Attention, cette faille sur Steam permet un piratage à distance du PC
Il existe une faille depuis dix ans sur Steam qui est passé inaperçue. C’est le protocole de la plateforme qui est en cause, avec une corruption de mémoire pouvant enclencher l’activation de code arbitraire.
Si Steam est réputé pour être sûr au niveau de la sécurité, il n’en n’est pas pour autant infaillible : une vulnérabilité datant de 2008 traînait sur la plateforme depuis une dizaine d’années. Et ce n’est que le 4 avril dernier qu’une mise à jour du logiciel, l’a corrigée totalement. Ce bug était pour le moins redoutable, permettant de prendre le contrôle du PC, une fois l’usager connecté à Steam.
Une vieille faille de 2008 corrigée récemment par Steam
Fort heureusement, l’attaque en tant que tel a été possible jusqu’à l’année dernière. Steam avait alors proposé au sein de son logiciel client, une fonction de protection de la mémoire dénommée ASLR (Address Space Layout Randomization). Dès lors, plus de corruption mémoire possible et d’activation du code arbitraire.
Toutefois, un plantage du logiciel était encore possible. Une fois que le chercheur ayant découvert cette faille, Tom Court, a signalé le problème à Steam, les développeurs ont réagi très rapidement en proposant un patch. C’est ce même chercheur qui a expliqué le mode opératoire de cette faille.
Une faille propice au piratage du PC des gamers
C’est le protocole de Steam, basé sur UDP, qui est à la source du problème. C’est l’implémentation logicielle qui a été mal formalisée, et qui est propice à la corruption de mémoire. En envoyant des paquets UDP vers le PC, il est alors possible d’exécuter un code, quel qu’il soit.
Pour autant, l’attaque n’était pas si simple, puisqu’il fallait que le potentiel pirate supervise à priori le trafic de l’usager victime. Cette étape était indispensable pour en savoir plus sur l’adresse IP et le numéro de port utilisés par l’usager.
Tom Court a réalisé une vidéo YouTube, où l’on peut visualiser l’envoi de paquets qui parviennent à ouvrir la calculatrice. Tom court conseille ainsi aux développeurs d’auditer leur ancien code et de le mettre à jour pour éviter de tels désagréments.