Des failles de sécurité critiques dans le moteur Source

Mise à jour du 17 avril 2021:
Il suffisait juste d’un article sur NoFrag pour que Valve se décide enfin à faire quelque chose. La faille signalée par @floesen a été corrigée, et il a maintenant l’autorisation d’en divulguer les détails, comme il le précise dans un tweet d’aujourd’hui:

Good news! Valve fixed my recent exploit and gave me permissions to disclose details. That being said, I am working on a detailed technical write-up which I am going to release soon. Stay tuned!
— Florian (@floesen_) April 17, 2021

Article initial:
Nos confrères de Rock Paper Shotgun nous rapportent que le groupe anti-hack Secret Club a révélé plusieurs failles dans le moteur Source sur Twitter. Elles permettraient de donner le contrôle total de votre ordinateur, dont l’accès à votre formidable collection de porno, à des personnes mal intentionnées. Une des failles utilise le système d’invitation de Steam et CS: GO. Une autre, via TF2, passe par les serveurs communautaires: une fois les victimes connectées, les hackers envoient un programme automatiquement à tout le monde.
Le problème principal, c’est que cela fait deux ans que Valve a été mis au courant sur sa plateforme de bug bounty. Et malgré sa catégorisation en tant que bug critique, il n’est toujours pas corrigé. D’autre part, la société de Gabe les aurait empêché de divulguer l’information, ce qui est plutôt classique sur des durées raisonnables. Mais au bout de tant de temps, il faudrait songer à se sortir les doigts.

Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. pic.twitter.com/0FWRvEVuUX
— secret club (@the_secret_club) April 10, 2021

Les white hats de Secret Club ont également trouvé une autre faille menant au même résultat il y a quelques mois, mais cette fois-ci directement en jeu, comme le montrent les tweets ici et là. Cette fois-ci, Valve n’a même pas daigné enregistrer les signalements.
Comme les grands sites spécialisés, nous avons demandé des précisions à la firme de Bellevue et mettrons à jour notre article en conséquence dès qu’ils nous répondront.