Une simple invitation Steam permet de prendre le contrôle du PC d'un joueur à distance. C'est ce qu'ont découvert des experts en sécurité, membres d'un groupe bénévole. Ils ont alerté Valve, l'éditeur du moteur de rendu 3D Source, mais la faille n'est pas corrigée, et le PC piraté peut alors servir pour infecter d'autres joueurs.


au sommaire


    Une faille dans le moteur d'un jeu vidéo permet à des pirates de prendre le contrôle d'un PC à distance. C'est ce qu'ont découvert les membres du groupe de cybersécurité Secret Club, et cela ne date pas d'hier ! En fait, voilà déjà deux ans qu'ils ont alerté les responsables de Valve, le puissant éditeur du moteur Source, et cela concerne des jeux en ligne comme Team Fortress 2 et Counter-StrikeCounter-Strike: Global Offensive.

    Sauf que l'éditeur laisse la faille perdurer, et désormais une simple invitation Steam permet d'exploiter la faille, et d'exécuter du code à distance pour s'inviter dans la machine du joueur. Le pirate obtient « le contrôle total sur le système de la victime, qui peut être utilisé pour voler des mots de passe, des informations bancaires, etc. », explique l'un des experts en sécurité.

    Quelques secondes suffisent pour lancer le code malicieux, et il fonctionne 8 fois sur 10. © Motherboard

    Une faille qui se propage

    À nos confrères de Motherboard, il a carrément fait une démonstration de l'attaque car la faille est bel et bien toujours active dans Counter-Strike : GO. Comme il l'explique, si le pirate crée un serveurserveur et lance des invitations, tous les joueurs connectés sur son serveur pourront être piratés ! Il a pu constater que dans certains jeux, la vulnérabilité avait été corrigée, mais tant qu'elle est présente dans Counter-Strike, elle représente un danger.

    « Une fois que vous avez infecté quelqu'un, cette personne peut être armée pour infecter ses amis et ainsi de suite », explique cet expert bénévole, et il compare ce type d'attaque à celle d'un ver, et les dégâts peuvent donc être exponentiels. Du côté de Valve, on a classé cette faille de sécurité comme « critique », sans pour autant prendre le temps de publier un correctif.