Valve admet une erreur de faille de sécurité de Steam après la publication d'un chercheur banni

valve admits steam security flaw mistake after banned researcher goes public

Soupape

Valve a admis avoir commis une erreur en refusant les soumissions d'un chercheur en sécurité révélant des failles potentielles dans Steam. La reconnaissance au nom de Valve intervient peu de temps après qu'un chercheur, Vasily Kravets, ait publiquement publié les détails d'une vulnérabilité zero-day potentiellement exploitable au sein de la plate-forme de jeu Steam suite à une mauvaise interaction avec l'entreprise.

Précurseur de cela, et selon Kravets, Valve avait refusé de cracher de l'argent pour une faille d'élévation de privilège précédente découverte par le chercheur, la société affirmant que la gravité de la faille était trop faible pour valider tout paiement. Valve a même interdit les Kravets de son HackerOne maintient le programme de primes de bogues suite à une nouvelle brouille sur le sujet (via Le registre ).



En réponse, Kravets a révélé publiquement une autre faille d'élévation de privilège dans l'application Steam. La gravité de cette faille est la même que la dernière et nécessiterait une forme d'accès local pour l'exploiter. Cependant, Kravets fait valoir qu'en raison de la nature même de Steam en tant que marché pour télécharger et installer des applications tierces, cela pourrait ne pas être si difficile à réaliser. Un développeur douteux avec un programme d'installation non fiable pourrait être tout ce qu'il faut pour exploiter la faille et remplir votre PC jusqu'à ses ports USB avec des logiciels malveillants.

Mais Valve a maintenant admis qu'il avait peut-être commis une erreur dans sa classification de ces défauts.

«Les règles de notre programme HackerOne visaient uniquement à exclure les rapports selon lesquels Steam aurait reçu l’instruction de lancer des logiciels malveillants précédemment installés sur la machine d’un utilisateur en tant qu’utilisateur local», déclare Valve à Le registre . «Au lieu de cela, une mauvaise interprétation des règles a également conduit à l'exclusion d'une attaque plus sérieuse qui a également entraîné une élévation de privilèges locaux via Steam.»

Magasin de vapeur

«Nous avons mis à jour les règles de notre programme HackerOne pour indiquer explicitement que ces problèmes sont concernés et doivent être signalés. Au cours des deux dernières années, nous avons collaboré et récompensé 263 chercheurs en sécurité de la communauté en nous aidant à identifier et à corriger environ 500 problèmes de sécurité, en versant plus de 675 000 $ en primes. Nous sommes impatients de continuer à travailler avec la communauté de la sécurité pour améliorer la sécurité de nos produits grâce au programme HackerOne. »

Le programme de bug bounty de Valve offre des récompenses en espèces à quiconque peut identifier et signaler avec précision une faille de sécurité dans son système qui pourrait être utilisée par un agent malveillant pour mener une attaque malveillante contre un utilisateur par une violation des privilèges du système. Tout le monde sauf Kravets. Malgré les nouveaux changements de politique de Valve, il est toujours banni du programme (mais ils envisagent une annulation de l'interdiction).

Le programme Valve offre plus de 2 000 $ pour certains défauts de grande gravité. Cependant, cela ne fait rien par rapport aux récents Programme de primes du navigateur Edge qui offre jusqu'à 30 000 $ pour la divulgation de failles critiques.

En ce qui concerne les deux failles de sécurité, Valve aurait corrigé les deux dans les mises à jour en cours. Le client Steam bêta résout entièrement les problèmes et certains correctifs initiaux ont été déployés dans la version publique pour tous les utilisateurs.