[TonighT]

Moi ce que j'aimerais également savoir c'est si les personnes hackées ont joué à la version beta. Et si oui, est ce que leur login/mdp était le même que sur la version finale.


J'imagine que les hackers ont commencés à regarder les failles (ou le phishing à l'époque) dés la beta ce qui leur a donné une longueur d'avance lorsque la version finale est sortie : ils avaient déjà tout ficeler et on pu se mettre en action seulement quelques jours aprés le lancement du jeu (le temps que certains pgm montent bien leurs persos).


Pour la "force brute", il me semble que le compte doit se verrouiller aprés X tentatives donc j'y crois pas...

[Varghas]

J'pense qu'on a plus ou moins tout les options possibles. Après chacun a sa préférée.

On en saura plus avec le temps.

Question pour ceux qui se sont fait hack: Utilisez vous souvent les mêmes MDP?

[Tête de Cornet]

Citation :

Publié par Varghas

J'pense qu'on a plus ou moins tout les options possibles. Après chacun a sa préférée.

On en saura plus avec le temps.

Question pour ceux qui se sont fait hack: Utilisez vous souvent les mêmes MDP?

Ouais enfin les serveur d'auth c'est les même que ceux de wow, ils ont pas attendu l’intervalle entre la bêta et la release de diablo pour les sécuriser.

[Nysza]

Les serveurs ouai, le client non. Les paquets n'étaient pas cryptés entre le jeu et le serveur, sur la béta, et le warden était offline. à priori ça permet pas le vol de compte sous authenticator si ça a été corrigé depuis la béta (tout ce que tu pouvais piquer c'est la session ID). Evidemment, c'est un SI, j'ai pas les compétences pour vérifier que ça a changé

[Mr.T]

Citation :

Publié par Varghas

J'pense qu'on a plus ou moins tout les options possibles. Après chacun a sa préférée.

On en saura plus avec le temps.

Question pour ceux qui se sont fait hack: Utilisez vous souvent les mêmes MDP?

Non et c'est du type sdfsdfsd5zer2 (12 caractères), et je suis même jamais allé sur les forums Bnet....

[Harest]

Citation :

Publié par Nysza

Les paquets n'étaient pas cryptés entre le jeu et le serveur, sur la béta

Pour avoir analyser vite fait les packets qui transitent, là c'est crypté. Et j'avais vu passer les infos sur l'authentification, le mot de passe n'est pas transmis en clair à la connexion.

Edit : Aucune idée pour ce truc anti-cheat, j'ai rien vu là-dessus. Et je me doute oui, j'ai vu des trucs particuliers à un moment, le fameux "salt" (ou grain de sel) qui était en clair, mais c'était le mien à priori.

[Nysza]

Citation :

Publié par Harest

Pour avoir analyser vite fait les packets qui transitent, là c'est crypté. Et j'avais vu passer les infos sur l'authentification, le mot de passe n'est pas transmis en clair à la connexion.

Le mot de passe a jamais été transmis en clair, à priori. Même blizzard ne ferait pas ça.
J'pensais plus à l'ID de session dont on parlais avant, qui si c'est pas crypté, doit être facile à chopper. Après, si tu dis que ça l'es, cool
Et le warden, rumeur aussi ?

[itoma]

Je me suis fait "hack" mon compte :
-Mot de passe unique dédier a diablo3
-N'ai participé a aucun fansite ou autre
-Pas d'authencicator
-Je n'ai pas participé a la beta fermée
-J'ai participé a la beta ouverte
-Ne n'ai répondu a aucun mail concernant diablo (d'ailleur c est uniquement une adresse mail de reception)
-J'ai un compte rift avec la même adresse mais mot de passe différent
-uniquement le dernier perso logé et uniquement le matos équipé et l'or ont disparu
-La création de mon compte bnet et l'achat de diablo s'est fait directement sur la page eu.battle.net qui est bien après whois un domaine déposé par blizzard
-Aucun malware détecté (spybot, windows SE, malwarebytes, firewall windows)
-Perso acte 4 en normal, perdu 20K et mon matos équipé
-Mot de passe de plus de 10 caractères minuscules majuscules chiffres et ponctuation

Le fishing me semble exclu, le malware peu probable mais je continu a chercher, l'adresse mail ne semble pas compromise.

J'ai changer tous mes mdp, encore plus gros, pris un authenticator android, et passe des scans autant que je peux sur ma machine

[Nysza]

-uniquement le dernier perso logé et uniquement le matos équipé et l'or ont disparu

ça c'est intéressant tu vois, ce genre d'infos, y a moyen que ça apprenne des trucs.
Et ça discrédite violemment la thèse du vol de login classique. Y a aucune raison de ne pas vider tous les persos

[Harest]

Sauf si c'est le seul perso du compte. Et le coffre pas touché ou y'avait rien dedans ?

*Sinon, on dit Phishing (ou "hameçonnage" en français, ouai je sais, c'est classe ; y'a même "filoutage", pour le sacré filou que tu es).

[Nysza]

Citation :

Publié par Harest

Sauf si c'est le seul perso du compte. Et le coffre pas touché ou y'avait rien dedans ?

*Sinon, on dit Phishing (ou "hameçonnage" en français, ouai je sais, c'est classe ; y'a même "filoutage", pour le sacré filou que tu es).

S'il a accès à un perso, il s'y co, ou alors il tape dans la DB et blizzard aura coulé dans un mois, donc il a accès au coffre
Si c'était le seul perso, je doute que le monsieur aie précisé

[Geglash]

Citation :

Publié par Harest

Ben non justement. Si quelqu'un se co à ton compte et te vole, Blizzard le verra (cf. messages votre compte a été piraté, blabla). Là y'a des types qui se sont fait volés, mais d'après Blizzard, non, RAS.

Et aussi le fait que pas mal de personnes rapportent que juste un seul de leurs persos (le dernier avec lequel ils étaient co) s'est retrouvé a poil, parfois même pas le plus haut lvl.

[Pinpux]

Ouais il faut pondérer un peu le fait qu'un seul perso soit vidé.

N'oubliez pas que, quel que soit le perso connecté vous avez accès au coffre et à la tune de l'ensemble des persos et donc, dans 80 ou 90% des cas à tout ce qu'il y a d'intéressant à chopper.

Parce que l'intérêt d'un pirate à aller logguer chaque perso pour gagner 500po de plus de vente aux marchands il est quand même très limité, surtout s'ils sont des grosses listes de comptes à traiter.

Rendement temps passé sur le hack / or récupéré tout ça ....

[Shuggananas]

On retient le "pas d'authenticator" quand même.

[Harest]

Ça encore ça peut s'expliquer par le fait que se soit un bot qui pille les comptes.

Edit @dessous : Ah je voulais tester ça justement, c'est vraiment illimité, y'a même pas de temps d'attente avant un autre essai qui augmente ou autre ? Lulz quoi. Security? What's this word?

[Emmanuela]

Deja ce qui est absolument inadmissible au jour d'aujourd'hui c'est le nombre de tentatives illimitées ET le fait que les mdp ne SOIENT PAS case-sensitive.................

La vente d'authentificator pour contrecarrer les logins mal intentionnés ca fait un peu : on est des billes en sécurité alors on vous vend un ptit truc en plus !


Et les champignons c'est signé DéDé !

[Nysza]

Citation :

Publié par Pinpux

Ouais il faut pondérer un peu le fait qu'un seul perso soit vidé.

N'oubliez pas que, quel que soit le perso connecté vous avez accès au coffre et à la tune de l'ensemble des persos et donc, dans 80 ou 90% des cas à tout ce qu'il y a d'intéressant à chopper.

Parce que l'intérêt d'un pirate à aller logguer chaque perso pour gagner 500po de plus de vente aux marchands il est quand même très limité, surtout s'ils sont des grosses listes de comptes à traiter.

Rendement temps passé sur le hack / or récupéré tout ça ....

J'ai juste mes gemmes, dans mon coffre, tout le matos intéressant (dont du légendaire) est sur mes persos. Surtout que là on parle de cas où c'est pas le plus haut level ...

Et pour l'hypothèse du bot ... Coder un bot qui appuie sur switch character et qui va cliquer le 2e perso dans la liste, j'pense qu'en quelques coups de google, je te trouve ça. Les mecs, l'informatique, c'est pas limité par des boutons à cliquer, hein

EDIT : le bruteforce c'est complètement dépassé. à part à tester des mots du dictionnaire/grand classiques. Mais si vous vous faites avoir sur ça, vous méritez pas votre matos, donnez moi le de suite !
Plus personne ne bruteforce à part pour les systèmes où la taille du mdp est limitée (systèmes où en général, t'as des limites d'essais).

[Merowym]

toujours pas de preuve de hack avec authenticator...
malheureusement, tant qu'il n'y en aura pas de solides, l'hypothèse de la responsabilité de l'utilisateur reste la plus vraisemblable.
Ce qui est gênant, c'est que le message officiel de Blizzard explique que c'est somme toute "normal" pour un le lancement d'un jeu très attendu, mais alors dans ce cas pourquoi ne pas avoir pris des mesures un peu plus sérieuses pour prévenir ce genre de mésaventures?
Rendre l'authenticator obligatoire, limiter le nombre de tentatives de connections, etc.
j'avoue ne pas trop m'y connaître, mais j'ai cette impression qu'on accable pas mal les victimes et qu'on dédouane les hackers en considérant leurs méfaits comme "normaux" en considérant qu'ils sont dans leur rôle. Un peu comme la façon dont on se permet de dire à une victime d'une agression qu'elle l'a bien cherchée en montrant trop de signes extérieurs de richesse...Or, la plupart des victimes est certainement de bonne foi quant à leurs habitudes sur le net et la santé de leur pc avant l'attaque.
Heureusement, la comparaison s'arrête là car il ne s'agit que de pixels et d'heures de jeu.

[Harest]

Citation :

Publié par Nysza

Les mecs, l'informatique, c'est pas limité par des boutons à cliquer, hein

You don't say?

D'autant que c'est pas des clics là, c'est des requêtes qui sont envoyées. Mais je disais ça car j'imagine qu'ils font ça le plus rapidement possible. Et que de toute façon le coffre est partagé. M'enfin s'il n'est pas touché, y'a pas mal de différences suivant les vols quand même.

Citation :

Publié par Merowym

Rendre l'authenticator obligatoire

J'veux bien que tu m'en paies un.

[Dawme]

J'ai été aussi "hack" et je suis sur à 100% qu'il y a une énorme faille chez blizzard ou que la db users de battle.net a été compromise et je vais vous expliquer pourquoi.

Ca s'est produit ce matin, je jouais quand j'ai eu la boite de dialogue qqun se connecte depuis un autre ordinateur et j'ai été kick (déjà c'est n'imp ça mais bon). J'ai compris ce qui se passait immédiatement et j'ai été sur le site b.net mais entre temps j'ai reçu un mail de changement de mot de passe.

Aprés avoir téléphoné et juste donné mon mail/prénom/nom, mon compte a été reinit et mon perso restauré. Le truc de ouf c'est que d'aprés le mec au tel, la personne a pu changer mon mot de passe car elle connaissait la réponse à ma question secréte. Sauf que j'ai mis cette réponse y a 3 ou 4 ans et que même moi je ne me souvenais pu de comment elle s'écrivait. Comment est ce possible qu'un hacker, même avec un keylogger trojan whatever puisse avoir cette réponse ? Ca ne l'est pas.

Inutile de préciser que je n'ai aucun virus sur mon pc, que je suis dérrière un routeur de toutes façons, et que c'est la seule occurence de "hacking" alors que je joue online depuis 15 ans.... et comme par hasard ça arrive en ce moment où y a des milliers de comptes qui se font "hack" sur D3 depuis 48h, mais c'est une pure coincidence sans doute.

On peut croire ce qu'on veut, je veux bien imaginer qu'un mec ait pu recup mon mot de passe éventuellement mais la réponse à la question secréte, c'était introuvable sans un problème de sécurité côté blizzard.

[Shuggananas]

Citation :

Publié par Emmanuela

Deja ce qui est absolument inadmissible au jour d'aujourd'hui c'est le nombre de tentatives illimitées ET le fait que les mdp ne SOIENT PAS case-sensitive.................

La vente d'authentificator pour contrecarrer les logins mal intentionnés ca fait un peu : on est des billes en sécurité alors on vous vend un ptit truc en plus !


Et les champignons c'est signé DéDé !

Gratuit sur smartphone faut le répéter combien de milliers de fois ?

[Nysza]

Citation :

Publié par Merowym

toujours pas de preuve de hack avec authenticator...
malheureusement, tant qu'il n'y en aura pas de solides, l'hypothèse de la responsabilité de l'utilisateur reste la plus vraisemblable.
Ce qui est gênant, c'est que le message officiel de Blizzard explique que c'est somme toute "normal" pour un le lancement d'un jeu très attendu, mais alors dans ce cas pourquoi ne pas avoir pris des mesures un peu plus sérieuses pour prévenir ce genre de mésaventures?
Rendre l'authenticator obligatoire, limiter le nombre de tentatives de connections, etc.
j'avoue ne pas trop m'y connaître, mais j'ai cette impression qu'on accable pas mal les victimes et qu'on dédouane les hackers en considérant leurs méfaits comme "normaux" en considérant qu'ils sont dans leur rôle. Un peu comme la façon dont on se permet de dire à une victime d'une agression qu'elle l'a bien cherchée en montrant trop de signes extérieurs de richesse...Or, la plupart des victimes est certainement de bonne foi quant à leurs habitudes sur le net et la santé de leur pc avant l'attaque.
Heureusement, la comparaison s'arrête là car il ne s'agit que de pixels et d'heures de jeu.

Nan, c'est valable aussi pour tout plein de services autres que des jeux, en ligne. Avec de l'argent à la clef.

Mais heureusement, ce genre de service teste leur sécurité (en engageant des mecs qui ont fait du hack avant ), ne sors pas de beta non cryptée (les hackers ont dû apprendre énormément de choses), etc ... L'industrie du jeu vidéo est vraiment pas pro, parce que, eh c'est juste du temps de jeu.

EDIT : les smartphones c'est gratuit ? Chez moi, c'est cher
(Elle marche sans internet, avec juste un réseau téléphone leur appli d'ailleurs ?)
Et surtout, surtout, j'ai pas de fixe. Si je pète mon téléphone/il tombe en rade (ça arrive, les tel récents sont pas super robustes), je peux pas appeler l'assistance technique pour débloquer mon compte ... J'ai plus de téléphone pour appeler
C'est malin hein ? >_<

[Merowym]

je suis d'accord avec le coup du prix de l'authenticator, je pense qu'il (la version gadget) devrait être compris dans l'achat du jeu, je trouve anormal qu'il y ait un surcout pour finalement quelque chose d'essentiel à la sécurité du compte.
ou alors un système de sms comme il en existe pour certains services bancaires comme westernunion par ex?

[Nysza]

Citation :

Publié par Merowym

je suis d'accord avec le coup du prix de l'authenticator, je pense qu'il (la version gadget) devrait être compris dans l'achat du jeu, je trouve anormal qu'il y ait un surcout pour finalement quelque chose d'essentiel à la sécurité du compte.
ou alors un système de sms comme il en existe pour certains services bancaires comme westernunion par ex?

S'il faut que j'envoie un sms à chaque fois que je me log, ça va être drôle

[Tête de Cornet]

Citation :

Publié par Dawme

J'ai été aussi "hack" et je suis sur à 100% qu'il y a une énorme faille chez blizzard ou que la db users de battle.net a été compromise et je vais vous expliquer pourquoi.

Ca s'est produit ce matin, je jouais quand j'ai eu la boite de dialogue qqun se connecte depuis un autre ordinateur et j'ai été kick (déjà c'est n'imp ça mais bon). J'ai compris ce qui se passait immédiatement et j'ai été sur le site b.net mais entre temps j'ai reçu un mail de changement de mot de passe.

Aprés avoir téléphoné et juste donné mon mail/prénom/nom, mon compte a été reinit et mon perso restauré. Le truc de ouf c'est que d'aprés le mec au tel, la personne a pu changer mon mot de passe car elle connaissait la réponse à ma question secréte. Sauf que j'ai mis cette réponse y a 3 ou 4 ans et que même moi je ne me souvenais pu de comment elle s'écrivait. Comment est ce possible qu'un hacker, même avec un keylogger trojan whatever puisse avoir cette réponse ? Ca ne l'est pas.

Inutile de préciser que je n'ai aucun virus sur mon pc, que je suis dérrière un routeur de toutes façons, et que c'est la seule occurence de "hacking" alors que je joue online depuis 15 ans.... et comme par hasard ça arrive en ce moment où y a des milliers de comptes qui se font "hack" sur D3 depuis 48h, mais c'est une pure coincidence sans doute.

On peut croire ce qu'on veut, je veux bien imaginer qu'un mec ait pu recup mon mot de passe éventuellement mais la réponse à la question secréte, c'était introuvable sans un problème de sécurité côté blizzard.

Ou alors le type qui t'a eu au sav t'as raconté de la merde. Ou si c'était une question facile, le gars qui t'as "hacké" a essayé plusieurs fois avant de trouver.