur et que tu n'as pas fournis quelque chose le plus rapidement ou le plus efficacement possible que tu ne mérite pas d'être récompensé. L'important c'est que tu l'as fait et t'es le seul à l'avoir fait. La caissière de ton supermarché est payée à la fin du mois, pourtant pas besoin d'être un expert pour faire son travail.
En plus il pourrait le récompenser pour montrer leur gratitude, ça ne coûte vraiment pas grand chose à une société de l'ampleur de valve de lui donner quelques jeux ou un peu d'argent.
Je trouve ça encore plus aberrant qu'ils le "récompensent" en laissant son compte éditeur actif. En gros c'est "tient on te laisse faire le boulot à notre place et en plus tu le fais gratuit".

Par hQamonky, il y a 9 ans (en réponse à Quelqu'un) Répondre

Ils sont sérieux avec leur formuaires a la con ? La possibilité de modifier les gens même HIDDEN c'est ce qu'on apprends dès le début du dev html/php ....

Par Yolo, il y a 9 ans Répondre

Gaben left the game (Got shrekt by a kid)

Par spraydown, il y a 9 ans Répondre

D'après l'explication, la faille n'était vraiment pas compliquée à trouver, on dirait un code de débutant..

Par spraydown, il y a 9 ans Répondre

Quelle bande de pinces Valve !! Ces sociétés sont prêtes à débourser des centaine de milliers de dollars pour des audits de sécurité, mais pas à lâcher quelques dollars et des remerciement à un môme qui clairement leur à peut-être éviter le pire !

Par Geek Malin, il y a 9 ans Répondre

Il va trouver Half Life 3 dans un fichier caché !!!!

Par Stroumph, il y a 9 ans Répondre

" Il ainsi déjà découvert des failles chez Microsoft ou Corsair." Petite faute dans la rédaction ;)

Par Hade, il y a 9 ans Répondre

Valve ne sert strictement à rien, tu te fais hack ton compte voler 500€ de skin CS et Valve te dit que se n'est pas de leur faute ! C'est qu'une bande de rigolos sans compétences , donc il aurait dû les laisser dans leur ignorance et faire de la merde pour les mettre en PLS !

Par Olbatarr, il y a 9 ans Répondre

Je suis totalement d'accord avec toi, mais le génie à fait son choix. Moi à sa place, si j'avais ces compétences, j'aurais hacké Valve, copié ses jeux dans mes dossiers, supprimé leur jeu dans leur boutique d'application et voir leur réaction, puis rendre leur jeu en ayant rajouté des bugs par-ci et par-la pour les emmerder, pour qu'ils se réveillent et pour les faire travailler un peu

ça serait drôle si quelqu'un qui a ces compétences le ferait à ma place

Par encore moi XD coucou !, il y a 4 ans Répondre

après, je ne vous oblige pas à le faire, mais ça serait drôle XD

Si un hacker lis mon message ( si quelqu'un le lis, ça serait une prouesse )

tu peux le faire et me contacter pour me dire si tu as réussi et savoir leur réaction s'il te plaît ?

en échange, lis ceci :

Lis mon adresse email, je pense que ça pourrait te faire rire XD

Par encore moi XD coucou !, il y a 4 ans (en réponse à encore moi XD coucou !) Répondre

Désolé, je n'ai pas mieux comme récompense à part te taper des barres sur mon adresse email (UwU)

Par encore moi XD coucou !, il y a 4 ans Répondre

Laisser un commentaire