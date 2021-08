Image : Valve / Nintendo / Kotaku

Un chercheur en sécurité sur Hackerone a récemment soumis un exploit qui pourrait être utilisé sur Steam pour gagner des fonds illimités. L’exploit a depuis été corrigé par Valve et la société a attribué 7 500 $ à l’utilisateur qui a découvert cet exploit.

Hackerone est un site qui met en relation des entreprises comme Valve avec des utilisateurs qui aiment pirater et bricoler des sites Web, des applications et d’autres logiciels. Ces personnes peuvent soumettre des exploits et des piratages à des entreprises en privé, puis, en échange, ces entreprises technologiques peuvent attribuer de l’argent aux pirates pour leurs découvertes. C’est un système qui a la réputation d’aider à écraser les méchants exploits avant qu’ils ne puissent être rendus publics.

Le 9 août, l’utilisateur de Hackerone, Drbrix, a alerté en privé Valve sur un exploit de Steam Wallet qui impliquait de changer votre adresse e-mail et d’intercepter des transactions utilisant n’importe quel mode de paiement Smart2Pay. Vous pouvez en savoir plus sur la méthode d’attaque complète et son fonctionnement via le rapport Hackerone, qui est devenu public le 10 août et a été repéré par The Daily Swig et NME quelques jours plus tard.

“Je pense que l’impact est assez évident, l’attaquant peut générer de l’argent et casser le marché Steam, vendre des clés de jeu à bas prix, etc.”, a écrit Drbrix dans son rapport Hackerone.

Comme vous pouvez vous y attendre, Valve a rapidement répondu au message de Drbrix. Un employé de Valve sur le site nommé JonP a remercié Drbrix pour sa découverte et a expliqué que Valve avait rapidement validé ce qu’ils avaient signalé et prenait des mesures pour résoudre le problème. Un message de suivi de JonP a expliqué que le rapport était “clairement écrit” et “utile pour identifier un risque commercial réel”.

Valve a ensuite payé 7 500 $ à Drbrix, ce qui est bien, mais ne semble pas suffisant. Si cet exploit était devenu public ou avait été partagé avec quelques petits groupes de personnes, cela aurait pu coûter à Valve beaucoup plus de 7 500 $. Allez, Valve. L’année dernière, Riot offrait aux gens 100 000 $ pour trouver des exploits Valorant.

Une fois que tout a été réglé et corrigé, Valve et Drbrix ont rendu public le rapport complet.

