Voici une affaire qui a fait du bruit dans le petit milieu des chercheurs en sécurité, dont se seraient bien passés Valve Corporation et HackerOne. Mais avant de développer les tenants et les aboutissants de ce brouillamini, tâchons de présenter les acteurs concernés. Vasily Kravets, tout d’abord, est un chercheur russe rompu à la cybersécurité. Valve, ensuite, est le célèbre distributeur de jeux dématérialisés américains à l’origine de Steam. Enfin, HackerOne est une plateforme de « bug bounty »qui met en relation des entreprises et spécialistes cyber.
HackerOne a comme objectif de couper l’herbe sous le pied des hackers malintentionnés en se positionnant comme un intermédiaire entre les sociétés et les chercheurs en cybersécurité, par le biais, notamment, de programmes de bug bounty délivrant une somme d’argent à ces derniers une fois une brèche informatique trouvée puis révélée. Et c’est exactement ce qu’a effectué Vasily Kravets, pour un résultat en demi-teinte.
Quand Valve se voile la face
Ce dernier a dans un premier temps dévoilé une brèche zero day trouvée au sein de Steam sur la plateforme HackerOne. Quelques jours plus tard, et après avoir laissé le temps à Valve de la corriger, l’intéressé a souhaité la mettre en ligne publiquement. Mais voit un membre du personnel de HackerOne lui barrer la route. Surtout, Valve a refusé de reconnaître cette faiblesse informatique comme une véritable faille, qui n’a donc pas bénéficié de patch de sécurité.
Une attitude pointée du doigt par la communauté, qui n’hésite pas à mettre en exergue le manque de professionnalisme de Valve et HackerOne. Qu’importe : déterminé à partager sa trouvaille, M. Kravets révèle la vulnérabilité zero day, qui s’avère être un bug lié à une élévation de privilèges. Un acte pris très au sérieux par Valve, qui a tout bonnement banni le chercheur de son programme de bug bounty mise en place sur HackerOne.
Crédit photo : Kaur Kristjan via Unsplash.
L’entreprise américaine en a alors profité pour déployer un correctif de sécurité. Correctif rapidement contourné dans la foulée par un autre chercheur. Il a fallu l’intervention de Matt Nelson, un expert en cybersécurité reconnu dans le milieu, pour que l’affaire fasse un petit bond en avant. En soutien à son homologue Vasily, Nelson trouve la même brèche zero day : cinq jours plus tard, Valve reconnaît le bug, mais refuse de le réparer.
« Steam, ce n’est pas comme cela que ça fonctionne. Vous ne pouvez pas choisir ce que vous définissez comme une vulnérabilité. Votre logiciel va à l’encontre du modèle de sécurité Windows », fustige Matt Nelson sur Twitter. Une partie du code de la faille a ensuite été propagée par ce dernier. Entre temps, Vasily Kravets a fait la découverte d’une seconde brèche zero day — encore une fois liée à l’élévation de privilèges — qu’il met en ligne sur YouTube.
Steam, un terrain de jeu pour les hackers ?
Au-delà de cette succession de faits alarmants, Valve affiche ici une politique de sécurité visiblement trop prise à la légère. Car la firme d’outre-Atlantique ne considère tout bonnement pas ce type de brèche zero day comme de véritables failles informatiques dangereuses pour son système. A contrario de Microsoft, qui en corrige des dizaines chaque mois.
Certes, un hacker ne peut pénétrer l’ordinateur d’un utilisateur Steam via une élévation de privilèges, comme l’indique ZDNet, mais la plateforme de Valve ne doit pas pour autant devenir un «terrain de jeu » pour les hackers. Depuis, la multinationale est sortie de son silence : les règles de son programme de bug bounty ont été modifiées, et classent désormais de telles faiblesses dans la catégorie des brèches informatiques. Les efforts de Vasily Kravets n’ont pas été vains.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
