Un pirate affirme détenir les données de près de 89 millions de comptes Steam, collectées via un service tiers utilisé pour sécuriser vos connexions. Vos codes 2FA, numéros de téléphone et autres informations sensibles seraient en circulation sur le dark web. Et si votre compte faisait partie du lot ?
89 millions de comptes Steam exposés : voici ce qu’il s’est réellement passé
Par Hakim Yahiaoui
Publié le 14/05/2025 à 10:00
La plateforme de jeux vidéo Steam, détenue par Valve, fait face à une situation préoccupante de sécurité. Un pirate informatique affirme avoir obtenu l’accès à des données sensibles concernant 89 millions d’utilisateurs, soit environ deux tiers des comptes existants. Ces informations, actuellement proposées à la vente sur le dark web, ne proviendraient pas d’une faille interne à Steam, mais d’un prestataire externe chargé de la gestion de l’authentification à double facteur. Une brèche qui relance la question de la dépendance aux services tiers dans la sécurisation des données.
L'origine de la fuite remonte au service d'envoi des codes de sécurité 2FA
La faille à l’origine de cette fuite massive ne se situerait pas dans les serveurs de Steam eux-mêmes. D’après les premières analyses relayées par @MellowOnline1, journaliste indépendant spécialisé dans les plateformes de jeux, la compromission viendrait de Twilio, un prestataire utilisé par Steam pour l’envoi de codes de vérification 2FA par SMS. Le pirate aurait ainsi pu accéder à un ensemble d’éléments sensibles, notamment les codes 2FA eux-mêmes, leur statut de livraison, des métadonnées comme les horodatages, les numéros de téléphone des destinataires, ainsi que les coûts de routage liés à l’envoi des messages.
Il ne s’agirait donc pas d’un piratage direct de Steam, mais plutôt d’une exploitation des accès détenus par un service sous-traitant, une situation déjà observée par le passé. Twilio avait déjà subi une attaque en juillet 2024, et sa société mère, SendGrid, a elle-même fait l’objet d’une compromission récemment, même si cette dernière n’a pas été confirmée. Ce nouvel épisode souligne la fragilité potentielle des chaînes de sécurité déléguées et l’exposition accrue des utilisateurs lorsque ces systèmes sont externalisés.
Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).
These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.
Mipped alongside their sister sites is a…
— Mellow_Online1 (@MellowOnline1) May 11, 2025
Un risque élevé de phishing malgré l’expiration des codes 2FA
Bien que les codes d’authentification à double facteur aient probablement expiré, leur collecte dans les bases de données vendues en ligne demeure préoccupante. Le danger immédiat réside dans les numéros de téléphone associés, qui peuvent servir à des campagnes de phishing ciblées. Grâce à ces informations, les attaquants peuvent concevoir des messages frauduleux très convaincants, incitant les utilisateurs à révéler des mots de passe ou à cliquer sur des liens malveillants.
Valve n’a pas encore publié de communication officielle sur cet incident. Les experts en cybersécurité appellent les utilisateurs à changer immédiatement leur mot de passe Steam, surtout s’il est partagé avec d’autres services. Il est également recommandé d’activer une méthode d’authentification autonome, telle que Steam Guard, qui ne repose pas sur l’envoi de SMS via un service externe. Cette affaire rappelle aux utilisateurs et aux entreprises la nécessité d’un contrôle renforcé sur la gestion des accès sensibles, en particulier lorsque ceux-ci transitent par des prestataires tiers.