Le logiciel malveillant « BlockBlasters

Constat critique

Steam ment effrontément, couvre des criminels et fait obstruction à l'enquête.

Introduction : un crime par négligence délibérée

En août 2025, Steam, la plus grande plateforme de jeux vidéo au monde, n'a pas seulement été victime d'une faille de sécurité ; elle en a activement favorisé une. À la suite d'une série de défaillances systémiques et de négligences graves, Valve a permis au jeu BlockBlasters (AppID 3872350) pour servir de cheval de Troie à une campagne de logiciels malveillants dévastatrice. Il ne s'agissait pas d'une attaque sophistiquée et inévitable. C'était une opération de vol de données digne d'un manuel qui a abouti parce que la sécurité de Steam est fondamentalement défaillante. Pendant 22 jours, elle a permis de dérober des centaines de milliers de dollars, de vider des portefeuilles cryptographiques et de compromettre des comptes d'utilisateurs, tandis que Valve restait les bras croisés.

Lorsque la vérité a éclaté, Valve n'a pas cherché à protéger ses utilisateurs, mais à préserver son image. La société a publié un communiqué unique et mensonger, imputant la responsabilité à un « compte de développeur piraté » — un mensonge pathétique destiné à rejeter la faute sur autrui et à se soustraire à toute responsabilité. Cet article va démanteler ce mensonge. À l'aide de données d'investigation, d'une analyse chronologique et des propres politiques de Valve, nous prouverons que cet incident n'était pas seulement un manquement à son devoir d'action, mais une dissimulation délibérée d'une négligence criminelle.

Corporate negligence timeline: Day 1 malware published, Day 3 first reports, Day 3 multiple flags, Day 10 zero action with 1,489,500 victims exposed, Day 22 finally removed — Chronologie de la négligence de l'entreprise : Jour 1 : publication du logiciel malveillant ; Jour 3 : premiers signalements ; Jour 3 : multiples alertes ; Jour 10 : aucune mesure prise alors que 1 489 500 victimes étaient exposées ; Jour 22 : enfin supprimé

Identité dévoilée

Steam ment ouvertement et dissimule l'identité de Valentin Lopes, le développeur certifié à l'origine de cette application malveillante.

Les 22 jours d'inaction

Valve disposait de 22 jours pour mettre fin à cette situation. Les signalements des utilisateurs affluaient, et les données de la plateforme montraient clairement des signes de problèmes. Leur silence était un choix.

31 juillet 2025

BlockBlasters est lancé. Une version propre et conforme a été approuvée par le processus de vérification de Steam.

30 août 2025

Le piège est tendu. Les pirates lancent la mise à jour Patch Build 19799326. Cette mise à jour, qui contient le logiciel malveillant, est approuvée par Steam et distribuée à tous les joueurs.

Début septembre 2025

Les premières victimes tirent la sonnette d'alarme. Les utilisateurs inondent le service d'assistance de Steam de tickets signalant une utilisation anormale du processeur, un trafic réseau suspect et, surtout, le vol de cryptomonnaie. Ces tickets tombent dans un trou noir, ignorés par Valve.

Du 6 au 12 septembre 2025

Les données lancent un signal d'alarme. Les données télémétriques publiques de SteamDB montrent que le nombre de joueurs s'est effondré pour atteindre à peine quelques unités, alors que le jeu reste installé sur des centaines d'ordinateurs, où il continue de collecter des données en silence. Cet écart considérable est un signal d'alarme qu'un système de surveillance efficace aurait dû détecter.

21 septembre 2025

La communauté passe à l'action. Des chercheurs en sécurité indépendants ont mis au jour l'infrastructure de commande et de contrôle du logiciel malveillant, basée sur Telegram, contraignant ainsi les pirates à agir.

22 septembre 2025

Les preuves sont irréfutables. G DATA CyberDefense AG publie un rapport d'analyse approfondie qui confirme le vecteur d'attaque en plusieurs étapes du logiciel malveillant et dévoile les détails techniques de la violation.

L'analyse de l'attaque

Il ne s'agissait pas d'un logiciel malveillant de pointe. C'était un mélange rudimentaire mais efficace de scripts courants et de programmes de vol de données qu'une plateforme pesant plusieurs milliards de dollars aurait dû détecter sans difficulté.

Étape 1 : Infiltration initiale (game2.bat)

La charge utile initiale, un simple script batch, effectuait une reconnaissance de base : collecte d'adresses IP, de données de géolocalisation et d'informations sur les utilisateurs de Steam. Elle téléchargeait ensuite un fichier ZIP protégé par mot de passe (v1.zip) — une technique classique pour contourner les scanners automatisés peu sophistiqués.

Étape 2 : Contournement et intensification (chargeurs VBS)

À l'aide de scripts VBS, le logiciel malveillant a exécuté ses composants principaux dans des fenêtres de commande masquées. Il a ajouté son propre répertoire à la liste d'exclusion de Microsoft Defender, une action qui devrait déclencher une alerte immédiate et hautement prioritaire sur tout système surveillé.

Étape 3 : Vol de données (Client-built2.exe et Block1.exe)

Une fois les défenses désactivées, le logiciel malveillant a déployé ses principales charges utiles : une porte dérobée en Python permettant un accès persistant et une variante du voleur d’informations StealC. Il a ciblé les données de navigation, les jetons de session et, surtout, les portefeuilles de cryptomonnaies sur Chrome, Edge et Brave. Toutes les données volées ont été acheminées vers deux serveurs de commande et de contrôle via un trafic HTTP non sécurisé. Les indicateurs de compromission (IOC) liés au voleur de cryptomonnaies ont confirmé que Steam servait de vecteur de distribution de logiciels malveillants pour des opérations de vol organisées.

Une confiance trahie

C'est précisément leur certificat de confiance et leur négligence qui ont conduit à des dizaines de vols qu'ils ont dissimulés. Il s'agit là d'une attaque classique de la chaîne d'approvisionnement, exploitant à grande échelle la confiance accordée à la plateforme.

Indicateurs de compromission (IoC)

Fichier	Algorithme de hachage sécurisé 256	Classification
`game2.bat`	`aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3`	BAT.Trojan-Stealer.StimBlaster.F
`launch1.vbs`	`c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3`	Script.Malware.BatchRunner.A@ioc
`test.vbs`	`b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b`	Script.Malware.BatchRunner.A@ioc
`Client-built2.exe`	`17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a`	Win64.Backdoor.StimBlaster.L6WGC3
`Block1.exe`	`59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e`	Win32.Trojan-Stealer.StealC.RSZPXF

Démystifier le mensonge : cette histoire de « compte piraté », c'est n'importe quoi

Une affaire étouffée dévoilée au grand jour

Steam ment et aide les victimes, tandis que son entreprise contrôle les développeurs et attribue la plus haute certification de confiance à leurs contenus.

Appelons l'excuse de Valve concernant le « développeur piraté » par son vrai nom : un mensonge pathétique et facile à réfuter. C'est une insulte à l'intelligence de leurs utilisateurs, un discours conçu pour les protéger des conséquences de leur propre négligence. Tout ce scénario s'effondre dès lors que l'on examine les procédures obligatoires de Steam.

La « barrière des 100 dollars » et la vérification d'identité : Pour publier sur Steam, tout développeur doit passer par le programme Steam Direct. Cela implique de s'acquitter d'une redevance de 100 dollars et de suivre une procédure de vérification d'identité (KYC), en fournissant son nom légal, ses coordonnées bancaires et des documents fiscaux. L'auteur n'était pas un fantôme anonyme ; Valve disposait dans ses dossiers de son identité vérifiée et de ses coordonnées bancaires. Son inaction apparaît donc comme un choix délibéré visant à protéger un partenaire vérifié au détriment de ses propres utilisateurs.
Le mythe des 22 jours de coupure d'électricité : Steamworks met à la disposition des développeurs des outils fiables pour sécuriser leurs comptes. Un développeur légitime ayant perdu le contrôle de son compte pourrait ouvrir un ticket pour « perte d'accès aux identifiants d'éditeur ». Ce processus est conçu pour être rapide, bloquant les droits de publication et les versions en quelques heures, et non en plusieurs semaines. L'idée qu'un développeur puisse être bloqué pendant plus de 20 jours alors que son jeu diffuse des logiciels malveillants est absurde. Cela implique l'un des deux scénarios suivants, qui mettent tous deux Valve en cause : soit le développeur était complice, soit Valve a ignoré ses tickets d'assistance frénétiques ainsi que les dizaines de plaintes des utilisateurs.
Ignorer systématiquement les plaintes des utilisateurs : Des dizaines d'utilisateurs ont signalé en détail des cas de vol financier, de comportement malveillant et de piratage de comptes. Il ne s'agissait pas de simples plaintes vagues, mais d'informations exploitables. Un service d'assistance compétent aurait dû les signaler, faire remonter le problème et suspendre la page de l'application dans les 24 heures, en attendant les résultats de l'enquête. Le fait que Valve n'ait rien fait pendant 22 jours n'est pas un simple oubli ; c'est une politique d'ignorance délibérée.

La super-supercherie : la falsification d'une scène de crime numérique

C'est là que la dissimulation de Valve passe de la simple négligence à ce qu'on ne peut qualifier que de altération d'une scène de crime numérique. Qu'il soit clair : Valve n'a pas retiré le jeu infecté.

Les preuves et analyses techniques fournies par les chercheurs en sécurité qui ont suivi l'infrastructure C2 le confirment sans équivoque : ce sont les criminels eux-mêmes qui ont supprimé leurs versions malveillantes des serveurs de Steam. Ils l'ont fait le 21 septembre, seulement après que leur groupe de contrôle sur Telegram eut été rendu public. Ils ont procédé à une « stratégie de la terre brûlée » pour se retirer, détruisant les preuves afin de brouiller les pistes.

Tampering with a digital crime scene - Steam/Valve hand reaching past do not cross tape while PhishDestroy investigates with magnifying glass — Altération d'une scène de crime numérique : une main de Steam/Valve passe outre le ruban « Ne pas franchir » tandis que PhishDestroy mène son enquête à l'aide d'une loupe

L'affirmation de Valve selon laquelle elle aurait pris des mesures est une pure invention. En attendant que les pirates effacent leurs traces avant d'intervenir pour supprimer la page de la boutique, Valve a en réalité permis la destruction des principales preuves. Il ne s'agissait pas de limiter les dégâts, mais bien d'entraver la justice. Ils ne protégeaient pas les utilisateurs ; ils se protégeaient eux-mêmes en s'assurant que la scène du crime soit nettoyée.

Le coût humain de l'indifférence des entreprises

La négligence de Valve a eu des conséquences concrètes, pour lesquelles elle n'a assumé aucune responsabilité.

Ruine financière : Plus de 150 000 dollars américains ont été volés (il semblerait même que ce soit plus d'un million de dollars). Pour beaucoup, cette somme aurait pu changer le cours de leur vie. Un streamer a perdu 32 000 dollars lors d'une diffusion en direct organisée au profit d'une association de lutte contre le cancer.
Abus de confiance : Des centaines d'utilisateurs ont vu leurs comptes piratés, leurs données volées et leurs systèmes infectés.
Silence absolu : À ce jour, Valve n'a proposé ni remboursement, ni dédommagement, ni excuses sincères. Sa réponse standard constituait une insulte pour toutes les victimes.

La motivation : le profit avant tout

Pourquoi Valve laisserait-elle cela se produire ? La raison est aussi simple que cynique : c'était moins cher.

Une véritable refonte de la sécurité — impliquant la mise en place de tests en bac à sable pour toutes les versions, la séparation des identifiants des développeurs, le recrutement d'une équipe de sécurité compétente et la publication de rapports de transparence — coûterait des millions. Le versement d'indemnités aux victimes créerait un précédent coûteux.

L'alternative ? Publier un communiqué vague et trompeur, laisser l'actualité passer à autre chose et limiter au maximum les retombées négatives en termes de relations publiques. Il s'agissait d'une décision commerciale mûrement réfléchie, dans laquelle la sécurité des utilisateurs a été considérée comme une perte acceptable.

Ce manque de vigilance n'est pas nouveau. De PirateFi (2024) à Chemia (2025), Valve a ignoré à maintes reprises les avertissements et laissé des logiciels malveillants s'introduire sur sa plateforme, n'agissant qu'après un tollé général. BlockBlasters n'était pas un cas isolé ; c'était le résultat inévitable d'une culture de sécurité défaillante.

Verdict final : coupable des faits qui lui sont reprochés

Laissons les faits parler d'eux-mêmes.

Fait : Les systèmes automatisés de Valve ont validé une version contenant un logiciel malveillant mineur.
Fait : L'équipe d'assistance de Valve a ignoré les avertissements directs des victimes pendant trois semaines.
Fait : Valve n'est intervenue qu'après que les pirates eux-mêmes aient supprimé les fichiers malveillants.
Fait : La déclaration officielle de Valve constituait une présentation délibérément trompeuse des faits, destinée à échapper à toute responsabilité.

Valve n'a pas simplement échoué. Elle a menti. Elle a dissimulé sa propre négligence, protégé ses profits et laissé ses utilisateurs en payer le prix. La confiance que la communauté accordait à Steam a été irrémédiablement brisée. Ce n'était pas une erreur ; c'était une trahison.

Sources

G DATA CyberDefense AG (22 septembre 2025)
SteamDB - BlockBlasters
gamalytique
GamesRadar - Rapport sur les logiciels malveillants sur Steam
The Verge - Reportage sur le malware BlockBlasters
Tom's Hardware - Analyse des logiciels malveillants sur Steam
Registres des incidents communautaires

Le profit avant les joueurs : l'affaire BlockBlasters (Scandales sur Steam, 1re partie)

Constat critique