Valve confirme une fuite de l’authentification Steam touchant 89 millions d’utilisateurs ; mots de passe intacts

Par Romain Vasseur Mis à jour le 15 Mai 2025 à 17 h 11

Récemment, des informations ont émergé concernant une fuite touchant presque les deux tiers des comptes Steam. Bien que les mots de passe et les données personnelles n’aient pas été exposés, il est conseillé aux utilisateurs de renforcer leur sécurité en utilisant l’application d’authentification mobile de Steam.

Une récente mise à jour de sécurité de Steam a révélé que des hackers ont accédé à des numéros de téléphone et des enregistrements d’authentification à deux facteurs (2FA) liés à la majorité des comptes Steam. Les systèmes internes de Steam n’ont pas été compromis, et Valve n’a pas recommandé aux utilisateurs de changer leurs mots de passe. Néanmoins, c’est le moment idéal pour vérifier les paramètres de sécurité des comptes qui pourraient détenir des centaines ou des milliers de jeux PC.

Les données divulguées comprennent des codes 2FA non chiffrés mais expirés ainsi que les numéros de téléphone auxquels ils ont été envoyés. Cependant, Valve a tenu à préciser que ces numéros ne peuvent pas être utilisés pour identifier les comptes Steam et qu’aucun mot de passe n’a été compromis. L’origine de la fuite reste floue, mais un des services tiers transmettant les codes SMs 2FA aux utilisateurs est suspecté.

Hier, une prétendue fuite majeure de données impliquant @Steam a eu lieu, compromettant plus de 89 millions de d’enregistrements d’utilisateurs (environ deux tiers de tous les comptes Steam).

Ces bases de données sont proposées à la vente pour plus de 5,000€ sur un site similaire à Mipped.

Mipped, avec leurs sites sœurs, est un…

– Mellow_Online1 (@MellowOnline1) 11 mai 2025

Bien que les codes divulgués ne permettent pas aux hackers d’accéder aux comptes Steam, cet incident doit rappeler que les codes 2FA envoyés par SMs sont moins sécurisés que les applications d’authentification. Alors que la plupart des services utilisent des authentificateurs tiers comme Authy ou Google Authenticator, Valve utilise un système propriétaire via l’application mobile Steam. Ce dernier transmet des codes de connexion temporaires, gère les confirmations pour les actions de compte et scanne les QR codes de connexion.

Selon l’utilisateur LinkedIn Underdark.ai, quelqu’un a récemment proposé à la vente des données sur 89 millions de comptes Steam sur Mipped, un forum réputé du dark web. Après test des données, Valve a confirmé qu’un service tiers transmettant les codes 2FA par SMs avait été compromis.

Bien que des rapports aient initialement suggéré qu’un compte interne de Twilio avait été compromis, la société a ensuite démenti cela. De plus, Valve a informé le groupe de sécurité Sentinels of the Store que Steam n’utilise pas Twilio. Cependant, un compte administratif d’un autre gestionnaire de données pourrait avoir été la cible de l’attaque.

Quoi qu’il en soit, les utilisateurs doivent se méfier des communications suspectes concernant leurs comptes Steam. Les hackers déguisent souvent des attaques de phishing en messages de support technique et promotions de jeux. Valve indique que les utilisateurs ne recevront que des communications liées à leur compte qu’ils ont explicitement demandées.

Les utilisateurs doivent également surveiller l’activité inhabituelle des comptes et vérifier les appareils autorisés. Bien que Valve ait confirmé qu’aucun mot de passe n’a été accédé, c’est le bon moment pour changer les anciens mots de passe, envisager d’utiliser un gestionnaire de mots de passe et vérifier la réutilisation des mots de passe sur plusieurs comptes.