Son compte Steam piraté deux fois, sauvé deux fois… grâce à un jeu

Authentification à deux facteurs, gestionnaires de mots de passe, tokens SMS, applications d’authentification… la sécurité informatique multiplie les couches de protection. Et pourtant, un utilisateur Reddit vient de prouver que la meilleure défense contre le piratage de son compte Steam était… un CD physique de Half-Life acheté en 2006.

Son compte a été piraté deux fois en 20 ans. Deux fois, il l’a récupéré en tapant simplement la clé d’activation imprimée dans la boîte du jeu. Pas de 2FA, pas de recovery email compliqué, juste un bout de carton avec une série alphanumérique dessus.

Steam

Télécharger gratuitement

Les CD d’avant

Parce que, revenons en arrière. En 2006, Steam n’était pas encore la plateforme dominante qu’on connaît aujourd’hui avec plus de 130 millions d’utilisateurs actifs. C’était une application obligatoire pour jouer aux jeux Valve (Half-Life 2, Counter-Strike, etc.), vue principalement comme un DRM (Digital Rights Management) plutôt qu’une boutique digitale.

À cette époque, vous ne pouviez pas simplement créer un compte Steam avec une adresse email. Il fallait posséder physiquement un jeu Valve qui contenait : un CD, voir un DVD, une clé d’activation unique imprimée dans la boîte ou le manuel et l’installateur Steam.

C’était l’inverse du modèle actuel. Aujourd’hui, vous créez d’abord un compte Steam, puis vous achetez des jeux. En 2006, vous achetiez d’abord un jeu physique, et ça créait votre compte Steam.

L’utilisateur qui n’aimait même pas Half-Life

Notre protagoniste, qui utilise le pseudo « d20g » sur Reddit, a acheté une copie physique de Half-Life en 2006. Mais voilà le détail : il ne voulait même pas jouer à Half-Life. Ce qui l’intéressait, c’était Counter-Strike 1.6. Et ce n’était pas le seul à l’époque.

À l’époque, Counter-Strike 1.6 nécessitait Steam pour fonctionner, et le moyen le moins cher d’obtenir un compte Steam était d’acheter Half-Life d’occasion. Donc d20g achète Half-Life, installe Steam, crée son compte, et… range le CD dans un tiroir en se disant qu’il ne le reverra jamais.

Premier piratage : la clé physique sauve la mise

Quelques années plus tard (la date exacte n’est pas précisée), d20g constate que son compte Steam a été piraté. Quelqu’un a réussi à obtenir ses identifiants (phishing probable, mot de passe faible, ou fuite de données d’un autre service) et a pris le contrôle du compte.

D20g contacte le support Steam pour récupérer son compte. À l’époque, pas d’authentification à deux facteurs (la 2FA n’arrivera sur Steam qu’en 2015). Le support lui demande de prouver qu’il est bien le propriétaire légitime du compte. Comment ? En fournissant la clé d’activation d’un jeu physique lié au compte.

D20g ressort son vieux CD de Half-Life du tiroir, tape la clé alphanumérique imprimée dans la boîte, et boom : compte récupéré. Le pirate, qui avait changé le mot de passe et probablement l’e-mail, n’avait aucun moyen de fournir cette clé physique puisqu’il n’avait jamais possédé la boîte du jeu.

C’est la même logique qu’une clé de voiture physique. Vous pouvez crocheter la serrure d’une voiture, mais si le propriétaire légitime arrive avec la clé d’origine, tout le monde comprend qui est le vrai proprio.

Deuxième piratage : le CD sauve encore

Quelques années plus tard encore (toujours pas de date précise, mais on parle d’une période pré-2015, avant l’arrivée de la 2FA obligatoire), le compte de d20g est à nouveau piraté. Peut-être le même attaquant, peut-être un autre. Peu importe.

Même scénario : contact du support Steam, demande de preuve de propriété, sortie du CD Half-Life du tiroir (qui commence à prendre la poussière sérieusement), saisie de la clé, compte récupéré.

Deux piratages en 20 ans. Deux récupérations grâce à un bout de carton avec une série de chiffres et lettres dessus. À ce stade, d20g a probablement encadré sa boîte de Half-Life comme un trophée.

Pourquoi ça marchait (et pourquoi ça ne marche plus)

La sécurité par possession physique reposait sur un principe simple : le pirate peut voler vos identifiants numériques (mot de passe, email), mais il ne peut pas voler un objet physique qu’il ne sait même pas que vous possédez. Incopiable, invisible, permanent… les avantages sont nombreux.

Mais ça ne marche plus aujourd’hui : 99 % des jeux PC vendus aujourd’hui sont numériques. Les clés d’activation existent toujours, mais elles sont affichées dans votre compte Steam, pas imprimées sur un carton. Si le pirate prend votre compte, il voit les clés.

Il y a aussi les sites de revente de clés, comme G2A, Kinguin, CDKeys, ils vendent des clés Steam d’occasion ou issues de bundles. Il est théoriquement possible pour un pirate de trouver une clé valide d’un vieux jeu et de prétendre qu’il possède le compte. Ça rend la méthode moins fiable pour le support.

Enfin, Steam utilise désormais Steam Guard (authentification à deux facteurs via app mobile ou email). C’est bien plus robuste que les clés physiques. Le pirate doit non seulement voler votre mot de passe, mais aussi avoir accès à votre téléphone ou email. C’est beaucoup plus difficile.

Aujourd’hui, Steam demande généralement des preuves d’achat (emails de confirmation, factures PayPal, screenshots de bibliothèque) pour récupérer un compte piraté. C’est l’équivalent moderne de la clé physique : une preuve que le pirate ne peut pas fabriquer.