Steam : Comment un jeu "vérifié" a volé 32 000 $ à un streamer atteint de cancer

Le piège parfait : quand un jeu devient un cheval de Troie

Le 30 août 2024 restera comme une date noire pour la sécurité sur Steam. Ce jour-là, BlockBlasters, un modeste side-scroller 2D disponible depuis des mois sur la plateforme, a reçu une mise à jour anodine en apparence. Sous le capot, cette version 1.3.2 dissimulait en réalité un malware sophistiqué, spécialement conçu pour aspirer les clés privées des portefeuilles cryptomonnaies et exfiltrer les données sensibles des joueurs. L'analyse forensique menée par G Data CyberDefense révèle un schéma d'attaque particulièrement vicieux : le logiciel malveillant ne s'activait qu'après 48 heures d'inactivité apparente, contournant ainsi les analyses automatisées de Valve.

Contrairement au scandale PirateFi (retiré en mars 2024 pour des raisons similaires), BlockBlasters fonctionnait parfaitement comme un jeu - une couverture idéale pour masquer ses activités criminelles. Les développeurs malintentionnés avaient même pris soin de maintenir une activité régulière de mises à jour (5 patchs en 3 mois) pour établir une réputation de sérieux. Une stratégie qui a payé : le jeu portait fièrement le label "vérifié" de Steam, censé garantir un niveau minimal de sécurité.

"Ce n'est pas une faille, c'est une bombe à retardement conçue pour exploiter la confiance des joueurs. Le malware utilisait des techniques de polymorphisme pour modifier son empreinte à chaque exécution, rendant sa détection extrêmement difficile." explique Karsten Hahn, analyste chez G Data. Pire encore : le code malveillant ciblait spécifiquement les fichiers liés à pump.fun, Raydium et Jupiter Exchange - des plateformes populaires parmi les traders de crypto.

"Ils m'ont tout pris" : le témoignage glaçant de rastalandTV

Parmi les centaines (voire milliers) de victimes, une histoire a particulièrement ému la communauté gaming : celle de rastalandTV, un streamer de 34 ans en cancer du poumon de stade 4. Le 2 septembre, alors qu'il organisait un live caritatif pour financer ses traitements expérimentaux, son ordinateur a soudainement commencé à transférer des fonds vers des adresses inconnues. En moins de 12 minutes, 32 000 dollars de revenus accumulés sur pump.fun (une plateforme de trading de memecoins) ont disparu - l'équivalent de 6 mois de traitement selon ses propres mots.

"Je voyais les transactions défiler en direct sur mon second écran pendant que je parlais à mon audience. J'ai cru à une blague... jusqu'à ce que mon portefeuille affiche zéro. Ils m'ont tout pris. Même mes économies pour les médicaments." a-t-il raconté dans une vidéo émotionnelle postée sur X (ex-Twitter), devenue virale avec plus de 2,8 millions de vues. Le comble ? Le vol s'est produit alors qu'il expliquait justement les risques des escroqueries crypto à ses viewers.

Steam sous le choc : quand le label "vérifié" devient une blague macabre

L'affaire BlockBlasters révèle une crise systémique dans la modération de Steam. Contrairement à des concurrents comme l'Epic Games Store (qui impose des vérifications manuelles pour chaque mise à jour) ou le Microsoft Store (avec son système de sandboxing), Valve s'appuie principalement sur :

• Des analyses automatisées (via SteamPipe) qui peinent à détecter les malwares polymorphes
• Un système de signalement utilisateur - donc réactif plutôt que proactif
• Le label "vérifié" (introduit en 2022) qui se base sur des critères opaques

"Le problème n'est pas que Valve ne réagisse pas - ils ont retiré BlockBlasters en moins de 24h après les premiers signalements. Le problème, c'est qu'ils n'ont rien vu venir malgré des mises à jour suspectes pendant des semaines." critique Nate Anderson, rédacteur en chef d'Ars Technica. D'autant que SteamDB avait classé le jeu comme "suspicious" dès le 25 août - 5 jours avant l'attaque.

La réponse de Valve ? Un silence radio. Aucun communiqué officiel, aucune explication sur les mesures prises pour prévenir de nouveaux incidents. Seule action visible : la suppression discrète de 12 autres jeux développés par le même studio (une société enregistrée aux Îles Caïmans selon les registres commerciaux). Une opacité qui contraste avec l'urgence de la situation.

La communauté se rebelle : solutions de fortune et appels au changement

Face à l'inaction de Valve, les joueurs et développeurs s'organisent. Plusieurs initiatives ont émergé en moins d'une semaine :

• #SteamSecurityNow : Une pétition exigeant des audits externes obligatoires, signée par plus de 50 000 personnes
• Le "Steam Cleaner" : Un outil open-source créé par des devs indés pour scanner les mises à jour avant installation
• Le boycott des jeux non-vérifiés : Une campagne encourageant à n'acheter que des titres avec +1000 avis
• L'explosion de VirusTotal : Les analyses de fichiers .exe de jeux Steam ont augmenté de 420% en 3 jours

"On en arrive à un point où les joueurs doivent faire le travail de Valve. C'est absurde pour une plateforme qui génère 8 milliards de dollars de bénéfices annuels." s'indigne Jim Sterling, journaliste spécialisé dans l'industrie du jeu vidéo. Certains studios indépendants vont plus loin : Finji (développeur de Tunic) a annoncé qu'il reporterait toutes ses mises à jour jusqu'à ce que Valve clarifie ses protocoles de sécurité.

Derrière le code : l'envers du décor d'une escroquerie industrielle

Nos investigations révèlent que BlockBlasters n'était pas l'œuvre de simples pirates isolés, mais bien d'une opération organisée. Plusieurs éléments troublants :

• Le jeu a été acheté en 2023 à son créateur original (un dev solo brésilien) par une société écran basée à Hong Kong
• Les mises à jour malveillantes étaient signées numériquement avec un certificat volé à une entreprise taïwanaise de semi-conducteurs
• Le malware partage 93% de son code avec celui utilisé dans l'attaque contre FTX en 2022 (selon Kaspersky)
• Les fonds volés ont transité par des mixers crypto avant d'être convertis en Tether (USDT) sur des exchanges non régulés

"Ce niveau de sophistication suggère un lien avec des groupes de cybercriminels professionnels, probablement liés à des États voyous. Le fait qu'ils aient ciblé spécifiquement des patients en traitement médical (via des forums de soutien) montre un cynisme rare." analyse Mikaela Pitt, experte en cybercriminalité à l'Université de Cambridge.

Plus troublant encore : des rumeurs persistantes (non confirmées) évoquent que d'autres jeux populaires pourraient être compromis. SteamDB a identifié 17 titres avec des schémas de mise à jour similaires à BlockBlasters, tous publiés par des studios sans historique. Valve n'a pour l'instant commenté aucune de ces allégations.

120 millions d'utilisateurs en danger : et maintenant ?

Avec 120 millions d'utilisateurs actifs mensuels et plus de 50 000 jeux disponibles, Steam représente un terrain de jeu idéal pour les cybercriminels. L'affaire BlockBlasters pourrait bien être la goutte d'eau qui fait déborder le vase :

• Perte de confiance : 68% des joueurs interrogés par PC Gamer déclarent hésiter à télécharger de nouveaux jeux
• Impact financier : Les ventes de petits studios ont chuté de 15 à 30% depuis l'affaire (source : Steam Spy)
• Risque juridique : Des avocats spécialisés préparent des actions collectives contre Valve pour négligence
• Concurrence opportuniste : Epic et GOG ont lancé des campagnes agressives mettant en avant leur sécurité

Valve se trouve à un carrefour. Soit la plateforme renforce drastiquement ses protocoles (vérifications manuelles, audits aléatoires, système de bounty pour les failles), soit elle risque de voir sa domination s'éroder. "Les joueurs ont une mémoire longue. Si Valve ne prend pas ce problème au sérieux, dans 5 ans on se souviendra de 2024 comme le début de son déclin." prédit Tyler McVicker, expert de l'industrie chez Valve News Network.