Une importante fuite de données contenant des SMS envoyés aux utilisateurs de Steam refait surface, mais Valve assure qu’aucun de ses systèmes n’a été compromis.
Dans une déclaration publiée ce mercredi, Valve a tenu à clarifier la situation après que BleepingComputer ait révélé la mise en vente de 89 millions de fichiers contenant des anciens messages texte, parmi lesquels figurent des codes d’authentification à usage unique (OTP) envoyés aux utilisateurs de la plateforme de jeu. Les données en question comprendraient également les numéros de téléphone associés à ces messages.
Valve est rassurant
Malgré l’ampleur de la fuite, Valve se veut rassurant : « Il ne s’agit pas d’une violation des systèmes Steam », explique l’entreprise. Ces messages étaient des anciens SMS valables uniquement 15 minutes, envoyés pour sécuriser les connexions. Valve précise que les données ne contiennent aucune information sensible, telles que les mots de passe, les informations de paiement ou les identifiants de compte Steam.
Alors que des soupçons ont été émis sur un éventuel lien avec Twilio, fournisseur de services de communication, ce dernier dément catégoriquement toute compromission. Un porte-parole de Twilio a affirmé à BleepingComputer n’avoir trouvé aucune preuve que les données proviennent de ses systèmes. Valve confirme également qu’elle n’utilise pas Twilio pour l’envoi de ses SMS.
Une origine floue
L’origine de cette fuite demeure floue. Valve indique qu’elle est toujours en train d’enquêter sur la source de cette exposition massive. En attendant, l’entreprise assure que les anciens SMS interceptés ne permettent pas d’accéder aux comptes Steam.
Par ailleurs, toute tentative de modification des paramètres sensibles d’un compte (comme l’adresse e-mail ou le mot de passe) via ces codes déclenche systématiquement une alerte par e-mail ou notification Steam. Valve précise qu’il n’est pas nécessaire de changer votre mot de passe ou votre numéro de téléphone, mais recommande fortement d’activer l’authentificateur mobile Steam pour renforcer la sécurité des comptes.
