Pour permettre à tous d’être prêt à affronter les arnaqueurs et autres déchets de Steam et d’Internet, PARTAGEZ CE GUIDE ! D’habitude ça, les pouces bleus, les favoris, ça fait très plaisir mais je m’en fous un peu puisque ça n’apporte rien au guide. Même si ça fait toujours vraiment plaisir, je ne vous harcèlerai pas pour des pouces bleus, j’ai une vie. Par contre, comme ce guide se veut préventif, son efficacité va dépendre de sa visibilité, et pour le coup votre partage, c’est le gros du travail, ce qui rendra ce guide utile, ce qui lui permettra peut-être de sauver un compte d’une arnaque; tout ça grâce à vous.

D’ailleurs, maintenant que j’y pense, c’est un peu le même délire avec mon guide sur VAC… PARTAGEZ LE GUIDE SUR VAC ! Rhem… Plus sérieusement, merci à ceux qui accepteront de partager ce guide.

Mais assez parlé, commençons !

Steam, et Internet en général, c'est un peu comme le centre-ville de Paris. Y'a des pigeons partout. Steam, et Internet en général, c'est un peu comme le centre-ville de Paris. Y'a des gens louches et mal-intentionnés partout.
Si vous voulez être en paix, gardez en tête que Steam, et Internet en général, c'est comme si vous aviez le monde entier dans votre salon. Il y a des gens brillants, intéressants, généreux... Mais aussi ce que l'humanité fait de pire. Alors méfiez-vous.

Originally posted by Andrew Grove:

Seuls les paranoïaques survivent.

Ça arrive trop souvent : des joueurs se font arnaquer en pensant échanger avec quelqu’un de confiance, alors qu'il s'agit, en réalité, d'un imposteur. Généralement, l’imposteur se fait passer pour cette personne de confiance, mais n’utilise pas son compte… Bizarre non ? Si quelqu’un vous dit « Non, mais en fait je suis <insérer ici le nom d’un joueur en qui vous auriez confiance>, mais là je suis sur ce compte (pas le compte du joueur cité plus haut) parce que <insérer ici une raison bidon>… », c’est probablement un imposteur.

Pour être fixé, vous pouvez lui demander de vous ajouter en ami sur le vrai compte. Après tout, il a peut-être vraiment deux comptes, et utilise peut-être vraiment ce deuxième compte pour échanger. C’est peu probable, mais ce n’est pas impossible. Si jamais la liste d’amis du vrai compte est pleine, demandez-lui d’insérer un message spécifique, temporairement (juste le temps que vous le voyiez) en haut du vrai profil, genre KLFDH23B (faut que ça n’ait aucun sens). S’il ne le fait pas, c’est mauvais signe, mais s’il le fait, il a accès au compte, et donc, à moins de vraiment pas avoir de chance (compte piraté par exemple, m’enfin pour pirater un gros compte faut y aller, on verra ça plus bas), c’est bel et bien la bonne personne.

Au-delà de ça, vérifier que le compte est cohérent (jeux, niveau, amis, date de création…). Si vous tombez sur un Tonton Mori niveau 10 qui joue à CS:GO, ce ne sera pas moi ! Ne vous fiez pas non plus à un contact extérieur à Steam. Si quelqu’un vous contacte en tant que TontonMori@Levrai.fr, ce n’est pas moi non plus ! Je me prend comme exemple mais ça vaut pour tout le monde. Encore une fois, si quelqu’un prétend être quelqu’un, demandez des preuves ! Une confirmation depuis le bon compte Steam par exemple, c’est le plus simple… Gardez en tête que tout le monde peut s’appeler comme il le souhaite sur Steam, y compris si le nom choisi est déjà celui d’un autre joueur.

Les employés de Valve et modérateurs ont des badges qui leurs sont propres. De plus, le nom des employés de Valve apparaît en vert sur les discussions, précédé du logo Valve, et les modérateurs ont leur nom écrit en orange. Attention, pour les discussions intégrées aux groupes, les couleurs sont utilisées pour les officiers et modérateurs du groupe !
Exemples pour les badges

Profil de DarthWound, modérateur francophone
Profil d'un employé de Valve

Dans tous les cas, ni les employés de Valve, ni les modérateurs de la communauté ne vous demanderont d’informations personnelles (numéro de téléphone, mot de passe ou identifiants, adresse-mail, informations bancaires…). Soit ils y ont accès (je pense à votre identifiant), soit il n’y ont pas accès mais n’en auront jamais besoin (mot de passe, coordonnées bancaires…).

…C’est probablement une arnaque ! Attention, je n’ai pas dit « c’est une arnaque, point ». J’ai dit « probablement », d’ailleurs, j’ai moi-même eu des offres tellement généreuses que je n’en reviens toujours pas. Dans tous les cas, prenez toujours des précautions.

Si l’échange se passe intégralement sur Steam (par exemple un échange de cartes, de cadeaux Steam, etc…), il vous suffit de scrupuleusement vérifier que le contenu de l’offre d’échange correspond à ce que l’on vous a promis. Vérifiez les objets un à un. C’est déjà arrivé que des gens se retrouvent avec une finition d’arme à 3 centime au lieu de celle à 50€ promise... Un exemple ? Regardez bien la capture d'écran suivante :



Bon, déjà ça vient de moi, comme je rédige un guide sur les arnaques, je suis honnête non ? Mais bon, amis depuis seulement un jour... "à récemment changé son nom"... Un imposteur ? Non, le niveau et la date de création du compte correspondent... Pourtant, le skin proposé contre le couteau ne vaut que quelques centimes. La couleur est trompeuse, mais une simple vérification sur le marché vous permettra de vous rendre compte de l'arnaque !

Merci à NeMo de s'être laissé arnaquer pour les besoins de la science ! Non je plaisante, l'échange n'a pas eu lieu... A mon grand regret :p

Attention, si vous avez une notification indiquant que l'échange à été modifié, revérifiez bien les objets ! C'est une pratique courante que de remplacer un objet valant cher par un autre ayant la même apparence (ce qui est courant notamment sur Team Fortress 2), mais valant bien moins cher ! A chaque fois, vérifiez le nom, la date de création du compte, le niveau, depuis combien de temps vous êtes amis... Car certains arnaqueurs se feront passer pour vos amis, voir pour vous, afin de récupérer un objet qui vous revenait. Si quelqu'un vous propose de choisir vous même un intermédiaire, soyez très prudent avec ça.

Si l’échange se passe en dehors de Steam (clés, Paypal…), vous n’avez aucune garantie. Soyez sûr de l’identité de votre interlocuteur, de sa réputation. Ne croyez pas les « intermédiaires », qui peuvent très bien être des complices.

Concrètement, si je me propose d’être un intermédiaire dans un de vos échanges, qu’est-ce qui vous prouve que je ne vais pas essayer de vous arnaquer ? Je ne suis pas réputé pour être un intermédiaire de confiance - je fais peu d'échanges, et je n’ai jamais servi d’intermédiaire -, on ne se connaît sans doute pas… Certes j’ai fait un guide sur les arnaques, mais c’est peut-être un appât ? Certes je suis niveau 140, mais c’est peut-être grâce à l’argent volé à mes victimes ? Bon ce n’est pas le cas, je vous rassure, mais finalement hormis ma parole, qu’est-ce qui vous le prouve ? C'est une question que vous devez systématiquement vous poser.

En dehors de Steam, vous n’avez AUCUNE assurance. Si vous vous faîtes arnaquer, c’est TANT PIS POUR VOUS. Inutile de contacter le support ou de venir pleurer sur tous les forums de la Terre. Les cas de Paiements annulés via Paypal ou de fausses clés, il y en a plein.

Personnellement, le meilleur conseil que je pourrais vous donner, c’est de ne pas faire d’échanges en dehors de Steam, à moins de tomber sur des gens dont vous êtes CERTAINS de l’identité et de l’honnêteté.

- Envoyer votre part en premier si vous n’êtes pas sûr à 100% de l’honnêteté de votre interlocuteur, et de son identité.
- Échanger avec n’importe qui.
- Ne pas vérifier/confirmer le contenu de l’échange.

Une rapide section pour vous parler de tous les sites en lien avec les skins, que ce soit les finitions d'armes de CS:GO, les chapeaux de Team Fortress 2, ou ceux d'autres jeux.

FUYEZ CES SITES.

La quasi-totalité d'entre eux, si ce n'est la totalité d'ailleurs, sont des arnaques pures et simples. Demandez-vous comment ils financent le site et leurs "salaires"... Si l'on commence à vous demander de sortir votre carte bleue, fuyez, vous êtes en train de vous faire arnaquer.

Bon, je vous ai tellement répété de vérifier l’identité de vos interlocuteurs que vous pourriez postuler à la douane, mais on va passer sur un exemple concret. Vous avez sans doute déjà été contacté par des filles jeunes, belles, et qui, on ne sait pas trop pourquoi, étaient trèèès intéressées par vous. Ça peut aussi être des mecs, mais les filles, c’est plus courant. Inutile de vous dire que ce sont presque systématiquement des faux comptes, et qu’il y a toujours anguille sous roche. Pourtant, ça à l’air cohérent, pleins de photos différentes, c’est bien la même fille… Coup de chance ? Non.

Originally posted by Sun Tzu:

« Qui connaît son ennemi comme il se connaît en cent combats ne sera point défait. Qui se connaît mais ne connaît pas l'ennemi sera victorieux une fois sur deux. Qui ne connaît ni son ennemi ni lui-même est toujours en danger. »

Vous l'aurez compris, pensons un instant comme un usurpateur. Vous cherchez à créer une fausse identité. Et là, on vous met sous le nez des millions de personnalités, avec leur histoire détaillée, leurs photos, etc… Gratuit, accessible, facilement noyé dans la masse d’information que représente Facebook. Merveilleux non ? Même pas besoin de perdre du temps à fabriquer quelque chose de cohérent, vous avez tout ce qu’il vous faut. Vous comprenez le délire ? Rendez-vous compte que ces personnes ayant un profil Facebook public, bien malgré elles, simplifient largement le travail des arnaqueurs... Tout en en étant victimes. Et bien oui, ça vous plairait que quelqu'un utilise votre image à votre insu pour nuire à autrui ?

Mais à quoi ça sert, et quel rapport avec Steam ? Admettons que vous soyez un tant soit peu raisonnable, vous n’allez pas donner votre code de carte bleue et votre profil Steam à miss machin comme ça. Mais... Vous allez discuter, et puis à un moment, « attends, je t’envoi ça, regarde c’est trop bien ! ♥ », vous êtes sur Skype et vous recevez « TrucLouche.zip », vous l’ouvrez, curieux, et BIM ! Keylogger, trojan… Skype et la sécurité, ça fait 15. Facebook ça fait 50. Et pour peu que vous n’ayez pas d’antivirus, ou que, de bonne foi, vous le désactiviez parce que vous ne voyez pas en quoi ce fichier si mignon serait dangereux, ça laisse libre court au malware pour faire son affaire. Gmail ? Paypal ? Amazon ? Steam ? Le site de votre banque ? C'est dans la poche, identifiants, mots de passe... Et puis même pas besoin d’un fichier zip transmi par Skype ou Facebook, une page web avec ce qu’il faut en script, ça passe en cache et c’est réglé… Et des liens, on peut aussi en envoyer par le chat steam... D'ailleurs, pas mal de scammers passent par Steam. Vous cliquez sur un lien, un téléchargement se lance, puis un programme, et votre inventaire se vide sous vos yeux...

Autre chose, certains sites immitent celui de Steam. Cela peut servir à simplement récupérer vos identifiants, mais également, plus vicieux, le fichier SSFN associé à votre profil. Ce fichier permet dans notre cas d'outre-passer Steamguard. Steam ne vous demandera JAMAIS d'envoyer ce fichier. D'ailleurs, vérifiez d'un oeil que la page Steam sur laquelle vous êtes est officielle grâce à son adresse, http://gtm.steamproxy.vip pour la communauté Steam, http://store.steampowered.com/ pour le magasin, et rien d'autre. Vérifiez aussi le certificat SSL, généralement visible à gauche de l'adresse dans votre navigateur.



- Accepter en contact des inconnus.
- Accepter des fichiers venant d’inconnus.
- Ouvrir des liens venant d’inconnus.
- Accepter Jean-Théodule, votre meilleur pote du lycée qui vous veux du bien.

Je vous recommande également de ne pas enregistrer votre mot de passe Steam sur votre machine.

Comme quoi, votre mère avait peut-être raison de vous dire de ne pas parler avec des inconnus...

Je pense qu’avec l’authentificateur mobile, votre compte est vraiment protégé. A noter qu’en bidouillant, vous pouvez le faire fonctionner sur PC, ce qui est intéressant si vous n’avez pas de smartphone Android… Sauf que ça n’apporte rien en termes de sécurité. Moi je vous conseille plutôt de récupérer un smartphone pas cher, même une daube chinoise (tant que ça marche on s’en fout), un forfait free à 2€ mensuel, et comme ça, vous êtes tranquille.

Mais ce n’est pas tout. Utilisez une adresse mail dédiée à Steam, afin de limiter les chances qu'elle soit compromise. Moins vous utilisez votre adresse, moins il y a de chances qu’un potentiel pirate la découvre. Utilisez un mot de passe différent sur Steam et pour votre adresse mail, et pour le reste d'ailleurs. Ne retenez JAMAIS ces mots de passe. Bonus, utilisez ProtonMail[protonmail.com] et choisissez une clé de cryptage bien longue, chiffres, lettres majuscules et minuscules, symboles... Avec ça, pour s’inflitrer sur votre compte, il faudrait :

→ Trouver votre identifiant Steam (Accès au PC qui garde le dernier compte utilisé en mémoire, keylogger ?)
→Trouver votre mot de passe Steam (Keylogger ?)
→Avoir votre portable, physiquement (Agression physique, cambriolage…)
Ou
→ Trouver votre adresse dédiée (keylogger ? Non, vu que vous ne vous y connectez jamais puisqu'elle ne sert que pour Steam et que tout passe par l'application mobile)
→ Trouver votre mot de passe Email (Quelques années de bruteforce)
→ Trouver la clé de cryptage ProtonMail (Quelques années supplémentaires de bruteforce)

Imaginez qu’en plus, vous changiez vos mots de passe de temps en temps… A moins d'avoir un compte ayant un inventaire particulièrement bien garni (très grand nombre de cadeaux Steam, de skins rares...), personne n'aura le courage ni la patience de vous pirater.

Si vous avez apprécié ce guide ou au moins si vous le jugez utile, encore une fois merci de le partager ! N'hésitez pas à commenter aussi, que ce soit pour faire des ajouts, partager votre expérience...

Note : au cas où ce guide ne vous aurait pas plût, j'apprécierai vraiment de savoir pourquoi dans les commentaires afin de le parfaire. Merci d'avance à ceux qui ont mis un pouce rouge mais qui veulent faire avancer le tout ! (par contre ceux qui mettent un pouce rouge sans rien dire, on ne les remercie pas, na)