Sécurité: un streameur, qui levait des fonds pour soigner son cancer, a vu son pactole dérobé en direct! En cause, un jeu vérolé, installé depuis Steam

32.000 dollars envolés. Il y a quelques jours, un streameur réalisant des vidéos sur la plateforme Pump.fun afin de récolter de l'argent dans le cadre de son traitement contre le cancer a été victime d'un piratage de son compte crypto.

En cause, une mise à jour vérolée d'un jeu de plateforme disponible sur Steam.

Lancé le 31 juillet dernier, le jeu en question, baptisé Blockblasters, n'avait atteint qu'une audience très limitée, avec toutefois quelques commentaires positifs. Au mois d'août, un patch correctif est toutefois venu ajouter un logiciel malveillant, permettant aux pirates qui en sont à l'origine de scanner les données du disque de stockage de l'utilisateur, et notamment de fouiller à la recherche d'information sur un compte de cryptomonnaie.

Blockblasters a depuis été retiré de Steam, qui n'a pas officiellement réagi sur ce sujet.

Un manque de modération sur Steam?

Dans le détail, le patch a ajouté trois fichiers, dont l'un permettait de collecter des informations sur la machine, avant de décompresser deux archives Zip, explique GData Cyberdefense, injectant alors davantage de logiciels malveillants pour pouvoir s'attaquer à d'autres éléments, comme les données des navigateurs.

Au-delà du cas du streamer Rastaland, affligeant et révoltant, l'arnaque Blockblasters pourrait être anecdotique si elle n'était pas la troisième en moins d'un an.

En février 2025, un faux jeu de survie, PirateFi, disposait en son sein d'un logiciel permettant de subtiliser les mots de passe d'un utilisateur. En mars de la même année, c'est une démo qui redirigeait ses joueurs vers Github, où était téléchargeable un fichier zip vérolé. Des malwares moins récents, installés au travers de Steam, étaient un peu moins dangereux car ils ne servaient qu'à miner des cryptomonnaies à l'insu de l'utilisateur.

A l'époque, Steam invitait simplement les utilisateurs concernés à réaliser rapidement un scan de l'ensemble de leurs fichiers.

Des signalements a posteriori

Une situation qui pose de sérieuses questions sur la capacité qu'à Steam à détecter les jeux ou les mises à jour pouvant faire peser un risque sensible sur la machine d'un utilisateur. La plateforme de distribution gérée par Valve possède des outils pour vérifier l'intégrité des logiciels disponibles, mais comme on l'a constaté avec d'autres stores comme le Play Store, de Google, et même l'App Store d'Apple sur iOS, un trou dans la raquette est toujours possible.

Comme le précisent différents utilisateurs sur Reddit, Steam ne mentionne nulle part sa politique en matière de sécurité des fichiers disponibles sur sa plateforme. Elle n'explique pas non plus la manière dont elle réalise un éventuel scan avant sa distribution à l'échelle mondiale ou les procédés de notarisation déployés pour éviter les usurpations d'identité des développeurs.

La modération des contenus problématiques ou vérolés se fait donc a posteriori, et les utilisateurs sont encouragés à s'en charger grâce à un bouton de signalement présent sur chaque fiche de jeux ou de logiciels.

Sur les forums de Blockblasters, des utilisateurs accusent Steam d'avoir laissé faire. Il faut dire qu'il a fallu ce vol de crypto auprès d'un joueur ayant des problèmes de santé pour que le titre soit retiré. Des utilisateurs notent la présence de commentaires élogieux pour ne pas éveiller les soupçons

Tech&Co a contacté Steam afin de mieux comprendre leur politique, sans réponse jusqu'ici.