[NighT-[PkX]]

Sylfaen, si tu lis ca j'ai un gros doute sur un point de vue technique. ( fin du post )

J'explique vite fait :

J'avais cru lire un message officiel disant que les données ( nom de compte / mdp ) dans la base de données sont cryptées de telle sorte que même les devs n'ont pas accès à cette liste ( ce qui est logique ), ce qui porte à croire que ces données sont cryptées en MD5 ( comme toutes les BDD commerciales etc.. )


Du coup, les éventuels intrus ne sont pas tombées sur une situation de ce
genre :


OLOL JAI TROUVÉ LA LISTE NOM DE COMPTE / MOT DE PASSE / SERVEUR / LVL DES PERSONNAGES


mais plutôt sur des hash MD5 du style 46bbddecde56e0db65bb4d987b8c0613 pour le nom de compte et une autre série de 32 pour le mot de passe.

Pour faire simple, les hashs MD5 ne sont pas décryptables ( l'algorithme est un "one way" , on peut encrypter n'importe quel mot comme "bonjour" , "ofrheiuofheiuqewhfueirhfweri28r347897" ou "KLjdei298"/$%?"" en un hash de 32 caractères. L'inverse de ce processus n'est pas possible ( on ne peut pas transformer le hash correspondant à "KLjdei298"/$%?" en texte ( et donc vrai mot de passe )

Les deux solutions pour "decrypter" ces hashs seraient donc :

- De les cracker( Cain & Abel , Bruteforce ... )

- D'utiliser un des nombreux sites répertoriant les hashs correspondants aux mots les plus connus ( bonjour, au-revoir, 1234 etc.. ) tels que
http://md5.my-addr.com/

Dans le premier cas de figure, si les joueurs ont choisi un mot de passe avec un mix de Uppercase / caractères spéciaux / chiffres, les cracker auraient pris un temps phénoménal ( plus que 3 jours )

Dans le deuxième cas, les joueurs avec un mot de passe tels que 1234 auraient pu éventuellement voir leur compte pillé

OR j'ai moi même été victime d'un vol sur mon compte principal ( mon mot de passe contient un mix de caractères spéciaux , de majuscules et de chiffres )ce qui exclut les 2 thèses présentés

Ce qui amène à ma question :
Depuis quand êtes vous réellement au courant d'une intrusion ? Nos données son-t-elles réellement en sécurité ? L'idée que les hackeurs aient eu accès a la BDD depuis un certain temps n'est pas à exclure selon moi

Desolé du pavé,
Night.

[Nikator]

Citation :

Publié par NighT-[PkX]

Sylfaen, si tu lis ca j'ai un gros doute sur un point de vue technique. ( fin du post )

J'explique vite fait :

J'avais cru lire un message officiel disant que les données ( nom de compte / mdp ) dans la base de données sont cryptées de telle sorte que même les devs n'ont pas accès à cette liste ( ce qui est logique ), ce qui porte à croire que ces données sont cryptées en MD5 ( comme toutes les BDD commerciales etc.. )


Du coup, les éventuels intrus ne sont pas tombées sur une situation de ce
genre :


OLOL JAI TROUVÉ LA LISTE NOM DE COMPTE / MOT DE PASSE / SERVEUR / LVL DES PERSONNAGES


mais plutôt sur des hash MD5 du style 46bbddecde56e0db65bb4d987b8c0613 pour le nom de compte et une autre série de 32 pour le mot de passe.

Pour faire simple, les hashs MD5 ne sont pas décryptables ( l'algorithme est un "one way" , on peut encrypter n'importe quel mot comme "bonjour" , "ofrheiuofheiuqewhfueirhfweri28r347897" ou "KLjdei298"/$%?"" en un hash de 32 caractères. L'inverse de ce processus n'est pas possible ( on ne peut pas transformer le hash correspondant à "KLjdei298"/$%?" en texte ( et donc vrai mot de passe )

Les deux solutions pour "decrypter" ces hashs seraient donc :

- De les "décrypter" et donc de les cracker( Cain & Abel , Bruteforce ... )

- D'utiliser un des nombreux sites répertoriant les hashs correspondants aux mots les plus connus ( bonjour, au-revoir, 1234 etc.. ) tels que
http://md5.my-addr.com/

Dans le premier cas de figure, si les joueurs ont choisi un mot de passe avec un mix de Uppercase / caractères spéciaux / chiffres, les cracker auraient pris un temps phénoménal ( plus que 3 jours )

Dans le deuxième cas, les joueurs avec un mot de passe tels que 1234 auraient pu éventuellement voir leur compte pillé

OR j'ai moi même été victime d'un vol sur mon compte principal ( mon mot de passe contient un mix de caractères spéciaux , de majuscules et de chiffres )ce qui exclut les 2 thèses présentés

Ce qui amène à ma question :
Depuis quand êtes vous réellement au courant d'une intrusion ? Nos données son-t-elles réellement en sécurité ? L'idée que les hackeurs aient eu accès a la BDD depuis un certain temps n'est pas à exclure selon moi

Desolé du pavé,
Night.

Tu as raison dans ton raisonnement. A une nuance près : plusieurs mots peuvent avoir le même hash. Donc ton mot de passe compliqué peut très bien produire le même hash qu'un mot simple. Du coup, on peut se connecter sur ton compte avec le mot simple plutôt que le tien...

Ceci explique peut être cela.

[Wapaca]

Sinon il n'y a pas que le md5 il y a aussi le sha1 et ça se trouve le cryptage est fait maison.

Et j'ai remarqué que parmi tout mes comptes uniquement les vieux comptes ont vu leurs mdp changés, l'intrusion ne porte donc que sur les comptes qui ont plus de 2/3 ans ?

[Yuyu]

Citation :

Publié par Hari Seldon.

j'etais septique quant au hack mais tout porte a croire que ces vols sont purement vrais de la part de ma guilde, des nouvelles du front

Je vois rien de spécial à part des enfants qui s'excitent parce qu'il y a un modérateur qui fait son boulot.

[Arotsu]

Un algorithme maison aurait mis plus de 24h à se faire craquer, à moins d'être d'une faiblesse nullifiant son intérêt...

Le dump de la BDD s'est à mon avis fait par id (ou date d'inscription, pareil au même) ; si on y réfléchit c'est logique lorsqu'on cherche à voler du stuff.

[Da geek]

@NighT-[PkX]: Tu oublie une autre possibilité plus rapide qui prend entre 3 et 5 seconde par hash (sha1, md5 ou ntlm), les Rainbow Table

[Hari Seldon.]

Citation :

Publié par Yuyu

Je vois rien de spécial à part des enfants qui s'excitent parce qu'il y a un modérateur qui fait son boulot.

un moderateur qui bannit une masse de joueurs qui desirent seulement s'affronter dans un combat acharne et qui en plus de ca les rend muet. jolie travail

[Chatiment-xx]

Bon bah pour moi c'est 0/6 mot de passe recu , abusey ?

[NighT-[PkX]]

Citation :

Publié par Da geek

@NighT-[PkX]: Tu oublie une autre possibilité plus rapide qui prend entre 3 et 5 seconde par hash (sha1, md5 ou ntlm), les Rainbow Table

Pas si leur hashs sont "Salted" ( mais bon on va pas s'étendre sur ce sujet , je t'invite à lire wikipedia )

Citation :

A rainbow table is ineffective against one-way hashes that include salts.

( Les hashs MD5 sont souvent salted dans le cas de données fragiles ( adresses telephones etc... )

Citation :

Publié par Nikator

Tu as raison dans ton raisonnement. A une nuance près : plusieurs mots peuvent avoir le même hash. Donc ton mot de passe compliqué peut très bien produire le même hash qu'un mot simple. Du coup, on peut se connecter sur ton compte avec le mot simple plutôt que le tien...

Ceci explique peut être cela.

Dans le cas du MD5 et du SHA-1 les possibilités sont infimes, voir quasiment nulles et le fait que plusieurs dizaines de mes connaissances se sont fait pillé est relativement étrange ( ca m'étonnerait que ces mêmes connaissances, avec des stuffs exos et des dofus à la pelle est un mdp du genre "bonjour" ou "password" , et la probabilité que les hackeurs est cracké un hash du style "123456" ayant le même hash que leur éventuel MDP est relativement faible

Il faut ajouter à cela le cryptage des noms de comptes, donc 2 choses à cracker. ..

[kéwa]

De toute façon je doute qu'un off' nous en dise plus sur leurs bases de données...

Et pourquoi pas des BDD en SHA-256 ?

De mémoire, le MD5, c'est le truc de base pour une base de donnée en php pour pour gérer quelques comptes/info sur un site web ?

Le salage, c'est pas rajouter une chaine d'info selon un algorithme ?
Donc une fois trouvé, dessaler reste possible ?

[Famille Za,]

Citation :

Publié par Hari Seldon.

j'etais septique quant au hack mais tout porte a croire que ces vols sont purement vrais de la part de ma guilde, des nouvelles du front

D'après le screen, c'est juste un modérateur qui fait son travail en fait, non ?

[snipii]

juste pour info ( et pour me rassurer ) des gens attendent ils leurs mail comme moi depuis 22h hier soir?

[Nikator]

Citation :

.... Dans le cas du MD5 et du SHA-1 les possibilités sont infimes, voir quasiment nulles et le fait que plusieurs dizaines de mes connaissances se sont fait pillé est relativement étrange ( ca m'étonnerait que ces mêmes connaissances, avec des stuffs exos et des dofus à la pelle est un mdp du genre "bonjour" ou "password" , et la probabilité que les hackeurs est cracké un hash du style "123456" ayant le même hash que leur éventuel MDP est relativement faible

Il faut ajouter à cela le cryptage des noms de comptes, donc 2 choses à cracker. ..

Je suis pas sûr que les noms de compte ou autre soient cryptés... Une simple analyse de ton flux réseaux sortant te montrera que le nom de compte circule en clair quand tu te connectes... En revanche le mot de passe est bien hashé.

Concernant les probabilités de collisions entre mots, je dirais simplement que ça dépend de la taille de la donnée avant hashage et de la taille de la donnée après hashage.
Si taille de données avant > taille de données après, alors les collisions sont fréquentes.
Sinon tu as raison.

[JePiKHo]

Bonjour, y aurait-il des gens qui auraient comme moi un souci suite à une tentative de poster un ticket ? Il me dit que le ticket est posté, je clique vers le lien pour me rediriger vers le ticker et là paf, "Le ticket [code du ticket] n'existe pas."

J'ai tenté une récupération de mdp toutes les deux heures sans succès.

PS: Si les mdp provisoires sont valables deux heures, si on reçoit le mail 2h01 après on fait comment, comment ça se passe ? (J'ai reçu le mail d'ankama 5 heures après qu'ils aient changé mon mot de passe)

Merci d'avance à tous pour vos réponses.

[Pesmax]

Citation :

Publié par snipii

juste pour info ( et pour me rassurer ) des gens attendent ils leurs mail comme moi depuis 22h hier soir?

Oui, et même plus tôt encore ! C'est presque à me demander si je regarde la bonne adresse mail

[Bregorn]

ça ne serait pas très étonnant qu'il fasse simplement son travail vu le nombre de joueurs qui râlent... Alors que la plus part sont des joueurs ayant donnés de fausses informations et fausses adresse mail ou n'attendent simplement pas l'arrivé du mail de changement de mot de passe...

Perso, j'ai changé mon mot de passe dès la première annonce où il était conseillé de le faire. J'ai aucun soucis. J'espère que ça va durer.

Pour la question sur l'arrivée du mail, ça prend du temps, c'est normal, il faut encore attendre que la grosse vague de mails soit totalement envoyée ! Patience... C'est un mal pour un bien, au moins le compte est sécurisé pendant ce temps.

@tombdigger :

Citation :

Publié par Sylfaen

Pour information : Si le mot de passe provisoire issu de la réinitialisation forcée, que vous trouvez dans le mail qu'on vous a envoyé, ne fonctionne pas, il y a 99% de chances que ce soit parce que vous avez demandé une récupération manuelle de votre mot de passe par mail.
Et lorsque vous faites une demande de récupération de mot de passe par mail, votre mail arrive en fin de queue de la liste des mails à envoyer.

Du coup, à chaque demande de récupération, vous retardez à nouveau l'heure d'arrivée de votre dernier mot de passe généré.

Conseil : Ne demandez pas à récupérer un mot de passe par mail, laissez passer la nuit, et consulter vos mails demain matin.

[Arihna]

Citation :

Publié par tombdigger

Bonjour, y aurait-il des gens qui auraient comme moi un souci suite à une tentative de poster un ticket ? Il me dit que le ticket est posté, je clique vers le lien pour me rediriger vers le ticker et là paf, "Le ticket [code du ticket] n'existe pas."

J'ai tenté une récupération de mdp toutes les deux heures sans succès.

PS: Si les mdp provisoires sont valables deux heures, si on reçoit le mail 2h01 après on fait comment, comment ça se passe ? (J'ai reçu le mail d'ankama 5 heures après qu'ils aient changé mon mot de passe)

Merci d'avance à tous pour vos réponses.

J'ai eu le même souci pour ma demande au support, et on m'a dit que c'était un bug, et qu'ils avaient bien reçu le ticket chez eux,cf le thread 1


Et faire un paquet de demandes mail ne sert a rien.

[AhrimanII]

Citation :

Publié par snipii

juste pour info ( et pour me rassurer ) des gens attendent ils leurs mail comme moi depuis 22h hier soir?

oui rassure toi (enfin -_-") moi aussi

[MrSimsoft]

Citation :

Publié par Famille Za,ruit?&%/"

D'après le screen, c'est juste un modérateur qui fait son travail en fait, non ?

L'ensemble des mots de passes des comptes modérateur / admin / mj etc. ont été changé dès vendredi soir et n'ont donc pas été affecté par les vols de comptes.

[SliverBlackLotus]

Citation :

Publié par Paile

C'est prévu de mettre en place une procédure à ce sujet quand le reste sera réglé.



Je pense que tu as accès à un monde parallèle ou il y a une autre version des messages d'Ankama, ça ne peut être que ça.

Je ne parle pas du moment ou ankama nous a dit de changer nos mdp, j'ai d'ailleurs précisé entre parenthèses que pour moi ils ont eu raison de le faire, je parle de l'avant, que ce soit avant même les intrusions sur leur serveur ou entre les intrusions et le moment où Ankama a conseillé fortement de changer ses pass.
En effet, certaines personnes ont déjà mis en avant que ce soit par courrier ou via le fofo officiel, que leur système de hashage ne protégeait pas grand chose en cas de récupération des données mais ces personnes se sont faites snober ou même bannir du forum a vie.
De plus, et c'est la la plus grosse erreur a mon goût, entre le moment ou Ankama s'est fait voler les données et le moment où ils ont demandé aux gens de changer leurs identifiants il s'est écoulé plusieurs jours pendant lesquels ils ont continué de maintenir aux clients qu'il n'y avait aucun risque que les informations puissent être décryptées. Toute personne qui a des connaissances au niveau de la sécurité informatique sait que leur système de hashage peut parfaitement être décryptée, donc pour moi sur ce point il y a eu du foutage de gueule envers les clients.

PS: je ne dis pas ca en tant que "rageuse" (je déteste ce mot de gamin de 12 ans dit en passant) puisque pour ma part j'ai récupéré la grande majorité de mes richesses et de mes personnages, il ne me manque plus qu'un perso.

[Pyrralis]

J'aime bien le support, je leur explique que je n'ai pas accès a la boite mail du compte, ni au numéro de téléphone et demande que le nouveau mot de passe soit envoyé sur une nouvelle adresse mail, tout ça biensur appuyer avec une copie de la carte d'identitée.


Je reçois aujourd'hui enfin une réponse, mais non, ils me disent d'utiliser le système par SMS ou bien d'attendre l'arrivée du mail, j'ai raté quelque chose ou bien? Y a t'il des personnes dans le même cas que moi, avec des réponses à coter de la plaque?


A signaler aussi que j'ai reçu la réponse sur la nouvelle adresse mail que je leur ai communiqué, donc ils ont bien du prendre en compte le message, pourquoi ne pas envoyer le passe par la même occasion dans ce cas la .

[Luto]

CA fait depuis hier soir que j'attends un mail pour recevoir un mot de passe demandé manuellement apres avoir vu que celui donné automatiquement ne fonctionnait pas ... c'est un peu long ..

[Yopyro]

Je suis aussi dans les 1% qui n'ont pas demandé de nouveau mot de passe et qui ont reçu un nouveau mot de passe qui ne marche pas.

[Tombal]

La copie de la carte d'identité au Support, c'est pour vérifier si les informations correspondent à celles qui étaient enregistrées avec le compte ? Je pense que c'est ça, ou est-ce que ça a une autre utilité ? Parce que je ne sais même pas si la moitié des joueurs de dofus ont mis leur informations réelles à la création de leur compte hein

[Arihna]

Citation :

Publié par Royal-blunt

J'aime bien le support, je leur explique que je n'ai pas accès a la boite mail du compte, ni au numéro de téléphone et demande que le nouveau mot de passe soit envoyé sur une nouvelle adresse mail, tout ça biensur appuyer avec une copie de la carte d'identitée.


Je reçois aujourd'hui enfin une réponse, mais non, ils me disent d'utiliser le système par SMS ou bien d'attendre l'arrivée du mail, j'ai raté quelque chose ou bien? Y a t'il des personnes dans le même cas que moi, avec des réponses à coter de la plaque?


A signaler aussi que j'ai reçu la réponse sur la nouvelle adresse mail que je leur ai communiqué, donc ils ont bien du prendre en compte le message, pourquoi ne pas envoyer le passe par la même occasion dans ce cas la .

L'incompétence du support est toujours comique, on dirait.


Pour le moment, je suis dans le même cas que toi en ce qui concerne un perso et je suis dans l'attente d'une réponse du support, j'espère que j'aurais plus de chance que toi.