Le groupe de chasse au piratage Secret Club a révélé plusieurs exploits affectant les jeux Source Engine comme CS:GO, qui pourraient permettre aux pirates de voler les données des joueurs via les invitations Steam et les serveurs communautaires. Ils affirment avoir signalé l’un de ces exploits à Valve il y a deux ans, mais non seulement la société ne l’a pas encore corrigé, mais ils auraient également empêché Secret Club de divulguer publiquement les informations.
Secret Club est un groupe d’ingénierie inverse à but non lucratif qui a trouvé un certain nombre d’exploits avec le logiciel de Valve, qu’ils expliquent dans une série d’articles. sur Twitter. Chacun de ces exploits sont des failles d’exécution de code à distance, ce que Secret Club m’a dit par e-mail donne à un pirate « un contrôle total sur le système de la victime, qui peut être utilisé pour voler des mots de passe, des informations bancaires, etc.
Ci-dessous, ils montrent comment l’exploit peut être activé via les invitations Steam.
Il y a deux ans, membre du club secret @floesen_ signalé une faille d’exécution de code à distance affectant tous les jeux du moteur source. Il peut être déclenché via une invitation Steam. Cela n’a pas encore été corrigé et Valve nous empêche de le divulguer publiquement. pic.twitter.com/0FWRvEVuUX
– club secret (@the_secret_club) 10 avril 2021
Deux autres messages (ici et ici) montrent un type d’exploit d’exécution à distance fonctionnant dans CS:GO. Cela se fait dans le jeu lui-même, plutôt que via Steam. Secret Club affirme que celui-ci a été signalé à Valve « il y a des mois », mais ils n’auraient pas reconnu le problème.
L’exécution de code à distance est montrée comme étant utilisée légèrement différemment dans Team Fortress 2, où les pirates peuvent déclencher la faille tout en hébergeant un serveur communautaire. Une fois que les joueurs sont sur le serveur, les pirates peuvent envoyer ces exécutions de code à distance à tout le monde à l’intérieur et accéder aux données personnelles, aux mots de passe et à toutes ces choses que vous ne voulez pas que les pirates s’emparent. Des trucs effrayants.
Valve n’a pas encore fait de déclaration sur ces exploits. Je les ai contactés pour commentaires et mettrai à jour cet article si je reçois une réponse.