Un pirate affirme avoir volé les données de 89 millions de comptes Steam, dont des codes d'accès temporaires. Le service Twilio, souvent utilisé pour envoyer ces codes par SMS, dément toute faille. L’origine réelle de la fuite reste floue, mais l’hypothèse d’un prestataire intermédiaire compromis se précise.
Un pirate vend 89 millions de comptes Steam
Un hacker, répondant au doux pseudo de Machine1337, a mis en vente un fichier contenant les données de 89 millions de comptes Steam pour 5 000 dollars. Dans les extraits publiés, on trouve des SMS contenant des codes de connexion à Steam, accompagnés des numéros de téléphone des utilisateurs. Steam, propriété de Valve, n’a pas encore réagi officiellement, mais cette fuite inquiète, en particulier par son volume particulièrement sonséquent.
Twilio accusé, mais dément formellement
Twilio est une entreprise qui fournit des services de messagerie et d’authentification à deux facteurs, souvent utilisée par les plateformes pour sécuriser les comptes. Très vite, certains ont soupçonné une fuite venant de chez eux, car les messages volés ressemblent à ceux générés via leurs services. Twilio a répondu qu’après analyse, rien ne prouve une faille de sécurité dans leurs systèmes.
La piste la plus crédible aujourd’hui ? Un prestataire technique chargé de transmettre les SMS aurait été compromis. Les données montrent des traces de journaux techniques typiques d’un service comme Twilio, mais pourraient aussi venir d’un acteur tiers utilisant leur API. En clair, quelqu’un dans la chaîne d’envoi des messages a peut-être laissé fuiter des accès sensibles.
Des données récentes
Ce qui rend cette affaire sérieuse, c’est aussi la fraîcheur des données : plusieurs messages datent de mars 2025. Même si les comptes protégés par Steam Guard (l’authentification mobile de Valve) ne sont pas directement exposés, ceux sans double sécurité sont à risque. Des messages de phishing pourraient aussi viser les utilisateurs à partir des infos volées.
Même si on ne sait pas encore exactement d’où vient la fuite, la prudence est de mise. Si ce n’est pas déjà fait, il faut activer Steam Guard, changer son mot de passe et surveiller toute activité étrange sur son compte. L’affaire rappelle à quel point la sécurité dépend aussi parfois d’acteurs invisibles… et souvent faillibles.
