[Quicheus]

Personnellement j'ai reçu un nouveau Mdp pour mon premier compte que j'ai pas connecté depuis 2 ans
Et pas pour mes comptes actuels

[[Ota]Devils-ome]

Pour l'un de mes 2 comptes bloqués tout s'est bien passé,
mais pour le second:
_ j'ai reçu un 1er nouveau MDP : il est pas bon
_ j'ai reçu un 2ème nouveau MDP : il est pas bon

[Chiwawa]

Citation :

Publié par psonlu

Aucun client mais la Cnil si.

....

On t'attends , gagne les le cas et partage l'argent d'amende ....

[-Shango-]

Mes 8 comptes ont été bloqué en début de semaine par un changement de mot de pass de l'initiative d'AG, tant mieux cela a permis d'éviter que ceux-çi se fassent vider.

Mardi soir, j'ai directement envoyé un ticket au support avec le nom de tous mes comptes + preuve que tous ces comptes m'appartenaient (carte d'identité scanné + quelques screenshots de virement via paypal / paiement ogrines) en précisant bien que je voulais réinitialiser les mot de pass / question secrete / boite mail associée pour plus de sûreté.


J'ai réçu un première vague de "nouveau mot de pass" qui ont sûrement fait partie des "paquets" de mails qu'ankama envoit toujours pour le moment et qui justifient la modification du mot de pass sur tous mes comptes de manière préventive.

Hier soir vers 19h, j'ai ensuite reçu la réponse du support au seul ticket que j'avais envoyé, me disant que tous mes comptes ont été remis à zero et que je pouvais y accéder avec les mots de pass fournit dans ce mail.
Je me suis connecté sur chaqu'un d'eux, j'ai changé mot de pass / e-mail associé / question-réponse secrete sur chaqu'un d'eux.

Mes 8 comptes sont à nouveau sécurisé et prêt à l'emploi, sans aucune perte à déplorer sur aucun d'entre-eux.
Je vais attendre 2-3 jours (le temps que ça se tasse) avant de reprendre une activité "normale" sur le jeu.


Voilà, si ce message peut vous aider à comprendre la démarche, ç'est toujours cela de gagné.
Pour info j'habite en Belgique, donc le service SmS n'y est pas autorisé et pourtant je trouve que la réactivité du support est tout à fait correcte.

Merci d'avoir fait le necessaire

[Escanor]

Pareil, j'ai fais l'erreur de demander un nouveau mdp par mail (je n'avais pas vu leur mail tout de suite), et je l'attend toujours ^^.

Je pense que c'est un problème qui mettra pas mal de temps à se résoudre là ...

[Srawx]

Toujours pas reçu le mail avec mon nouveau mot de passe, par contre celui pour renouveler mon abonnement je l'ai eu.

[Amanda]

Bon, je vais vous donner quelques VRAIES pistes sur ce qu'il en est juridiquement parce que depuis un moment on voit du vrai et du très faux...

Pour commencer l'entreprise Ankama est assujettie à la loi Française et à la justice française. Ce n'est donc pas la peine d'aller chercher des affaires qui se sont passées en Californie ou au Japon. En ce qui concerne la sauvegarde de nos informations, Ankama est tenue à une obligation de moyens (Cf: Article 1137 du Code Civil et sa jurisprudence). Cela revient à dire que Ankama doit faire diligence et mettre en oeuvre tous les moyens de protection de ces données.
Pour parler clairement à des non juristes, cela revient à dire que: A moins de prouver que Ankama a rien fichu pour assurer la protection des données, ils ne peuvent être mis en cause.

Spoiler : Cliquez ce bouton ou survolez le contenu pour afficher le spoiler

sof si tu sé k AG a ri1 fé é ke tu pe le prouV ya r1 a fer

Les joueurs:
Le seul préjudice qui leur sera reconnu par la loi française est le défaut d'accès au jeu.
Pour un tel préjudice, il semble logique que Ankama Game aura un geste commercial, Cependant, l'article 1148 du Code Civil dispose: "Il n'y a lieu à aucun dommages et intérêts lorsque, par suite d'une force majeure ou d'un cas fortuit, le débiteur a été empêché de donner ou de faire ce à quoi il était obligé, ou a fait ce qui lui était interdit". Et comme dit plus haut, il vous faudrait prouver que AG a commis une réelle négligence dans la protection de ces données. Soyons donc clairs: La loi n'oblige pas AG à vous indemniser du préjudice subit étant donné qu'ils sont la première victime de cette intrusion. (Notons qu'il s'agit ici d'un cas fortuit et non de force majeure, ces derniers étant réservés aux catastrophes naturelles et aux évènements politiques majeurs tel guerre et guerre civile)
En ce qui concerne vos données personnelles, certains croient à tort qu'ils peuvent saisir la CNIL afin d'obtenir indemnisation ou condamnation d'Ankama. Il va sans dire que Ankama se protégera immédiatement avec le problème du cas fortuit.

La seule et unique chose que vous puissiez faire est de déposer une main courante au commissariat de votre ressort et expliquant explicitement que vous désirez porter plainte conjointement à Ankama contre "le hackeur" si une action juridique est intentée. Et quoi qu'il en soit, cette plainte ne pourra concerner que vos données personnelles. En effet, en France, il n'existe aucune loi et aucune jurisprudence quant au vol d'objets virtuels. La seule référence à ce sujet sur les jurisprudences européennes est un arrêt de 2008 provenant des Pays Bas et touchant le jeu Runescape.
Le problème des objets virtuels avec le droit français est qu'il doit remplir trois conditions: Soustraction frauduleuse de la Chose d'autrui
Soustraction frauduleuse: Bon là effectivement c'est rempli. On est frauduleusement entré sur vos comptes pour en soustraire des éléments.
Chose: Le bien virtuel est-il une chose en droit Français? On n'a pas de réponse précise, mais le panel est tellement large qu'on peut considérer que oui
Autrui: C'est là le problème, vos comptes appartiennent à Ankama, vous savez que vous ne faites que les louer. En droit français donc ce qui est sur votre compte ne vous appartient pas. Donc si ça ne vous appartient pas, vous ne possédez pas "l'intérêt à agir" (tel que décrit par l'article 31 du code Civil).

Je me tiens à votre disposition via les MP si vous avez des questions à ce sujet, mais par pitié, cessez de citer du droit en le sortant de son contexte ou de façon non appropriée.

[Tweed]

Il faut se montrer patient le temps qu'ils arrivent a gérer tous sa. Il faut aussi comprendre qu'il doit y avoir 1M de compte (si ce n'est plus) qui ont été touché et dont il faut changer le MDP.
Sinon il y a une solution : il fait beau dehors, il faut sortir et ne me dites pas que c'est 3 ou 4 jours sans jeu qui vous tuerons.

[Arotsu]

Citation :

Publié par barbatouffe

Après ya 2-3 petites choses qui me turlupinent parce que j'ai fait quelques recherche sur le md5 le hashage etc... je suis loin d'être un expert mais d'après ce que j'ai pu lire le hashage est une fonction qui permet de transformer le mot de passe que l'ont tape irréversiblement en une suite de caractère, apparemment le type de hashage md5 est assez fiable mais plusieurs études ont trouvé le moyen d'obtenir des collisions (des mots différent ayant le même équivalent md5) et donc de passer outre le hashage md5 par brute force en utilisant des "tables arc en ciel" et ce en quelque seconde pourvu que le matos suive (là j'ai décroché dans mes recherches j'ai pas le niveau pour comprendre comment fonctionnent ces fameuses tables).Maintenant ce qui me dérange c'est comment se fait t'il qu'un moyen de hashage de donnée obsolète car brisable soit encore utilisé ? surtout que maintenant ankama est une grosse boite et que des données aussi sensibles que celles-ci concernant leur client sont potentiellement très lucratives (que ce soit revente de kamas ,revente d'info personnelles a un tiers) donc est ce que des mises a jour de sécurité des données seront effectuées après que la tempête sera passé ? en tout cas je l'espère et je souhaite bonne chance au pauvres employés qui doivent en chier en ce moment même pour remettre le tout en état.

Je ne m'avancerai pas trop là-dessus mais je doute que les pirates aient utilisé les collisions pour reverse les passwords, il n'y aurait pas eu autant de comptes volés en si peu de temps. "une empreinte md5 faisant 128 bits, ce qui représente environ 400 sextillions (4.1038) combinaisons" (Wikipédia).

Pour les Rainbow Tables et comme déjà dit dans le thread, c'est inefficace dès lors qu'il y a un salt. Autrement dit, le md5($password) réputé comme peu fiable deviendra par exemple md5('aZ0!eR.4'.$password) ce qui revient à craquer 8 caractères de plus. Sachant que des Rainbow Tables 1-14 mixalpha numeric ascii doivent faire plus de 60To (estimation perso) on peut considérer ça comme safe. Et encore, celles-ci ne pourraient reverse que des mots de passe de six caractères maximum, donc extrêmement faibles.

Au final la solution la plus probable est qu'Ankama a utilisé un simple md5($password) (ou équivalent en sha1, ça se vaut) au tout début de Dofus puis n'a pas changé par la suite, ce pour des problèmes évidents de rétrocompatibilité.

[Gredins]

Citation :

Publié par -Shango-

Hier soir vers 19h, j'ai ensuite reçu la réponse du support au seul ticket que j'avais envoyé, me disant que tous mes comptes ont été remis à zero et que je pouvais y accéder avec les mots de pass fournit dans ce mail.
Je me suis connecté sur chaqu'un d'eux, j'ai changé mot de pass / e-mail associé / question-réponse secrete sur chaqu'un d'eux.

Mes 8 comptes sont à nouveau sécurisé et prêt à l'emploi, sans aucune perte à déplorer sur aucun d'entre-eux.
Je vais attendre 2-3 jours (le temps que ça se tasse) avant de reprendre une activité "normale" sur le jeu.


Voilà, si ce message peut vous aider à comprendre la démarche, ç'est toujours cela de gagné.
Pour info j'habite en Belgique, donc le service SmS n'y est pas autorisé et pourtant je trouve que la réactivité du support est tout à fait correcte.

Merci d'avoir fait le necessaire

J'ai fait un ticket avec scann de carte, ... mardi matin, toujours pas reçu de réponse pour ma part.

[Escanor]

Citation :

Publié par Dark-cher

il doit y avoir 1M de compte

Multiplie par 20 .

[Persa]

Je commence a en avoir marre moi franchement ... Ca fait 1 jour et demi que j'ai pas mes comptes et absolument aucune nouvelle du support.
Hier sylf a dit que le service par SMS était sure pour récupérer les comptes, génial j'essaye pour 1 d'entres eux , sachant que le mdp est valide que pendant 2h , je n'ai rien recu au bout de 2h donc super ...

Je regarde ma boite mail présque toutes les heures je ne recois que des TRES ANCIENS compte ...

Par contre pour me dire que mon compte n'ai plus abonné la y a pas de probléme l'email je le recoie ><

[M0re]

Bonjour,

En me connectant ce matin, je ne vois toujours pas de mail pour un de mes personnage, les autres n'ayant eu aucun problème, il a fallu juste patienter.

J'aimerais savoir si je doit encore attendre car il y a des mail qui ne sont pas encore partis, ou bien utiliser le sms ?

[Azaz-el]

Moi j'ai eu 3 mails, 1 compte est à moi c'est nickel mais les 2 autres sont des comptes vides...y'a aucun perso de crées...

[Bam .]

OMG , il suffisait que je fasse mot de passe oublié , j'ai eu la réponse en 2 minute ! Merci Ankama !

[Pesmax]

Citation :

Publié par [Men] Aqua-creed

OMG , il suffisait que je fasse mot de passe oublié , j'ai eu la réponse en 2 minute ! Merci Ankama !

Foutage de gueule ?

Moi ca fait plus d'un jour que j’attends, je n'ai reçu AUCUN message, même pas un faux. Par contre, mon rappel de fin d'abonnement ça oui

[Le Fruit de la Force]

Citation :

Publié par Arotsu

Autrement dit, le md5($password) réputé comme peu fiable deviendra par exemple md5('aZ0!eR.4'.$password) ce qui revient à craquer 8 caractères de plus.

Et quand bien même ils parvenaient à trouver le mot de passe avec les 8 caractères de plus, le salt est en général généré aléatoirement, les laissant incapable de différencier le véritable mot de passe du salage (en théorie, car en pratique quand le mot de passe déchiffré est "aZ0!eR.4kevindu93", on devine facilement le salt).

[KiR le Corbeau]

Citation :

Publié par [Men] Aqua-creed

OMG , il suffisait que je fasse mot de passe oublié , j'ai eu la réponse en 2 minute ! Merci Ankama !

Ha bein du coup le service risque d'être très vite saturé grâce à ton intervention

[vace]

Citation :

Publié par Persa

Je commence a en avoir marre moi franchement ... Ca fait 1 jour et demi que j'ai pas mes comptes et absolument aucune nouvelle du support.
Hier sylf a dit que le service par SMS était sure pour récupérer les comptes, génial j'essaye pour 1 d'entres eux , sachant que le mdp est valide que pendant 2h , je n'ai rien recu au bout de 2h donc super ...

Je regarde ma boite mail présque toutes les heures je ne recois que des TRES ANCIENS compte ...

Par contre pour me dire que mon compte n'ai plus abonné la y a pas de probléme l'email je le recoie ><

Possiblbe que ton(tes) compte(s) soit déjà sécurisé et donc ils n'ont pas eu besoin de changer le mdp automatiquement. (J'ai reçu 1 seul de mes comptes les autres sont ok)

Ps : Pour les comptes vides envoyés c'est forcement des comptes que vous avez fait mais il y a très longtemps. (Trouver 5 comptes dans le mail avec des ressources dessus d'il y a 5 ans c'est juste lol)

[Ghankay]

Citation :

Publié par [Men] Aqua-creed

OMG , il suffisait que je fasse mot de passe oublié , j'ai eu la réponse en 2 minute ! Merci Ankama !

2min, t'a bien de la chance, sa fait presque 48h que j'attend

[Escanor]

Le service d'envois de mdp par mail à l'air d'être correctement remis en place, j'ai test, j'ai eu mon nouveau mot de passe en 1 seconde.

[Halitosis]

Oui! ca a marché pour moi aussi !

[Ypsylon]

Si besoin en était, je plussoie le message d'Amanda, étant moi-même juriste, spécialisé en droit (européen, je ne connais rien aux subtilités du droit français) de la propriété intellectuelle, et ayant rédigé un mémoire sur la propriété des objets virtuels dans les Univers persistants.

Je vais rester vague, mais la jurisprudence en matière de vol d'objets virtuels est effectivement assez peu fournie (du moins était-ce le cas quand j'ai écrit mon papier :P). Un droit de propriété intellectuelle n'est reconnu aux joueurs que dans des cas très particuliers, avec comme exemple majeur Second Life, qui permet aux joueurs d'importer au sein du jeu leurs propres créations (de nouvelles textures notamment).

De manière générale, pour les MMO comme Dofus dans lesquels les joueurs n'ont aucune possibilité d'importer des éléments extérieurs qu'ils ont eux-mêmes développés, et dans lesquels ils sont limités, dans leur créativité, aux possibilité que leur offre le développeur du jeu, les tribunaux se tourneront principalement vers l'un des seuls éléments tangibles qui existent dans cette matière, à savoir les CGU. Celles d'AG sont claires, précises, et sont répétées (il me semble) à chaque modification majeure du contenu du jeu. A cette occasion, les joueurs doivent cliquer sur un onglet de confirmation, assurant qu'ils ont effectivement lu les CGU en question. Bref, AG me semble parfaitement protégée d'un quelconque recours en justice au niveau de la propriété intellectuelle.

Reste donc la question de la protection des données, pour laquelle comme l'a également dit Amanda, AG n'est logiquement tenue que d'une obligation de moyen. A part faute grave de la part de la société, l'attaque qu'elle a subie et les conséquences qui en découlent ne peuvent donc pas lui être reprochées. Ceci dit, une telle faute grave dans son chef est tout à fait possible ; il faudrait voir, par exemple, si AG pouvait raisonnablement considérer que son système de protection des données était insuffisant, ce genre de choses. La faute grave est donc plutôt improbable à mon sens, mais pour tout dire, je n'ai pas les éléments pour en juger.

[Seigneur-Fou]

La récupération du mot de passe par mail fonctionne je confirme !

Y'avais pas besoin d'attendre 48h finalement

[/Win'Z/]

J'aimerais bien faire comme vous, mais, ils ont changer ma réponse secrète, alors...