L’annonce a fait l’effet d’une bombe dans le petit monde du jeu vidéo. Ce mardi, plusieurs médias ont rapporté qu’un pirate informatique, répondant au pseudo de Machine1337, aurait mis en vente les données de 89 millions de comptes Steam sur le dark web. De quoi inquiéter les joueurs, d’autant que les premières analyses évoquaient des informations sensibles liées à la double authentification par SMS.
Mais voilà : après 24 heures de flou et de spéculations, Valve a pris la parole pour clarifier la situation. Non, Steam n’a pas été piraté. Oui, des données ont bien fuité, mais il ne s’agit ni de mots de passe, ni d’informations bancaires. Et contrairement à ce qu’ont pu laisser entendre certains titres un peu trop alarmistes, votre compte Steam n’est pas en péril. On vous explique.
Une rumeur partie d’un forum obscur
Tout commence par un post publié sur un forum du dark web, dans lequel un certain Machine1337 affirme avoir mis la main sur les données personnelles de 89 millions de comptes Steam. Prix affiché : 5 000 dollars ! Un tarif dérisoire, mais suffisamment accrocheur pour déclencher une vague de réactions en ligne.
Rapidement, des médias spécialisés, des experts en cybersécurité et même quelques influenceurs relaient l’information. Certains parlent d’un piratage d’ampleur inédite, d’autres pointent du doigt un prestataire externe, Twilio, soupçonné d’avoir été compromis.
La panique s’installe. Des utilisateurs se précipitent pour changer leur mot de passe, désactiver la 2FA par SMS ou supprimer leur numéro de téléphone de leur compte Steam. Bref, l’emballement est total.
Une fuite, oui. Un piratage de Steam, non.
Face à l’agitation, Valve a finalement réagi dans la nuit de mardi à mercredi pour remettre les pendules à l’heure. Et la société a été très claire : les systèmes de Steam n’ont pas été compromis.
« La fuite récemment signalée n’a PAS compromis les systèmes Steam », indique Valve dans un communiqué officiel publié le 15 mai.
En réalité, les données en question concernent d’anciens messages SMS utilisés pour la double authentification. Des codes à usage unique, valables seulement 15 minutes, accompagnés de quelques métadonnées (horodatage, statut d’envoi, etc.) et du numéro de téléphone du destinataire.
Ces messages, interceptés on ne sait encore trop comment, ne sont pas liés directement aux comptes Steam. Il est donc impossible pour un pirate d’accéder à un compte avec ces seules informations. Pas de mots de passe, pas de mails, pas de données de paiement dans le lot. Rien de vraiment exploitable.
Des données peu exploitables… mais à surveiller quand même
Si Valve se veut rassurant, la firme ne nie pas totalement l’existence d’un risque. Même si les SMS en question ne permettent pas d’accéder à un compte Steam, le fait qu’ils contiennent des numéros de téléphone suffit à envisager des scénarios de phishing ciblé.
En clair, un pirate pourrait tenter de se faire passer pour Steam via un message frauduleux pour inciter un utilisateur à cliquer sur un lien, saisir ses identifiants ou réinitialiser son mot de passe. Ce genre d’arnaque est malheureusement courant et cette fuite pourrait simplement fournir une nouvelle liste de cibles potentielles.
À noter également : certains experts ont relevé que les messages présents dans l’échantillon publié par le pirate ne sont pas si anciens que ça. Certains datent de mars 2025, ce qui laisse penser que la fuite est plus fraîche qu’annoncé. Là encore, difficile de savoir avec certitude d’où viennent ces données. Valve parle d’un prestataire tiers impliqué dans l’envoi des SMS, mais pour l’instant, l’origine exacte de la fuite reste floue.
Que faut-il faire si vous avez un compte Steam ?
Pas besoin de paniquer, ni de supprimer votre compte Steam ☺️ dans la foulée. Valve l’a dit : vous n’avez pas besoin de changer votre mot de passe ou votre numéro de téléphone. Mais un peu de prudence ne fait jamais de mal. Voici quelques bons réflexes à adopter :
- Activez Steam Guard via l’application mobile si ce n’est pas déjà fait. C’est la méthode la plus sécurisée pour protéger votre compte.
- Ignorez tout message suspect prétendant venir de Steam, que ce soit par SMS, e-mail ou Discord.
- Ne cliquez jamais sur un lien douteux et passez toujours par le site officiel ou l’application Steam pour vos connexions.
- Si vous utilisez la double authentification par SMS, vous pouvez envisager de passer à un autre mode (application mobile ou code via e-mail).
Et pour ceux qui veulent aller plus loin, il est toujours bon de vérifier les appareils autorisés sur votre compte en vous rendant ici.
Allez, on résume toute cette histoire
Non, Steam n’a pas été piraté. Oui, des données ont bien fuité, mais elles ne permettent pas d’accéder à votre compte ni de compromettre directement votre sécurité. L’affaire reste sérieuse, surtout en matière de phishing, mais elle ne justifie pas les gros titres alarmistes lus un peu partout hier.
Valve continue de mener l’enquête pour identifier l’origine exacte de la fuite. En attendant, un peu de vigilance suffit largement à rester hors de portée des tentatives d’arnaque.
Source : Valve
En fait il n’y rien à craindre pour tout ce qui est lié au compte (2FA ou pas) et donc pas besoin de changer le mot de passe
Le seul point sensible c’est la donnée du code 2FA envoyée sur .. le téléphone dont ils ont le numéro (Donc possible phishing)
Le code en lui meme ne permet pas l’accès car il a une durée de vie de .. 15 minutes
De plus la sté citée, Twilio n’est pas du tout en cause
89 millions de données ça aurait été dramatique ! J’ai quand même changé mon mot de passe hier en apprenant la nouvelle, on est jamais trop prudent 😉