
Un type de fond d’écran très marginal a suffi pour ouvrir une vraie faille de sécurité. Wallpaper Engine coupe désormais la distribution publique de ces créations via le Steam Workshop après des signalements de malware.
Wallpaper Engine retire le format Application du Workshop
Le changement arrive avec Wallpaper Engine 2.8.42. Les développeurs retirent du Steam Workshop public l’ancien type de fond d’écran Application, un format hérité des débuts du logiciel qui permettait d’exécuter des programmes Windows personnalisés en arrière-plan du bureau.
Ce format ne représentait que 0,5 % de l’ensemble des fonds d’écran publiés, avec un nombre réel d’utilisateurs encore plus faible d’après l’équipe. Il était déjà masqué par défaut dans l’application et son activation passait par des avertissements explicites.

Pendant la transition, la majorité des éléments Application existants vont être basculés en mode friends-only. Les utilisateurs disposent d’environ une semaine pour sauvegarder localement les créations qu’ils veulent conserver.
Pourquoi ce format n’est plus distribuable
Le point bloquant est simple : un fond d’écran Application peut embarquer et lancer du code exécutable Windows. Les développeurs expliquent qu’il n’existe pas de méthode fiable pour sécuriser automatiquement ce type de fichiers, ce qui met fin aux envois comme aux téléchargements publics de ce format sur le Workshop.
Des paquets malveillants identifiés par Kaspersky
Kaspersky a indiqué que des attaquants s’étaient servis de paquets Steam Workshop liés à Wallpaper Engine pour diffuser des malwares. Les échantillons observés utilisaient des charges utiles en EXE, DLL et scripts, avec aussi des archives protégées par mot de passe capables de lancer leur contenu lors de l’application du fond d’écran.
Le cas rappelle à quel point les contenus distribués via Steam peuvent cristalliser des débats de confiance dès qu’un format communautaire touche à l’exécution locale.
L’équipe précise que l’incident récent a touché peu d’utilisateurs grâce aux garde-fous déjà en place. Elle estime néanmoins qu’un maintien en ligne des créations existantes laisserait un risque durable, Steam Workshop ne permettant pas de verrouiller un élément contre de futures mises à jour : un compte créateur compromis pourrait transformer a posteriori un contenu sain en vecteur malveillant.
Les fonds d’écran Application personnalisés restent exécutables en local sur le PC de leur auteur. Ce qui disparaît, c’est la distribution publique via Steam. Pour Valve comme pour les outils adossés au Workshop, le message est clair : dès qu’un contenu communautaire peut lancer du code natif, la logique de modération classique ne suffit plus.
Source : VideoCardz