L’industrie du jeu vidéo en ligne a déjà connu son lot de scandales, mais rarement un cas aura autant frappé la communauté que celui du jeu BlockBlasters. Présenté comme un simple jeu de plateforme 2D gratuit et « vérifié » sur Steam, la plateforme de distribution de Valve, il s’est avéré être un cheval de Troie numérique : une porte d’entrée à un logiciel malveillant conçu pour vider les portefeuilles cryptographiques des joueurs.
Plus de 150 000 dollars ont été dérobés en quelques jours seulement, touchant des centaines d’utilisateurs à travers le monde. L’affaire soulève de multiples questions sur la sécurité des boutiques en ligne, la responsabilité des plateformes comme Steam, et les méthodes de plus en plus sophistiquées des cybercriminels.
Un jeu anodin qui s’est transformé en cauchemar
BlockBlasters se présentait comme un petit jeu de plateforme au style rétro, proposé gratuitement. Rien, à première vue, ne pouvait éveiller la méfiance. Sa page sur Steam mettait en avant des visuels colorés, un gameplay simple et un argument phare : sa compatibilité parfaite avec la Steam Deck, la console portable de Valve. Le jeu arborait même la mention « Vérifié Steam Deck », un label qui, pour beaucoup d’utilisateurs, signifiait implicitement qu’il s’agissait d’un produit fiable.
Mais derrière ce vernis de normalité se cachait une mécanique redoutable. Peu après son lancement, le jeu a reçu une mise à jour qui n’avait rien à voir avec une correction de bugs ou une amélioration du gameplay. Celle-ci contenait un logiciel espion spécialisé dans le vol de cryptomonnaies. Dès que le joueur lançait BlockBlasters, le programme malveillant s’activait en arrière-plan, scannant l’ordinateur pour détecter la présence de portefeuilles numériques, de mots de passe enregistrés ou d’informations sensibles.
Le stratagème était particulièrement bien ficelé : le jeu restait jouable, et aucune alerte visible n’était générée, permettant au malware d’agir dans l’ombre.
Des victimes touchées de plein fouet
Parmi les victimes, certaines histoires personnelles ont marqué l’opinion. L’une des plus marquantes est celle d’un streamer, qui avait levé des fonds grâce à sa communauté pour financer son traitement contre le cancer. En quelques minutes, ce joueur a vu disparaître l’intégralité de la somme récoltée — environ 32 000 dollars — siphonnée par le malware intégré au jeu.
D’autres victimes rapportent avoir perdu des économies de plusieurs années, placées en cryptomonnaie. Si la majorité des personnes touchées ont vu disparaître quelques centaines de dollars, d’autres ont perdu plusieurs milliers, jusqu’à atteindre ce total cumulé de plus de 150 000 dollars.
Cette diversité de profils montre que l’attaque n’était pas aléatoire : les pirates savaient que la communauté des joueurs PC est particulièrement active dans l’univers des cryptomonnaies. Ils avaient donc conçu un outil visant spécifiquement ce type d’utilisateurs.
Le rôle de Steam et la question de la confiance
La question qui brûle toutes les lèvres est la suivante : comment un tel jeu a-t-il pu être mis en ligne sur Steam sans être détecté ?
Steam est réputé pour son immense catalogue de jeux, mais aussi pour la relative facilité avec laquelle les développeurs indépendants peuvent y publier leurs créations via le programme Steam Direct. L’objectif est louable : démocratiser la publication de jeux vidéo, donner une chance aux petits studios et encourager la créativité. Mais cette accessibilité a un revers : la multiplication de projets de qualité variable, parfois opportunistes, et dans ce cas précis, carrément malveillants.
Valve précise que le label « Vérifié Steam Deck » ne signifie pas que le contenu du jeu a été inspecté en profondeur. Il s’agit simplement d’une validation technique, confirmant que le jeu fonctionne correctement sur la console portable. Or, pour les utilisateurs, cette nuance n’est pas toujours claire. Beaucoup y voient une forme de certification de confiance, et c’est précisément ce flou qui a permis à BlockBlasters d’attirer autant de victimes.
Les méthodes des cybercriminels
Le cas BlockBlasters illustre une tendance de plus en plus inquiétante : l’utilisation de jeux vidéo comme vecteur d’attaques informatiques.
Traditionnellement, les cybercriminels s’appuyaient sur des mails frauduleux, des fichiers joints infectés ou des téléchargements illégaux. Mais les utilisateurs sont devenus plus méfiants face à ces menaces classiques. Les attaquants ont donc déplacé leur stratégie vers des environnements où la confiance est forte : les boutiques officielles comme Steam, l’App Store ou le Google Play Store.
Dans le cas présent, la sophistication du malware était telle qu’il pouvait :
- Scanner l’ordinateur pour détecter des applications liées aux cryptomonnaies (portefeuilles, extensions de navigateurs, etc.).
- Extraire les identifiants enregistrés dans les navigateurs.
- Transférer automatiquement les fonds vers des portefeuilles contrôlés par les pirates.
- Effacer certaines traces pour retarder la détection par l’utilisateur.
Ce type d’attaque témoigne d’un haut niveau de préparation. Les cybercriminels n’ont pas seulement exploité la crédibilité de Steam, mais ont également ciblé un segment spécifique de la population : les joueurs intéressés par les cryptomonnaies, donc plus susceptibles de posséder des fonds liquides accessibles en ligne.
Un problème systémique pour l’industrie
L’affaire BlockBlasters ne se limite pas à un simple cas isolé. Elle révèle un problème structurel dans l’industrie du jeu vidéo et de la distribution numérique.
Avec la montée en puissance des marchés dématérialisés, les joueurs ne passent plus par des supports physiques, mais téléchargent directement leurs titres via des plateformes comme Steam, Epic Games Store ou GOG. Cette centralisation présente de nombreux avantages en termes de praticité, mais elle implique aussi que les utilisateurs font une confiance quasi aveugle aux plateformes.
Or, ces dernières ne disposent pas toujours des moyens techniques ou humains pour analyser en profondeur chaque fichier mis en ligne. Le risque d’introduire des logiciels malveillants se trouve donc démultiplié.
La réaction de Valve
Face au scandale, Valve a rapidement retiré BlockBlasters de Steam. Mais cette décision, bien que nécessaire, est arrivée après coup. Des centaines de joueurs avaient déjà perdu leur argent.
Valve a rappelé que la responsabilité première du contenu revient aux développeurs, et que la mention « Vérifié Steam Deck » ne constituait pas une validation de sécurité. Toutefois, cette explication n’a pas suffi à calmer la colère de la communauté. De nombreux joueurs estiment que la plateforme doit renforcer ses contrôles et assumer davantage de responsabilités, notamment en matière de cybersécurité.
La question de la responsabilité juridique
L’affaire soulève également un débat juridique : qui est responsable ?
- Les créateurs de BlockBlasters, bien sûr, s’ils peuvent être identifiés. Mais il est probable qu’ils aient utilisé de fausses identités, des sociétés-écrans ou des serveurs hébergés à l’étranger, rendant toute poursuite difficile.
- Valve pourrait être tenue responsable, du moins partiellement, si la justice estime que la plateforme n’a pas assuré une protection suffisante à ses utilisateurs.
Cette zone grise pourrait à terme pousser les autorités à imposer des régulations plus strictes aux grandes plateformes de distribution numérique.
Le traumatisme pour la communauté
Au-delà de la perte financière, ce scandale laisse une profonde méfiance au sein de la communauté des joueurs. Steam, jusque-là perçu comme un bastion sûr, voit son image écornée.
Beaucoup d’utilisateurs se demandent désormais : « Peut-on vraiment faire confiance à un jeu téléchargé depuis une boutique officielle ? » Cette question, autrefois impensable, risque d’avoir des répercussions durables sur les habitudes de consommation.
Certains joueurs annoncent qu’ils limiteront désormais leurs téléchargements à des studios reconnus, abandonnant les titres indépendants, ce qui pourrait pénaliser de nombreux créateurs honnêtes.
Les leçons à tirer
L’affaire BlockBlasters met en lumière plusieurs leçons essentielles :
- La sécurité absolue n’existe pas. Même une boutique officielle peut être infiltrée par des acteurs malveillants.
- Les labels techniques prêtent à confusion. Beaucoup d’utilisateurs croyaient que « Vérifié Steam Deck » signifiait « jeu sûr », alors qu’il ne s’agissait que d’une compatibilité matérielle.
- Les utilisateurs doivent renforcer leurs protections. Portefeuilles cryptographiques hors ligne, antivirus spécialisés et méfiance accrue deviennent des pratiques indispensables.
- Les plateformes doivent revoir leurs procédures. L’introduction d’analyses plus poussées, voire de collaborations avec des entreprises de cybersécurité, semble inévitable.
Vers une régulation plus stricte ?
Ce scandale pourrait accélérer les discussions sur une régulation internationale des boutiques de jeux numériques. Certaines voix appellent déjà à la mise en place d’audits obligatoires pour chaque jeu avant publication, à l’instar des certifications imposées dans d’autres industries.
Mais une telle mesure poserait un dilemme : comment maintenir la richesse et la diversité du marché indépendant tout en garantissant une sécurité renforcée ? Le risque serait de décourager les petits studios, incapables de supporter les coûts d’une certification lourde.
Une affaire qui restera dans les mémoires
Le vol orchestré par BlockBlasters restera sans doute comme l’un des plus grands scandales de l’histoire récente de Steam. Non seulement par le montant dérobé, mais surtout par la façon dont il a été rendu possible : une attaque exploitant la confiance aveugle des utilisateurs envers une plateforme gigantesque et réputée fiable.
À long terme, cet épisode pourrait marquer un tournant. Les joueurs, désormais conscients de la faille, pourraient réclamer davantage de transparence et de garanties. Quant aux plateformes, elles devront trouver un équilibre entre ouverture et sécurité.
Car une chose est certaine : après BlockBlasters, plus personne ne téléchargera un jeu sur Steam sans se poser la question — « et si celui-ci cachait autre chose ? »
