[Rasetsu [Men]]

Pourrais tu développer ce que tu as à l'esprit justement?

[Karmapolis]

Air n'est pas un modèle de sécurité... Je me souviens par exemple que fin 2010 (Air version 2.5.1), une faille permettait de contrôler des téléphones à distance rien qu'avec un bout de code sur un site web...

['pnotowd]

Citation :

Publié par deniaud

Je suis assez jaloux de voir que Cykoniko ait récupéré ses familiers en si peu de temps. Pour ma part j'ai récupéré mes items le 22 Novembre, cependant il me manquait mes familiers. J'ai eu beau leur envoyer un message le jour même, je n'ai reçu aucune réponse...

Je tiens à préciser qu'il s'agit plus d'une "compensation" que d'une restitution, car sur une trentaine de famis (dont de nombreux bwaks montés entre 50 et 80, des atouins, des croums, tous en cours de up), je n'ai en fait récupéré que 2 Bworkys, 2 Nomoons et un atouin, tous montés au max mais sans hormone (alors que les miens étaient au max avec hormone).

J'ai donc pris cela comme un geste de compensation de la part du support et j'avoue que ça fonctionne puisque je ne vais pas continuer à réclamer le reste de mon élevage de familiers disparus.

Honnêtement, j'ai tenté le coup en uppant mon ticket après la restitution des stuffs le 27 Décembre sans y croire vraiment, donc ce fut une heureuse surprise pour moi (le coup de leur rappeler que monter un Nomoon +90 demande 180 jours d'abonnement minimum a peut-être eu un impact ^^).
Un point final agréable à une histoire un peu glauque.

[Taktillerix]

Un joueur de ma guilde vient de se faire hack un perso, un hack venu de nul part comme la plupart de ceux évoqués dans ce sujet. Je ne peux m'empêcher de poster sa réaction.

Citation :

[21:26] (Guilde) XXX : Mais dans quel jeu sommes nous si à n'importe quel moment on peut tout perdre... pas envie de continuer

Est-ce normal que cela soit si facile pour les personne mal attentionnées de nous dépouiller ? Et je ne parle pas de phishing, contre cela il y a l'AS mais je ne connais aucun joueur "avéré" qui s'est fait avoir par un "faux site". En effet, le phishing concerne plus généralement les joueurs peu expérimentés et qui n'ont donc pas grand chose à perdre.

Perdre des heures de jeu aussi rapidement et sans ne pouvoir rien y faire ça ne donne vraiment pas envie de continuer à jouer...

[maniaa]

4 ieme Hack d'un perso de la guilde constaté hier soir...

Perso a poil - devant une banque (brakmar hier) - plus aucun item de valeur...

Question: les logins sur le site web Dofus sont en HTTP ou HTTPS ?

[Taktillerix]

Il me semble que c'est https mais je n'en suis pas sûr.

Moi je me demandais si l'AS était protégé contre le brute force. Quelqu'un sait si au bout d'un certain nombre de tentatives de codes Ankama on nous empêche de retenter ?

[ptiyolesecond]

Aujourd'hui - 10:34:11 | #191 Pour tout ce qui est vol, perte d’identifiant ou autre c’est le support qu'il faut contacter. Sur le forum personne ne peut vous aider.

J'ai du mal à voir comment la connaissance d'un simple numéro de téléphone peut engendrer ce genre de problème, sinon il ne faudrait donner son numéro à personne.

ce qui me fait rire (jaune) c'est qu'un forum n'est pas fait pour résoudre les problème de hack certes c'est le support mais un forum cela sert aussi à recenser discuter et s'informer sur un sujet bien définit non ?

enfin je le voyais comme cela à priori sur le forum officiel non

d'ailleurs pourquoi laisse t on ouvert tous les posts sur les propositions des joueurs sur le jeux les persos les sorts les stuffs les modifications pour le staff ankama puisque ceux sont les développeurs qui seuls décident autant tout fermer (mode ironie).

<-- retourne guetter un mail d'ankama sur mon hack comme depuis 3 semaines je ne fait que cela

[Staz Vlad]

Bonjour.
Franchement,à quand un système de liaisons d'objets et de kamas au personnages ? Pour la première liaison,il faudra définir un code à absolument noter à autant d'endroits que possible et pas sur un seul support.(Et tant qu'on y est,un code en plus,mais ce serait une combinaison de boutons,un peu comme le machin des iphones pour le déverrouillage)
Un code qu'on ne pourrait pas réinitialisé par la suite sauf par la biais du support,il faudra le rentrer à chaque fois pour lier/délier des items,utilisable sans limite de temps.(Utilisable aussi par paquet,genre lier tous les objets du sac,tous les objets équipé,objets de la banque...les kamas liés ne pourraient être utilisé que pour des zaap,zaapis et co,les trucs qu'on ne sait pas utiliser/acheter en masse)

Vous allez me dire que je suis un peu fou,mais bon,ça me semble encore plus sécurisé et plus simple d'utilisation que le shield...

Car c'est pas vraiment normal qu'il y ai autant de vol,"hack",je ne pense pas que les joueurs concernés soient toujours en faute...

J'ai été volé aussi,j'avais le shield activé,ordinateur protégé par un antivirus - détecteur et exterminateur de logiciels malveillant.
Après le vol,shield désactivé,j'ai tout scanné et co...
Je ne pense pas être le seul à avoir un ordinateur protégé,sécurisé et avoir été volé .

J'étais sous hotmail,maintenant sous gmail avec la double authentification par téléphone...en espérant ne plus avoir de problèmes de ce genre !

Sur ce, j’espère que vous serez vous aussi restitué si la faute ne venait pas de vous,et ce le plus vite possible !
Bonne journée.

[Rasetsu [Men]]

Bon et bien j'ai des nouvelles. Plusieurs joueurs s’étant fait hacker en mi décembre (donc BIEEEN après la résolution du problème annoncée par le studio) ont reçu ce genre de message du support:

Citation :

Nous allons prendre en charge la restitution de vos items. Nous traitons en priorité la protection des comptes et leur restitution aux joueurs, la phase de restitution des items viendra dans un second temps.

Nous vous présentons nos plus sincères excuses, et vous remercions d'avance pour votre patience.

Ils vont restituer les items, c'est très bien ça. Cependant, les excuses ainsi que justement la restitution, est ce que ce ne sont pas des éléments qui tendraient à prouver qu'il y a bel et bien des problèmes de sécurité encore à l'heure actuelle? Parce que dans mes souvenirs, quand c'est de la faute du joueur, le support ne s'excuse pas tellement et rend encore moins les items volés ...

[Professeur Taahd]

Pour ma part j'ai reçu une réponse mardi me disant qu'il me préviendrais dès qu'ils me rendraient mes items, mais qu'ils ne savaient pas quand, car ça prend du temps, etc. Si un Off' passe par là, peut-il nous donner une date approximative d'une prochaine restitution? même si ça reste très vague?

[Limpe]

Citation :

Publié par Rasetsu [Men]

Bon et bien j'ai des nouvelles. Plusieurs joueurs s’étant fait hacker en mi décembre (donc BIEEEN après la résolution du problème annoncée par le studio) ont reçu ce genre de message du support:

Ils vont restituer les items, c'est très bien ça. Cependant, les excuses ainsi que justement la restitution, est ce que ce ne sont pas des éléments qui tendraient à prouver qu'il y a bel et bien des problèmes de sécurité encore à l'heure actuelle? Parce que dans mes souvenirs, quand c'est de la faute du joueur, le support ne s'excuse pas tellement et rend encore moins les items volés ...

On ne nous dit pas tout !

[JePiKHo]

Pour répondre par rapport à la facilité de vol sur des comptes, je tiens à signaler que le système de l'AS est simplement bancal. N'importe quel ordi mal sécurisé est toujours aussi vulnérable. Je m'explique :

L'AS est un système de certificat placé sur votre ordinateur, un peu comme les certificats qu'on vous demande sur votre navigateur par exemple. Et si on prend le certificat, et qu'on le fout sur un autre PC, ben le shield est désactivé. total, un keylogger doublé d'un programme qui récupère les certificats, et votre compte est désarmé, ou encore un bruteforce si on a votre nom de compte avec simplement le programme qui récupère vos certificats. Bref, l'AS n'est vraiment pas inviolable.

[Feawen]

Citation :

Publié par tombdigger

total, un keylogger doublé d'un programme qui récupère les certificats, et votre compte est désarmé, ou encore un bruteforce si on a votre nom de compte avec simplement le programme qui récupère vos certificats. Bref, l'AS n'est vraiment pas inviolable.

Et la, on revient a la base de la sécurité: ne pas cliquer sur n'importe quoi... Quant au bruteforce, on revient cette fois sur les types de mot de passe a utiliser.

Donc, c'est certes pas inviolable, mais il faut quand même aider un peu le voleur...

[ptiyolesecond]

[Modéré par mamaf : ... ]

[Seigneur-Fou]

Perso je trouve aussi qu'il y a de gros problèmes avec le support.
Récemment je me suis remis à jouer à un jeu en ligne sur navigateur (un jeu dans l'espace qui commence par o pour ne pas citer le nom, très connu !)
et j'ai envoyé un ticket pour un problème le samedi soir à 21h et j'ai eu une réponse 24 minutes après !

Et du coté d'ankama j'ai envoyé une demande de récupération en 2008-2009 pour un sram qui m'a été volé. Après des dizaines de tickets, demande d'aide sur l'officiel j'ai fini par recevoir le compte deux annèes après (j'ai laisser tombé pendant un an puis j'ai relancé et ya les dates pour le prouver ^^).

Sinon ba bon courage pour ceux qui sont toujours en attente... Ca commence à traîner cette histoire

[MazinKaiser]

Citation :

Publié par Feawen

Et la, on revient a la base de la sécurité: ne pas cliquer sur n'importe quoi... Quant au bruteforce, on revient cette fois sur les types de mot de passe a utiliser.

Donc, c'est certes pas inviolable, mais il faut quand même aider un peu le voleur...

On en revient à la science-fiction et aux croyances urbaines surtout.

C'est bien gentil de vouloir protéger les comptes de monsieur X, faudrait tout de même pas oublier que si la majorité des personnes s’intéressaient un minimum à ce qu'elles font sur un ordinateur, sans le considérer comme la boite magique qui permet de connecter kevinroxor sur Dofus, ou de poster les photos de ses toilettes sur Facebook, les comptes de chacun se porteraient bien mieux.

L'Ankama Shield n'est pas la solution ultime qui permet de télécharger les pires saloperies sans se soucier des conséquences, mais le cran de sécurité qui dans beaucoup de cas peut sauver un investissement en temps de jeu.

Le moindre antivirus que ce soit fout dehors à grands coups de pompes n'importe quel keylogger. Je trouve totalement absurde ces histoires de keylogger, c'est l'éléphant dans le magasin de porcelaine, le truc dont il faut convaincre le random joueur de télécharger et exécuter, en priant pour qu'il soit assez niais pour ne pas avoir d'antivirus ou de firewall. En gros, le truc tellement énorme et qui allie tant d'aspects douteux des méthodes de pillage qu'il faut vraiment foncer tête baissée pour se faire avoir.

J'ai limite envie de dire que ce n'est même pas la faute au vilain malware, qui a coulé un super compte, mais au joueur lui même pour ce type d'arnaques.

Les sites officiels sont clairement référencés, les règles du jeu mettent en garde contre ce type d'arnaques et exposent assez de blabla la dessus pour qu'un humain normalement constitué soit conscient des risques.

On fait quoi ? On facture des cours d'informatique aux joueurs pour leur apprendre à ne pas cliquer sur des liens douteux envoyés par les """copains""" ou les pseudos-mp-officiels-en-bleu-du-zaap-et-de-la-milice ? Ou encore des cours de français pour apprendre à lire une charte et des conseils à propos de la sécurité des comptes ?

[Sylfaen]

Citation :

Publié par Rasetsu [Men]

Bon et bien j'ai des nouvelles. Plusieurs joueurs s’étant fait hacker en mi décembre (donc BIEEEN après la résolution du problème annoncée par le studio) ont reçu ce genre de message du support:

Ils vont restituer les items, c'est très bien ça. Cependant, les excuses ainsi que justement la restitution, est ce que ce ne sont pas des éléments qui tendraient à prouver qu'il y a bel et bien des problèmes de sécurité encore à l'heure actuelle? Parce que dans mes souvenirs, quand c'est de la faute du joueur, le support ne s'excuse pas tellement et rend encore moins les items volés ...

Depuis l’intrusion sur un de nos serveurs de juillet 2011 et les vols de comptes qui ont suivi, nous avons développé de nouveaux outils qui nous permettent d’enquêter plus efficacement sur les cas de vols d’objets suite à un vol de compte.

Grâce à ces outils, nous pouvons mieux suivre le parcours de ces objets volés, identifier les comptes sur lesquels ils ont transité, et cela nous permet dans certains cas de les rendre à leur propriétaire d’origine, la victime du vol.

À la base, compte tenu de notre politique de non rendu que vous connaissez*, nous avions prévu de ne restituer que les objets volés à cause de l’intrusion. Puis, nous avons été confrontés à des cas plus complexes, dans lesquels il n’était pas possible de déterminer avec certitude si le vol incombait à l’intrusion ou à un site de phishing, keylogger ou autre technique de vol.
Nous avons alors décidé de commencer à restituer des objets volés même si le lien avec l’intrusion n’était pas évident. Des victimes de sites de phishing ont donc pu récupérer des objets perdus, oui.

Ceci étant, ces cas restent rares (et tendent à l’être de plus en plus depuis l’instauration d’Ankama Shield) et la majorité des vols récents qui ont bénéficié d’une restitution étaient liés à l’intrusion de juillet 2011. L’explication à ces vols est simple : ces joueurs, en dépit de nos avertissements répétés, choisissent de remettre le mot de passe qu’ils utilisaient au moment de l’intrusion. Il suffit alors que les personnes mal intentionnées en possession de ces mots de passe corrompus retentent de connecter ces comptes pour les déposséder de leurs bien (à moins qu’ils n’aient activé Ankama Shield, mais ces joueurs-là cumulent généralement les imprudences).
Il y a aussi un certain nombre de cas pour lesquels le traitement et l’enquête ont été très longs, ou d’autres qui avaient envoyé leur ticket dans une mauvaise section, ralentissant leur traitement, ce qui explique les rendus tardifs.

Quoi qu’il en soit, même si nous essayons progressivement de rendre les objets volés aux victimes même en dehors du cas particulier de l’intrusion de juillet 2011, il reste des situations dans lesquelles nous refusons tout rendu. C’est le cas notamment des comptes prêtés, donnés ou vendus, bref des comptes qui ne respectent pas les règles élémentaires des CGU. Ceux-là sont pleinement responsables de leurs problèmes de sécurité.

Nous tendons donc à restituer des objets en cas de vol avec de plus en plus de souplesse mais nous concentrons notre temps et notre attention sur les problèmes des comptes sains et respectueux des règles.

* Je rappelle que si nous ne rendons pas systématiquement les objets volés, ce n’est pas par conviction profonde, mais parce que des contraintes techniques nous en empêchent (les objets ne sont pas liés dans DOFUS, donc ils peuvent être échangés, revendus, etc. et un rendu implique soit de léser le nouvel acheteur soit de dupliquer un objet, ce qui se révèle souvent nocif pour le serveur).

Sinon, pour la prochaine vague de rendu d'objets, la date n'est pas encore totalement arrêtée, mais il est probable qu'elle soit effectuée le 17 janvier prochain.

[Cirs]

Citation :

Publié par Sylfaen

Il suffit alors que les personnes mal intentionnées en possession de ces mots de passe corrompus retentent de connecter ces comptes pour les déposséder de leurs bien (à moins qu’ils n’aient activé Ankama Shield, mais ces joueurs-là cumulent généralement les imprudences).

Il aurait fallut activer automatiquement le shield sur tous les comptes. Ayant eu le shield activé sur 2/3 de mes comptes, j'ai pas fait gaffe ensuite qui avait le shield activé ou pas (surtout vu le bordel que ca à été le jour de l'activation), pour moi mes 3 comptes l'avaient. Je vous laisse deviner lequel a été vidé.

J'aurais préféré ne pas accéder a mon compte pendant 2-3 jours le temps que je débloque le shield (imaginons que si tous les comptes avaient étés protégés, ca aurait été encore plus le bordel) que de pas pouvoir jouer pendant plus d'un mois faute d’équipement.

On aimerais bien avoir ce genre de communiqué de facon officielle, avec si possible un peu plus d'informations sur ce qu'attends les voleurs (ip bannie ?)

[Taktillerix]

Citation :

Publié par zweng

Il aurait fallut activer automatiquement le shield sur tous les comptes. Ayant eu le shield activé sur 2/3 de mes comptes, j'ai pas fait gaffe ensuite qui avait le shield activé ou pas (surtout vu le bordel que ca à été le jour de l'activation), pour moi mes 3 comptes l'avaient. Je vous laisse deviner lequel a été vidé.

J'aurais préféré ne pas accéder a mon compte pendant 2-3 jours le temps que je débloque le shield (imaginons que si tous les comptes avaient étés protégés, ca aurait été encore plus le bordel) que de pas pouvoir jouer pendant plus d'un mois faute d’équipement.

On aimerais bien avoir ce genre de communiqué de facon officielle, avec si possible un peu plus d'informations sur ce qu'attends les voleurs (ip bannie ?)

Sur ce coup je vais prendre la position d'Ankama, t'es quand même sacrément gonflé de dire ça ^_^. Pour être plus précis tu es d'une extrême mauvaise foi, Ankama nous a conseillé d'activer le shield depuis sa mise en place et tu leur reproche de ne pas te l'avoir activé de force ? Et tu auras beau nier je suis prêt à parier que tu crachais sur l'activation forcée lorsqu'elle a eu lieu.

Après je ne suis pas un pro-Ankama ou pro-Shield (jusqu'à la semaine dernière je ne voulais pas en entendre parler et maintenant je suis un peu plus mitigé). Je me sens juste obligé de réagir devant cette réclamation hallucinante.

[psonlu]

Sylfaen, qu'en est il de mon cas ? Pourquoi n'ai je plus de réponses du support depuis plus de deux mois après ton intervention auprès de celui ci ?

[Stormriver]

Citation :

Publié par Sylfaen

* Je rappelle que si nous ne rendons pas systématiquement les objets volés, ce n’est pas par conviction profonde, mais parce que des contraintes techniques nous en empêchent (les objets ne sont pas liés dans DOFUS, donc ils peuvent être échangés, revendus, etc. et un rendu implique soit de léser le nouvel acheteur soit de dupliquer un objet, ce qui se révèle souvent nocif pour le serveur).

Cela dit, je doute que le joueur volé ait une quelconque considération pour le serveur vis à vis de ses objets. Mais comme tu dis, vu qu'ils ne sont pas liés (et comment le pourrait-il, vu qu'il suffit de 3 clics pour échanger un objet), pas possible de suivre l'objet jusqu'à un potentiel receleur.

[Dipx]

Citation :

Publié par psonlu

Sylfaen, qu'en est il de mon cas ? Pourquoi n'ai je plus de réponses du support depuis plus de deux mois après ton intervention auprès de celui ci ?

Tiens, au moins je suis pas le seul à qui le support ne réponds plus

J'en avais pourtant parlé à un administrateur sur la beta qui m'avait dis que c'était pas normal et qu'il allait envoyer un mail au responsable du support pour qu'il règle le problème.

Alors soit l'administrateur qui a dit ça pour faire "on s'occupe de toi" soit le responsable du support qui en à rien à carrer et qui devrait se recycler, c'est du joli

[deniaud]

Je suis comme vous, on ne s'occupe plus de moi depuis le 22 Novembre ! J'ai demandé le rendu de mes familiers, vu que je ne les avais pas récupéré lors de ma restitutions. Et toujours pas de réponse...

[Paile]

Activer le shield sur tout les comptes en même temps aurait été une erreur.

Par contre, Ankama aurait pu mieux faire :

- Passer le système en version stable, depuis le temps. Le shield toujours en bêta, ça ne fait pas sérieux quand on veut reprocher ensuite sa non-activation.

- Permettre de lier un numéro de téléphone comme certains le suggéraient, ou toute autre sécurité qui évite que copier le certificat retire toute protection

- Mieux gérer la désactivation du shield.

- Parfois l'adresse est indiquée comme ne fonctionnant pas, alors que dans les faits, elle fonctionne !
Permettre aux joueurs de valider leur adresse mail (lien à cliquer dans un mail) ou de la tester (voir si on reçoit les mails d'ankama) serait vraiment utile pour que ces joueurs là ne se privent pas du shield parce qu'ils ignorent s'ils recevront le mail (Et l'idée de passer par la case support vu ce qu'il est.. )

- Indiquer quelque part si le serveur de mail est occupé ou pas. Actuellement c'est un peu le loto. Si on tombe sur une période ou le serveur a déjà plein de mail à envoyer on peut gâcher plusieurs heures de jeu à attendre un éventuel mail qui arrive trois heures après que le code soit expiré, alors que trois jours plus tard, on l'aura en deux minutes.
Si on a pas moyen de savoir, on a pas moyen de l'éviter.
Je ne dis pas que tout les joueurs en tiendront compte s'ils savent, mais au moins, chacun aura le choix et saura s'il doit s'attendre à de l'attente ou pas.

Ca ne doit pas empêcher d'améliorer le support, et de communiquer sur les améliorations du shield/support, quand il y en a, mais là c'est encore autre chose.

[Professeur Taahd]

Pourquoi tout simplement ne pas instaurer une activation du shield et d'une surprotection du shield par telephone?

Par exemple les items seraient liés ( seront liés ceux qui sont dans l'inventaire, pas dans la banque) et en échange d'un sms reçu,envoyer un nouveau sms (je sais pas si ce système peut être gratuit) pour recevoir un code permettant de délier les items de l'inventaire.

Ou tout betement une désactivation du shield par telephone et non par mail. A moin que les hackeurs te voles ton telephone, je vois pas comment ils peuvent le désactiver