Il aura fallu attendre cinq jours et d’innombrables manifestations de colère sur Reddit pour que Valve communique enfin sur la panne de cache qui a affecté Steam le soir du 25 décembre, informe sur le nombre de comptes exposés, et explique comment il compte réparer les dégâts.

La déclaration complète publiée par le studio de développement est disponible ici. Mais pour l'essentiel, il s’est passé exactement ce que tout le monde avait déjà compris. À savoir que, vendredi matin, pour répondre à une attaque DDOS, une personne s’est accidentellement trompée en reconfigurant le cache, ce qui a provoqué une erreur de mise en cache des informations privées.

Quel préjudice pour les clients ?

Selon Valve, 34 000 utilisateurs ont été affectés par l'erreur de mise en cache, ce qui paraît dérisoire si l’on considère les 125 millions d'utilisateurs de Steam, même si une fuite de données personnelles n’est jamais anodine. Mais on reste très loin derrière la violation du PlayStation Network de 2011 où les données de 77 millions d'utilisateurs avaient été compromises.

Pour ce qui est des données exposées, Valve explique que « le contenu de données affichées était aléatoire, mais certains joueurs de Steam ont pu voir l’adresse de facturation, les quatre derniers chiffres du numéro de téléphone Steam Guard, l’historique d'achat, les deux derniers chiffres de la carte de crédit, et/ou l’adresse email d’un autre utilisateur. Selon le studio de jeux vidéos, « les données en cache ne comprennent ni les numéros complets des cartes de crédit, ni les mots de passe de l'utilisateur, ni suffisamment de données pour permettre à une personne de se connecter ou de réaliser une transaction à la place d'un autre utilisateur ».

Seuls les utilisateurs en ligne ont été compromis 

Donc, pas de panique. En premier lieu, les informations de compte des utilisateurs qui ne se sont pas connectés à Steam le soir de Noël n’ont pas été exposées. Par ailleurs, « Valve travaille actuellement avec son partenaire responsable du cache web pour voir si les informations d’un utilisateur ont été servies à d'autres utilisateurs, et prendra contact avec les personnes concernées, quand elles auront été identifiées. « Si ce n’est l'affichage des informations mises en cache, il n’était pas possible de commettre une action non autorisée sur les comptes d’autres utilisateurs, et ces derniers n’ont rien à modifier dans leur compte », précise encore Valve.

Le parti pris par Valve de citer « un partenaire responsable de la mise en cache » laisse penser que l’erreur de manipulation incombe à un intervenant tiers, extérieur à Valve, ce qui ne dédommage en rien le studio américain. La meilleure chose que puissent espérer les utilisateurs, c’est de ne pas faire partie des malchanceux.