C’est ce qu’on appelle une faille critique. Valve vient de verser (seulement) 7500 dollars à un hacker qui a trouvé une faille pour ajouter des fonds en illimité sur le portemonnaie Steam. Ces fonds permettent donc d’acheter et d’obtenir n’importe quel jeu sur la plateforme dématérialisée.
La faille en sécurité pour ajouter des fonds en illimité sur Steam a été découverte par un internaute qui utilise le pseudo Drbrix. La méthode consistait simplement à ajouter des fonds en choisissant une méthode de paiement s’appuyant sur Smart2Pay et à intercepter la requête POST depuis une URL. Rien de compliqué pour un pirate expérimenté.
Il fallait au préalable que l’adresse e-mail du compte contienne la mention « amount100 ». Ensuite, il suffisait de modifier la requête pour ajouter des fonds sur le portemonnaie Steam. Cela pouvait se faire en illimité. « Je pense que l’impact est assez évident, un hacker peut générer de l’argent et casser le marché de Steam, vendre des clés de jeux peu onéreuses etc », indique le rapport. La procédure complète et détaillée est à retrouver sur cette page.
Un employé de Valve a toutefois rétorqué à Drbrix, lui indiquant que l’équipe a réussi à reproduire le problème et a déployé un correctif. Le patch a été déployé le même jour où Drbrix a rapporté la faille. Drbrix semble satisfait du montant de 7500 dollars, qui peut pourtant paraître léger. « Wow, merci pour la récompense ! », a-t-il écrit.