(MAJ) Valve confirme le hack
Monde - Général
Par le 20/04/07 à 13:55
VALVe se serait fait hacké par MaddoxX qui détient des informations privées sur ses clients. Info ou intox ? Interview exclusive avec le principal concerné.
Comme vous avez pu le lire ici ou là, un hackeur nommé MaddoxX s'est penché sur VALVe et aurait déniché tout un tas d'informations strictement confidentielles provenant de la société américaine. Parmi celles-ci on retrouve en vrac l'intranet que les employés de VALVe utilisent, les bilans financiers de VALVe et même les numéros de cartes de crédits de milliers de clients.
La nouvelle (Cf. Lien) a fait le tour du monde de l'Internet. Comme l'a écrit Canardplus.com, VALVe est aujourd'hui sous le coup d'un chantage opéré par ce hackeur : "Si vous voulez que je retire ces fichiers, vous pouvez m’écrire à "cette adresse", et je préfère que vous le fassiez avec quelque chose d’intéressant à me proposer, à moins que vous ne vouliez que je diffuse TOUTES les données concernant les clients."
Avec à vrai dire un peu de chance et de recherches, nous avons pu obtenir une interview exclusive avec l'individu qui nous en apprend un peu plus sur ses agissements. Bien entendu, nous nous sommes nous-même intérrogés si c'était la bonne personne qui répondait à nos questions.
Mais au fur et à mesure de la discussion, il nous a fournit des liens de pages cachées sur son site, celui-là même qui a été linké dans tous les articles qui ont été écrits jusque-là, constituant ainsi des preuves de son authenticité. Il reste tout de même difficile de croire à 100% ses paroles.
Nous apprenons notamment qu'il aurait aussi réussi à se procurer une version d'Enemy Territory : Quake Wars. Ces propos ont été recueillis par David "ocZio" Arakelian. Interview avec un hackeur...
Esportsfrance.com : Pour commencer, peux-tu te présenter ?
MaddoxX : Je ne dirais aucune information personnelles sur moi, désolé.
Quel était ton but en faisant ceci ? Prouver que valve a des failles de securité ou montrer que tout ce qu'ils disent concernant leurs "clients" n'est qu'un mensonge ?
Pour montrer que Valve ne se préoccupe pas de ses clients et aussi pour prouver que leur securité est merdique. J'ai essayé de les contacter plusieurs fois mais ils n'ont rien fait.
Que penses-tu faire si valve ne coopère pas avec toi ?
Ils ne vont jamais coopérer avec moi, j'ai déjà essayé par le passé. J'ai déjà reçu un email de réponse de leur part. Voici :
Maddoxx,
I am not sure what you are looking for in an answer. All you statement may be
true but that does not mean we should allow you to beta our software. As an active member and
promoter of no-steam you are responsible for revenue loss that funds the development of new games.
So why would we ever let you participant in beta of the game? There is not value in letting you do
it because you do not contribute you the generation of revenue that allows us to make new
NDA doesn't make a difference because we could never be confident you would honor it.
Mike
C'est une réponse que j'ai reçu il y a six mois déjà.
Quels sont tes plans dans le cas ou Valve ne coopère pas avec toi? Tu va rendre publique les informations des "Clients" ? Aussi quand on parle des "Clients" ceux sont juste les "Café clients" ou les clients de steam réguliers aussi ?
Je ne sais pas encore ce que je vais faire, je vais voir ça mais les deux clients Café et reguliers
sont affecté par le problème. Au début j'ai eu la base des "Café clients" ensuite "steam clients".
Que pense-tu de valve, comment vont-ils médiatiser toute cette information ? Ils vont essayer de publier sur les "gros" sites de jeux en disant "Nous nous sommes fait piraté" au lieu de faire une communiqué officiel en disant que "C'est notre faute, notre sécurité était mauvaise ?".
C'est leur faute. Ils ont déjà été hacke auparavant ( cf hl² leak ) mais ils n'ont rien appris !
Cette fois-ci, j'ai envoyé un email en les avertissant à propos des failles de securité mais ils n'ont
pris aucune mesure pour régler le problème. Alors abusons-en. Donc oui, c'est leur faute.
Pour résumer tu as fais tout ceci pour prouver que valve se moque de ses clients et leur securité n'est pas fiable où tu voulais simplement devenir populaire sur internet?
Exactement, j'étais déjà populaire avec le site "no-steam" mais pas a ce point-là comme aujourd'hui "lol".
As-tu planifié de t'attaquer à d'autres organismes ou ton seul but était Valve ?
J'ai déjà piraté Activision quelques mois avant, j'ai obtenu une copie de Enemy Territory "Quake Wars". Pour te prouver voici les images (Ne voulant pas linker vers son propre site web, nous hébergeons les images sur le nôtre, reste que l'url avait toujours pour nom de domaine emp.damage-web.net - NDLR)
Dans tes "captures décran" on voit que tu as utilisé un navigateur Web Allemand ( FireFox et Internet Explorer ), veux-tu dire quelque chose à ce sujet ?
Pense-tu vraiment que j'ai utilisé mon poste de travail personnel ? Bien sûr que non, j'ai utilisé
des ordinateur distants. (Remote PC).
As-tu quelque chose à ajouter ?
Oui, comme vous pouvez le constater Valve se moque royalement de ses clients, mon but actuel est d'avoir une information officielle de chez Valve pour prévenir ses "Clients" chose qui n'est pas encore faites. Si les choses continuent ainsi, ça va s'empirer pour Valve.
Mise à jour : «Aucune brèche de sécurité n'a eu lieu sur Steam. Le supposé pirate est en fait parvenu à accéder à un site tiers que Valve utilise pour gérer ses partenaires commerciaux intégrés à son programme Cyber Café. Ce système n'est aucunement relié à Steam. Nous travaillons actuellement sur ce problème avec les autorités et incitons toute personne disposant d'informations à nous les communiquer à cette adresse : Catch_A_Thief@valvesoftware.com.»
(traduction : jeuxvideo.com)
Cette déclaration faite il y a quelques heures par Doug Lombardi affirme que Steam n'a pas été piraté. Mais une personne serait bien rentré en possession de données sécurisées sur ses clients. L'intrusion se serait faite par le biais d'un site tiers utilisé par Valve pour gérer ses partenaires commerciaux.
Cette déclaration faite il y a quelques heures par Doug Lombardi affirme que Steam n'a pas été piraté. Mais une personne serait bien rentré en possession de données sécurisées sur ses clients. L'intrusion se serait faite par le biais d'un site tiers utilisé par Valve pour gérer ses partenaires commerciaux.
Erratum : "Nous apprenons notamment qu'il aurait aussi fait du chantage à Id Software qui se sont empressés de lui fournir des beta d'Enemy Territory : Quake Wars" n'est pas exact.
Comme vous pouvez le lire dans l'interview, il a réussi à obtenir une version de Quake Wars sans nous avoir précisé la manière dont il l'a fait. La phrase est désormais modifiée.
Comme vous pouvez le lire dans l'interview, il a réussi à obtenir une version de Quake Wars sans nous avoir précisé la manière dont il l'a fait. La phrase est désormais modifiée.
Comme vous avez pu le lire ici ou là, un hackeur nommé MaddoxX s'est penché sur VALVe et aurait déniché tout un tas d'informations strictement confidentielles provenant de la société américaine. Parmi celles-ci on retrouve en vrac l'intranet que les employés de VALVe utilisent, les bilans financiers de VALVe et même les numéros de cartes de crédits de milliers de clients.
La nouvelle (Cf. Lien) a fait le tour du monde de l'Internet. Comme l'a écrit Canardplus.com, VALVe est aujourd'hui sous le coup d'un chantage opéré par ce hackeur : "Si vous voulez que je retire ces fichiers, vous pouvez m’écrire à "cette adresse", et je préfère que vous le fassiez avec quelque chose d’intéressant à me proposer, à moins que vous ne vouliez que je diffuse TOUTES les données concernant les clients."
Avec à vrai dire un peu de chance et de recherches, nous avons pu obtenir une interview exclusive avec l'individu qui nous en apprend un peu plus sur ses agissements. Bien entendu, nous nous sommes nous-même intérrogés si c'était la bonne personne qui répondait à nos questions.
Mais au fur et à mesure de la discussion, il nous a fournit des liens de pages cachées sur son site, celui-là même qui a été linké dans tous les articles qui ont été écrits jusque-là, constituant ainsi des preuves de son authenticité. Il reste tout de même difficile de croire à 100% ses paroles.
Nous apprenons notamment qu'il aurait aussi réussi à se procurer une version d'Enemy Territory : Quake Wars. Ces propos ont été recueillis par David "ocZio" Arakelian. Interview avec un hackeur...
Esportsfrance.com : Pour commencer, peux-tu te présenter ?
MaddoxX : Je ne dirais aucune information personnelles sur moi, désolé.
Quel était ton but en faisant ceci ? Prouver que valve a des failles de securité ou montrer que tout ce qu'ils disent concernant leurs "clients" n'est qu'un mensonge ?
Pour montrer que Valve ne se préoccupe pas de ses clients et aussi pour prouver que leur securité est merdique. J'ai essayé de les contacter plusieurs fois mais ils n'ont rien fait.
Que penses-tu faire si valve ne coopère pas avec toi ?
Ils ne vont jamais coopérer avec moi, j'ai déjà essayé par le passé. J'ai déjà reçu un email de réponse de leur part. Voici :
Maddoxx,
I am not sure what you are looking for in an answer. All you statement may be
true but that does not mean we should allow you to beta our software. As an active member and
promoter of no-steam you are responsible for revenue loss that funds the development of new games.
So why would we ever let you participant in beta of the game? There is not value in letting you do
it because you do not contribute you the generation of revenue that allows us to make new
NDA doesn't make a difference because we could never be confident you would honor it.
Mike
C'est une réponse que j'ai reçu il y a six mois déjà.
Quels sont tes plans dans le cas ou Valve ne coopère pas avec toi? Tu va rendre publique les informations des "Clients" ? Aussi quand on parle des "Clients" ceux sont juste les "Café clients" ou les clients de steam réguliers aussi ?
Je ne sais pas encore ce que je vais faire, je vais voir ça mais les deux clients Café et reguliers
sont affecté par le problème. Au début j'ai eu la base des "Café clients" ensuite "steam clients".
Que pense-tu de valve, comment vont-ils médiatiser toute cette information ? Ils vont essayer de publier sur les "gros" sites de jeux en disant "Nous nous sommes fait piraté" au lieu de faire une communiqué officiel en disant que "C'est notre faute, notre sécurité était mauvaise ?".
C'est leur faute. Ils ont déjà été hacke auparavant ( cf hl² leak ) mais ils n'ont rien appris !
Cette fois-ci, j'ai envoyé un email en les avertissant à propos des failles de securité mais ils n'ont
pris aucune mesure pour régler le problème. Alors abusons-en. Donc oui, c'est leur faute.
Pour résumer tu as fais tout ceci pour prouver que valve se moque de ses clients et leur securité n'est pas fiable où tu voulais simplement devenir populaire sur internet?
Exactement, j'étais déjà populaire avec le site "no-steam" mais pas a ce point-là comme aujourd'hui "lol".
As-tu planifié de t'attaquer à d'autres organismes ou ton seul but était Valve ?
J'ai déjà piraté Activision quelques mois avant, j'ai obtenu une copie de Enemy Territory "Quake Wars". Pour te prouver voici les images (Ne voulant pas linker vers son propre site web, nous hébergeons les images sur le nôtre, reste que l'url avait toujours pour nom de domaine emp.damage-web.net - NDLR)
 |  |
 |  |
Dans tes "captures décran" on voit que tu as utilisé un navigateur Web Allemand ( FireFox et Internet Explorer ), veux-tu dire quelque chose à ce sujet ?
Pense-tu vraiment que j'ai utilisé mon poste de travail personnel ? Bien sûr que non, j'ai utilisé
des ordinateur distants. (Remote PC).
As-tu quelque chose à ajouter ?
Oui, comme vous pouvez le constater Valve se moque royalement de ses clients, mon but actuel est d'avoir une information officielle de chez Valve pour prévenir ses "Clients" chose qui n'est pas encore faites. Si les choses continuent ainsi, ça va s'empirer pour Valve.
Commentez cet article
CZ / SOURCE / PUB sous 1.6 flashbug pas regler etc etc
En tout cas jespere que ValVe va prendren compte tout cela
Edité le 19-04-2007 à 18:10:13 par Incolas
"not sure what you are looking for in an answer" au lieu de "what kind of answer you're looking for"
" you are responsible for revenue loss" sauf qu'on dit "revenue losses", en anglais on ne pense pas "perte d'UN revenu", et autrement ce serait "a revenue loss"
"There is not value in letting you do
it because you do not contribute you the generation of revenue" Ca ne veut strictement rien dire, c'est totalement incorrect, de plus on dit "there is NO value", pas NOT.
enfin le fameux "As an active member and
promoter of no-steam", si le gars le sait et lui le sait, il n'y a aucune raison de parler de ca, moi aussi je suis un promoteur de no-steam, et alors ils perdent pas de sous pour autant.
Bref Fake et archi Fake.
J'crois que c'est la news la plus bidon que j'ai jamais vu, alors que je vais de temps en temps sur aAa.
Edité le 19-04-2007 à 18:26:20 par Dahita
Edité le 19-04-2007 à 18:12:57 par Sway
De plus je trouve que cette news n'a rien à faire sur ce genre de site et honnêtement donner la parole à un hackeur, c'est du foutage de gueule...
Edité le 19-04-2007 à 18:17:54 par Pica
à quand l'itw exclusive d'un terroriste qui fait péter des bombes ?
0.
Voilà ce que j’ai fais. J’ai visité le site du gars « MaddoxX » ( je vais fournir aucun lien débrouillez vous et une fois trouvé faites la manip tout seul si vous voulez. ).
Sur le site il propose un pack .rar ou il donne tout les informations nécessaires + qq screenshots de plus il y a un répertoire C3UI devinez quoi ? Ce répertoire là est une pale copie de « cafe.steampowered.com » toutes les pages ( php & html & images ) qui y sont peuvent facilement être appelé par votre navigateur web déjà 1 point qui me semble assez évidant que ce genre de chose n’est pas facile a obtenir. Deuxièmement pour rencontrer la personne en question je suis retourné sur son site encore. Dans le forum il y a plusieurs « topics » concernant leur réseau « IRC » j’ai tout simplement visité le serveur et constaté que la même personne ( MaddoxX ) est administrateur ( IRCOP… ) . Voilà comment ça a commencé ou ça a mené je ne dis toujours pas que ses(les informations de maddoxx) informations sont exactes mais c’est quand même assez bluffant si on arrive a avoir une copie du site entière AVEC LES SOURCES CODE sur la même machine sont hebergé les BDD des clients café puisque le site permet de mettre a jour / modifier etc..
Croyez ou pas ce n’est pas problème c’est juste pour informer les gens
Et #15 je ne pense pas que tu va maintenir ton discours si tu possédai un café avec des certificat steam.
C'est quand même marrant le mec de Valve qui commence son mail par "MaddoxX" (avec le caps alternatif et tout) et signe Mike. J'ai beaucoup rigolé, merci.