Son compte Steam piraté deux fois, sauvé par un jeu
Un utilisateur Reddit a vu son compte Steam piraté deux fois en vingt ans et a réussi à le récupérer à chaque fois grâce à la clé d’activation de son CD de Half-Life acheté en 2006. À l’époque de l’achat, il était nécessaire de posséder physiquement un jeu Valve pour créer un compte Steam, et la plateforme n’avait pas encore d’authentification à deux facteurs, qui a été introduite en 2015.
Un utilisateur de Reddit a connu le piratage de son compte Steam à deux reprises en l’espace de vingt ans. À chaque fois, il a réussi à le récupérer grâce à un ancien CD de Half-Life acheté en 2006, qu’il avait rangé dans un tiroir et oublié.
Les méthodes de sécurité informatique se multiplient : authentification à deux facteurs, gestionnaires de mots de passe, tokens SMS, applications d’authentification… Pourtant, cet utilisateur a démontré que la meilleure protection contre le piratage de son compte Steam était un simple CD physique de Half-Life acquis en 2006.
Son compte a été compromis deux fois en vingt ans, et à chaque fois, il a pu le récupérer en saisissant la clé d’activation figurant dans la boîte du jeu. Aucune authentification à deux facteurs, aucun email de récupération compliqué, juste un morceau de carton avec une série alphanumérique.
En 2006, Steam n’était pas encore la plateforme incontournable qu’elle est aujourd’hui, comptant plus de 130 millions d’utilisateurs actifs. Elle était alors principalement perçue comme un système de gestion des droits numériques (DRM) et pas encore comme une boutique digitale. À l’époque, impossible de créer un compte Steam simplement avec une adresse email ; il fallait posséder un jeu Valve physique comprenant un CD ou un DVD, une clé d’activation unique et l’installateur Steam.
Aujourd’hui, le processus est inversé. On crée d’abord un compte Steam, puis on achète des jeux, alors qu’en 2006, l’achat d’un jeu physique était la première étape pour créer un compte.
L’utilisatrice, connue sous le pseudonyme « d20g » sur Reddit, a acquis une copie physique de Half-Life en 2006, mais ne souhaitait même pas y jouer. Ce qui l’attirait, c’était Counter-Strike 1.6. À cette époque, pour jouer à Counter-Strike, il fallait Steam, et la manière la moins onéreuse d’obtenir un compte était d’acheter une version d’occasion de Half-Life. D20g achète le jeu, installe Steam, crée son compte et range le CD dans un tiroir, pensant ne plus jamais le revoir.
Quelques années plus tard, d20g découvre que son compte Steam a été piraté. Quelqu’un a réussi à obtenir ses identifiants, probablement via phishing, un mot de passe faible ou une fuite de données. Il contacte alors le support Steam pour récupérer son compte. À l’époque, il n’y avait pas d’authentification à deux facteurs (introduite en 2015). Le support lui demande de prouver qu’il est le véritable propriétaire du compte. La solution ? Fournir la clé d’activation d’un jeu physique lié au compte.
D20g sort son vieux CD de Half-Life du tiroir, entre la clé alphanumérique imprimée sur la boîte, et le tour est joué : le compte est récupéré. Le pirate, ayant changé le mot de passe et probablement l’adresse email, n’avait pas la clé physique, car il n’avait jamais possédé le jeu.
Ce principe rappelle celui d’une clé de voiture : il est possible de crocheter la serrure d’une voiture, mais si le propriétaire arrive avec la clé originale, la situation est vite éclaircie.
Quelques années plus tard, le compte de d20g est de nouveau piraté. Qu’il s’agisse du même attaquant ou d’un autre, cela n’a pas d’importance. Le même processus se répète : contact avec le support Steam, demande de preuve de propriété, et ressortie du CD de Half-Life du tiroir. Encore une fois, la clé est saisie et le compte est récupéré.
Deux piratages en vingt ans. Deux récupérations possibles grâce à une simple série de lettres et de chiffres. À ce stade, il est probable que d20g ait encadré sa boîte de Half-Life comme un véritable trophée.
La sécurité par possession physique reposait sur un principe simple : un pirate peut voler vos identifiants numériques, mais ne peut pas dérober un objet physique dont il ignore l’existence. Incopiable, invisible, et permanent, cette méthode a ses avantages.
Aujourd’hui, cette approche ne fonctionne plus : 99 % des jeux PC vendus sont désormais numériques. Les clés d’activation existent toujours, mais elles sont affichées sur votre compte Steam, et un pirate, s’il accède à votre compte, pourra les voir. De plus, avec les sites de revente de clés (comme G2A ou Kinguin), il est théoriquement possible pour un pirate de trouver une clé valide d’un ancien jeu et de prétendre posséder le compte, rendant cette méthode moins fiable pour le support.
Enfin, Steam a mis en place Steam Guard, un système d’authentification à deux facteurs via une application mobile ou email, beaucoup plus sûr que les clés physiques. Un pirate doit non seulement avoir accès à votre mot de passe, mais également à votre téléphone ou email, ce qui est bien plus complexe.
Actuellement, Steam exige généralement des preuves d’achat (comme des emails de confirmation ou des captures d’écran de bibliothèque) pour récupérer un compte piraté. Ceci constitue l’équivalent moderne de la clé physique : une preuve difficile à falsifier pour le pirate.
