Valve vient d'intégrer à Steam un filtre permettant de ne pas afficher les "jeux pour adultes" sur la plateforme. Le système de classification de Steam doit désormais prendre en compte des contenus qui étaient absents du service il y a encore quelques mois.

Steam : un bug permettait d’approvisionner son porte-monnaie à l’infini

by Gael Brulin 17 août 2021

Un bug présent au sein du système d’approvisionnement du porte-monnaie Steam permettait d’être riche pour un euro. Rapportée à Valve par un utilisateur consciencieux, la faille a depuis été bouchée.

Pour qui souhaite ne pas s’encombrer d’une lente progression dans un jeu offrant un contenu conséquent, des manipulations, si existantes, permettent d’obtenir monnaie et objets à profusion.

Crédits Valve

La frontière entre le virtuel et le réel n’étant pas toujours évidente, il a pu apparaître tentant pour un certain nombre d’utilisateurs de la plate-forme Steam de connaître pareille expérience, en tirant ainsi profit d’un bug permettant d’avoir un porte-monnaie rempli jusqu’à l’infini.

Un euro, le prix (temporaire) de la richesse sur Steam

PC Gamer relate, en se basant sur le témoignage de l’utilisateur drbrix sur HackerOne, que la manipulation débutait par la modification de l’adresse mail renseignée dans le compte Steam. “amount100” devait ainsi être ajouté à la fin, offrant alors de pouvoir approvisionner le porte-monnaie sans avoir à débourser plus d’un euro.

Au moment du paiement, il fallait choisir la méthode Smart2Pay puis intercepter la requête POST. Pourquoi tout cet imparfait ? Parce que cet utilisateur a rapporté le souci à Valve, qui a réagi en conséquence :

“Merci pour votre rapport. Nous avons été en mesure de valider que cela se passe à peu près comme décrit, et nous prenons maintenant des mesures. Veuillez patienter car nous n’avons pas encore évalué la gravité [de la faille] ou la prime.”

drbrix estimait que “l’impact [de ce bug était] assez évident, l’attaquant [pouvant] générer de l’argent et briser le marché Steam, vendre des clés de jeu à bas prix, etc.”.

Le correctif a été déployé le jour même, Valve ayant depuis confirmé que le “risque commercial” était certain :

“Merci pour ce rapport. Il était clairement rédigé et a permis d’identifier un véritable risque commercial. Nous avons changé l’évaluation de la gravité en Critique, reflétant le coût potentiel pour l’entreprise, et avons appliqué une prime en conséquence. Nous espérons avoir d’autres échos de votre part à l’avenir.”

Étant donné que le client Steam demande souvent d’être redémarré pour appliquer des mises à jour de stabilité, cette réparation est probablement passée inaperçue pour bon nombre de ses utilisateurs.