Comme pour beaucoup de problèmes et d'exploits détectés dans les différentes applications, il s'agissait cette fois d'un chercheur appartenant à la société de sécurité Context, dont nous parlons spécifiquement Tom court, qui vient de publier officiellement une série de documents montrant l'existence d'un petit problème qui a été trouvé dans le logiciel du Client de bureau Steam, qui est présente, même si vous ne le croyez peut-être pas, depuis 10 ans.
En secret, nous parlons d'une vulnérabilité qui, malgré ce que vous avez pu lire là-bas, puisqu'il y a des endroits où il semble que le problème est en train d'être adouci, tout hacker avec des connaissances suffisantes, s'il parvient à l'exploiter, pourrait même atteindre prendre le contrôle de tout ordinateur sur lequel ce client est installé. Le pire dans tout ce problème est que, malgré le fait que l'exploit soit présent dans l'application depuis 10 ans, aucune personne ayant suffisamment de connaissances pour être en mesure de nuire à un utilisateur n'a pu découvrir la vulnérabilité.
Tom Court a été l'expert en sécurité capable de trouver l'une des pires vulnérabilités du client informatique Steam
Pour entrer un peu plus dans les détails et comme Tom Court lui-même l'a commenté, nous parlons d'un problème avec la sécurité de l'application très simple et, surtout et peut-être cela a été le plus grand risque, très facile à utiliser par n'importe quel pirate informatique. Pour vous faire une idée, dites-vous que le principal problème avec Logiciel Steam qui a été installé sur plus de 15 millions d'ordinateurs au cours des dix dernières années est qu'il manquait de protection contre les nouveaux développements d'exploit.
Comme Tom Court lui-même l'a commenté, apparemment, grâce à cette vulnérabilité, n'importe quel hacker aurait pu réussir à obtenir prendre le contrôle de n'importe quel ordinateur, révélant complètement toutes les informations de son propriétaire ou utilisateur, y compris les informations d'identification du système et d'autres services. La meilleure partie de toutes ces nouvelles est que, pour une fois et peut-être en raison de la simplicité de ces exploits, rien n'indique qu'un pirate informatique ait profité de cette terrible faille de sécurité.
Il a fallu attendre 2018 pour que Valve résolve ce problème de sécurité sur Steam
Toutes ces informations ont été révélées après Valve, de manière prévisible une partie de ce problème a été résolue en juillet 2017Plus précisément, il semble que la partie la plus dangereuse de la vulnérabilité a été supprimée. Après cette mise à jour curieusement le logiciel avait encore un bogue, quoique mineur car cela ne faisait que planter le client et le pirate ne pouvait déployer qu'à distance du code malveillant sur la machine de la victime. En fait et pour démontrer cet échec, Tom Court a lui-même réalisé une vidéo, vous l'avez juste au début de l'entrée étendue, où il lance lui-même l'application calculatrice à distance profitant de cet échec.
Comme cela arrive souvent, Tom Court a informé Valve de cet échec et, depuis qu'il a été découvert, il n'a pas été revu jusqu'au 20 février de cette année 2018, date à laquelle la version bêta du client a résolu cette vulnérabilité. Le 22 mars, cette version a cessé d'être bêta et a finalement atteint tous les utilisateurs. En détail, dites-vous que dans les notes de publication, vous pouvez trouver une ligne où Tom Court lui-même est remercié.
Au moins et cette fois, malgré le fait que trop de temps s'est écoulé depuis la détection de la vulnérabilité jusqu'à ce qu'elle soit enfin résolue, la vérité est que Valve a toujours tenu compte des commentaires de Tom Court et a collaboré avec lui pour corriger l'échec, ce qui contraste avec les mesures présentées par d'autres types d'entreprises où ce type de contact n'est généralement pas prêté attention.
Plus d'informations: Comportementale