La plateforme Steam, bien connue des gamers, a vu les updates de certains de ses jeux empoisonnés par des malwares.
(Nd0 : C'est ce qu'on appelle un wrapper, quand un exécutable malveillant est lié à une application .exe d'apparence légitime telle qu'un jeu ou un logiciel bureautique. Les deux programmes sont regroupés dans un seul fichier. Lorsque l'utilisateur utilise le fichier .exe enveloppé, il installe d'abord le malware en arrière-plan, puis exécute l'application d'emballage au premier plan.)
Cette opération a été rendue possible par la compromission d'un compte de développeur qui s'était fait voler ses cookies de session depuis son navigateur. A ce jour, moins d'une centaine d'utilisateurices auraient téléchargé le malware.
Pour réduire le risque que ce type d'attaque ne se reproduise, Valve, la maison-mère de Steam, a implémenté une authentification à 2 facteurs (2FA) obligatoire avec envoi de SMS pour tout compte avec des droits de modification sur une appli en ligne.
L'auteur de l'article critique cette réponse comme insuffisante, arguant qu'un attaquant déterminé peut contourner la vérification par SMS par une attaque SimSwap (une attaque basée sur le détournement des envois liés à l'authentification vers une autre carte SIM, possédée par l'attaquant, sans pour autant changer le numéro). Il suggère des moyens de double authentification ne passant pas par l'utilisation d'un mobile.
Un article de Graham CLULEY dans BitDefender :
https://www.bitdefender.com/blog/hotforsecurity/after-hackers-distribute-malware-in-game-updates-steam-adds-sms-based-security-check-for-developers/
