Je ne sais pas si vous avez vu les actualités, mais Steam fut victime d’un bug assez étrange le 25 décembre dernier. En effet, entre 20h50 et 22h20, lorsque l’on se connectait au magasin, on pouvait voir les informations de connexion d’un autre utilisateur que celui de son propre compte… Gênant et flippant.

Valve est depuis sorti de son silence et a été très bavard sur ce qu’il s’est passé. Et c’est très intéressant pour un développeur web de comprendre ce qu’il s’est passé. Car c’est bel et bien du piratage, mais pas comme on pourrait le croire : C’est en fait une conséquence d’une attaque DDOS. Pour ceux qui ne connaissent pas, une attaque DDOS consiste à noyer un serveur de requête pour le faire saturer, ralentir et pourquoi pas planter.

Visualisation graphique d’une attaque DDOS

En général, on peut soit essayer de pénétrer sur le serveur pendant que ses défenses tombent (soit humainement car l’administrateur tente de soulager le serveur, soit durant sa phase de ralentissement extrême, puisque le serveur se met à ramer), soit le but du DDOS et de rendre le service tout simplement HS, ce qui est d’ailleurs le cas le plus récurrent. Avec le nombre d’appareils connectés (et infectés…) de nos jours, il est très facile de nos jours de faire des attaques DDOS. Consoles, serveurs NTP, Smartphone, Tablettes sont autant de moyens différents d’établir des connexions intempestives à l’hôte qui est la cible de l’attaque… Steam semble être habitué à cela, mair cette fois-ci, une erreur de configuration dans le cache du magasin Steam a donné lieu à cet étrange bug rencontré par certains utilisateurs…

Qu’est-ce que le cache ?

Le cache est une technique consistant à préfabriquer une page HTML pour un utilisateur donné. C’est la technique que j’utilisais sur Otakugame.fr sur mes anciens serveurs, où l’accès à la base de donnée et la génération des page par le serveur avant de vous les envoyer était trop lente (entre 5 et 12 secondes). J’ai donc utilisé la technique dite du cache : on fabriquait une page en avance et on la distribuait à tout le monde 🙂 !

Grossièrement, on va générer la page pour un premier utilisateur, et la « refourguer » toute faite au second utilisateur, préservant ainsi les ressources du serveur 😉 !

Cette technique a bien entendu des limites, puisque l’on ne peut faire que très peu de contrôle sur les pages, celles-ci étant statiques, par opposition aux pages Dynamique.

Et que dit Steam la-dessus ?

C’est simple : Il s’agit pour eux d’une erreur de configuration (et non d’un bug). C’est bien une erreur humaine pour répondre à l’attaque… Voici les propos tenus par Steam à ce propos (traduction : Gameblog.fr) :

Tôt dans la matinée de Noël (Heure du Pacific), le Magasin Steam a été la cible d’une attaque DoS qui empêchait l’affichage des pages du magasin aux membres de Steam. Les attaques contre le Magasin Steam, et Steam d’une manière générale, sont monnaie courante et Valve s’en occupe à la fois directement et avec l’aide de sociétés partenaires sans que les utilisateurs de Steam soient généralement touchés. Pendant l’attaque de Noël, le trafic vers le Magasin Steam a connu une hausse de 2000% par rapport au trafic moyen pendant les Soldes Steam.

En réponse à cette attaque spécifique, les règles en matière de cache gérées par un partenaire de Steam dans le domaine du « web caching » ont été déployées afin de minimiser l’impact sur les serveurs du Magasin Steam et de continuer de diriger le trafic légitime des utilisateurs. Pendant la seconde vague de cette attaque, une seconde configuration de cache a été déployée et cette dernière a mis en cache le trafic web des utilisateurs authentifiés de manière incorrecte. Cette erreur de configuration a provoqué chez certains utilisateurs l’affichage de réponses du Magasin Steam générées pour d’autres utilisateurs. Les réponses incorrectes du Magasin allaient de l’affichage de la page principale du Magasin dans une mauvaise langue, à l’affichage de la page de compte d’un autre utilisateur.

Une fois que cette erreur a été identifiée, le Magasin Steam a été fermé et une nouvelle configuration de mise en cache a été déployée. Le Magasin Steam est resté hors ligne jusqu’à la bonne réception de toutes les configurations de mise en cache et jusqu’à la bonne réception de la confirmation que les dernières configurations avaient été déployées sur tous les serveurs partenaires et que toutes les données mises en cache sur les serveurs edge avaient été purgées.

Avec nos partenaires en matière de web caching, nous allons continuer à travailler à l’identification des utilisateurs touchés ainsi qu’à l’amélioration du processus qui sera utilisé à l’avenir pour mettre en place les règles en matière de mise en cache. Nous présentons nos excuses à toutes les personnes dont les données personnelles ont été affichées à cause de cette erreur, et présentons nos excuses pour l’interruption de service du Magasin Steam.

Précisons donc que ce « bug » ne permettait pas d’accéder aux données de la carte bancaire d’un autre utilisateur de Steam, de faire des achats sur son compte, ni d’obtenir son mot de passe Steam, puisque l’accès à la base de donnée est nécessaire pour cela, avec toute la sécurité que cela comporte. En revanche, voici les informations auxquels d’autres utilisateurs ont pu accéder malencontreusement :

• Adresse de facturation
• 4 derniers numéros du téléphone (Système d’identification Steam Guard)
• Historique d’achat
• 2 derniers numéros de la carte bancaire liée au compte
• Adresse e-mail

Valve identifie les 34.000 comptes concernées, et les préviendra surement de ce malencontreux accident, qui, heureusement, reste sans incidence grave 😉 !

Plus d’infos directement sur Steam !