En bref: Si vous recevez un lien d’invitation Steam pour jouer à Counter-Strike: Global Offensive (CS: GO), méfiez-vous: cliquer dessus pourrait permettre à un pirate de prendre le contrôle de votre ordinateur. Si cela ne suffisait pas, le bogue pourrait se propager à d’autres appareils, tout comme un ver.
Selon un Rapport de la carte mère, le bogue se trouve dans le moteur source de Valve utilisé par CS: GO, Dota 2, Team Fortress 2 et d’autres. Un chercheur en sécurité du nom de Florian a déclaré avoir signalé la vulnérabilité à Valve via le programme de primes en 2019, mais bien qu’elle ait été corrigée dans presque tous les jeux, elle est toujours présente dans CS: GO.
« Florian a dit qu’il était capable de coder un exploit pour profiter du bug qui fonctionne 80 pour cent du temps », écrit la publication. Il a également mis en garde contre les pirates l’utilisant pour infecter d’autres machines.
« Une fois que vous avez infecté quelqu’un, cette personne peut être armée pour infecter ses amis et ainsi de suite », a expliqué le chercheur.
Valve, semble-t-il, a la réputation de ne pas être rapide lorsqu’il s’agit de résoudre les bogues signalés. Carl Schou, le fondateur du groupe de chercheurs en sécurité à but non lucratif Secret Club, a noté que Valve n’avait pas reconnu deux autres vulnérabilités signalées par des membres du groupe.
Troisième fois un charme; @the_secret_club Le membre mev présente son exécution de code à distance 0 jour pour CS: GO. Cela a été signalé à Valve il y a 5 mois sans réponse de Valve. pic.twitter.com/Jw8icRPh3j
– club secret (@the_secret_club) 10 avril 2021
«La réponse de Valve a été une déception complète dès le début. Notre expérience a toujours été des temps de réponse lents, avec peu ou pas de patchs mis en production», a-t-il déclaré à Motherboard. « Ils ne se soucient vraiment pas de la sécurité et de l’intégrité de leurs jeux. »