Non, Steam n’a pas été piraté : la vérité sur les 89 millions d’enregistrements publiés sur le Dark Web
L'information fait beaucoup d'encre ces derniers jours : Steam aurait été victime d'un piratage massif impliquant la fuite de 89 millions de comptes. Mais, il n'en est rien : Steam n'a pas été piraté ! Il s’agirait d’une fuite de journaux SMS envoyés pour la double authentification, ce qui n'a pas une grosse valeur.
Sommaire
Une alerte partie d'Israël, relayée et amplifiée
L’affaire a éclaté le 11 mai 2025 sur LinkedIn, lorsque la société israélienne Underdark.ai, spécialisée en cybersécurité, a relayé le message d'un pirate dont le pseudo Machine1337. Ce dernier prétend avoir mis en vente sur un forum du dark web une base avec plus de 89 millions d’enregistrements d’utilisateurs Steam. Il a fixé un prix de vente qui semble très faible en comparaison de la volumétrie de données à vendre : seulement 5 000 dollars.
Cette publication a ensuite été reprise sur LinkedIn et sur X (Twitter), et il y a eu un effet boule de neige autour de cette histoire. Mais, comme à chaque fois, il faut rester prudent : les fuites de données sont certes nombreuses, mais les fausses alertes aussi.
Des codes SMS pour l'authentification multifacteur, pas des comptes Steam
Plusieurs personnes ont pu se procurer les échantillons mis à disposition par le pirate informatique. Ces premières analyses ont permises de faire un premier constat : il ne s’agirait pas de comptes Steam, mais de journaux de SMS envoyés dans le cadre de la double authentification. Vous savez, les fameux codes éphémères à usage unique que vous recevez par SMS. Ces mêmes codes dont la durée de validité est de 15 minutes avec Steam.
D'ailleurs, Underdark.ai a ensuite mis à jour son post LinkedIn pour apporter des précisions sur le contenu des échantillons : "Les données comprennent le contenu des messages, l'état de la livraison, les métadonnées et les coûts d'acheminement - ce qui suggère un accès en arrière-plan à un tableau de bord ou à une API du fournisseur, et non pas à Steam directement." - Il s'agit en fait d'un historique, de journaux.
Donc, non, il ne s'agit pas d'informations permettant de compromettre un compte Steam : pas d'identifiant, pas de mot de passe. Finalement, ce sont des données de faible qualité, ce qui justifie le tarif. Ce qui est intéressant, malgré tout, c'est la présence des numéros de téléphone, car les codes, quant à eux, ne sont plus valides.
La réaction de Steam
Steam s'est exprimé de façon officielle, par l'intermédiaire d'un communiqué de presse, afin de confirmer que ses systèmes n'ont pas été piratés : "Nous avons examiné l'échantillon de fuite et avons déterminé qu'il ne s'agissait PAS d'une violation des systèmes Steam.", peut-on lire.
Pour l’instant, Valve avoue que la source exacte de la fuite reste inconnue. "Nous continuons à chercher la source de la fuite, qui est aggravée par le fait que les messages SMS ne sont pas chiffrés en transit et qu'ils passent par plusieurs fournisseurs avant d'arriver sur votre téléphone.", précise Valve.
Valve poursuit ses investigations, tout en rappelant qu'il n'est pas nécessaire de changer votre mot de passe suite à cette alerte. Vérifiez simplement, de façon régulière, les appareils autorisés dans votre compte. Affaire à suivre...
