Quelque chose ne tourne pas rond dans le royaume de Valve Software. Pour la deuxième fois en l’espace de quelques semaines, le chercheur en sécurité Vasily Kravets publie les détails d’une faille 0-day dans le logiciel client Windows de Steam, la plate-forme de jeux vidéo en ligne de l’éditeur. La vulnérabilité permettrait à un pirate d’élever ses privilèges d’accès sur une machine qu’il vient d’infecter et, le cas échéant, d’en prendre le contrôle total. Le chercheur a réalisé deux vidéos YouTube qui viennent prouver cette découverte.
Contrairement à ce que l’on pourrait penser, Vasily Kravets n’est pas un hacker irresponsable qui publie des failles sans prévenir personne. Le souci, c’est que Valve ne veut rien entendre. L’expert avait déjà trouvé une faille similaire dans le logiciel de Steam début juin. Il l’a notifié auprès de l’éditeur, au travers de HackerOne, une plate-forme de « bug bounty » (qui permet aux chercheurs en sécurité d’obtenir une récompense pour une faille trouvée). Mais Valve a rejeté son rapport, estimant que cette faille ne rentrait pas dans le périmètre de test qu’il a défini. Autrement dit, elle n’était pas assez importante pour être rétribuée. Dans le même temps, Valve et HackerOne ont interdit à Vasily Kravets de publier les détails de cette faille, ce qui n’est pas très logique.
Steam casse la sécurité de Windows
Vasily Kravets a quand même publié les détails de sa découverte sur son blog. Dans la foulée, l’attention médiatique a poussé Valve à publier un correctif… qui a été contourné une semaine plus tard. Bref, c’était du travail bâclé. De son côté, M. Kravets a été – comme il s’y attendait – banni du bug bounty de Valve sur HackerOne. Pour autant, il continue de trouver des failles dans les logiciels de l’éditeur. Il a donc décidé de les publier directement sur son blog.
Dans le milieu des chercheurs en sécurité, cette affaire fait grand bruit. Les experts, en effet, ne comprennent pas pourquoi Valve a exclu les failles à élévation de privilèges de son programme de rétribution et, surtout, pourquoi il traite ce problème par-dessus la jambe. Matt Nelson, qui avait trouvé la même faille que Vasily Kravets, estime que le risque est réel, car Steam « casse le modèle de sécurité de Windows ».
@steam_games that’s not really how that works. You can’t pick and choose what you define as a vulnerability. Your software is breaking the Windows security model.
— Matt Nelson (@enigma0x3) August 12, 2019
Le message implicite que cela véhicule est désastreux. D’une certaine manière, l’éditeur est donc d’accord pour que son logiciel serve de tremplin aux pirates. Il n’est pas certain que cela réjouisse beaucoup les plus de 100 millions d’utilisateurs de Steam sur Windows.
Source: Vasily Kravets
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
