[Coquette]

Alors je reprécise les méthodes que j'ai utilisé, car j'avais déjà été piraté sur WoW alors que je ne jouais plus, et donc du coup je voulais prendre mes précautions :

- Nouveau mail crée exprès pour D3 via mon téléphone (gmail, aucun spam dessus)
- Changement du mot de passe de mon compte BNET par téléphone le jour de sortie de D3
- Mots de passe générés par un outil sur le téléphone aussi
- Mots de passe jamais tapés au clavier sur aucun PC, copier/coller
- Il n'y a rien qui sort de mon ordi sans que je le sache, firewall en mode manuel
- Ce n'est pas mon genre de tomber dans le panneau du phishing...

Et non, je pensais que tout ca suffirait amplement pour ne pas avoir besoin d'authentitruc, qui m'em***** au plus haut point à chaque fois que je me log pour jouer.

Je n'ai jamais été hack autrement que sur B.NET, malgré la pléthore de compte (bien moins protégés quand même) que j'utilise.

Bref. Problème chez eux, pas chez moi. C'est la dernière fois que je leur fais confiance.

Mes conseils pour ces messieurs de chez Blizzard, vus dans d'autres MMO :

1) séparation du compte de gestion des comptes de jeux (login/mdp différents, dont l'un des 2 pourrait être généré et fixé par B.NET)
2) enregistrement du ou des PC utilisés pour chaque compte (IP, DNS, Geoloc minimum, système) par les joueurs eux-mêmes
3) possibilité d'indiquer un planning avec des heures de jeux ou de non-jeux sur le compte
4) Historique de connexion sur le compte, option de compte de mail reçu immédiat à la moindre connexion
5) Sécuriser leur BDD, et arrêter de se foutre de notre gueule
6) Proposer un mode offline à la création d'un personnage

Bref, y en a des choses à faire.

[Demonrule]

Coquette, es-tu le seul utilisateur de ton PC ?
Car parfois, l'erreur vient du conjoint qui clique sur le mail vérolé ou du parent qui s'intéresse à une bannière publicitaire...

[Coquette]

Oui je suis le seul, je ne fais confiance à personne, et surtout plus du tout à BNET!

[solas]

0 probleme ici pas de hack pour le moment et heureusement j aurais vraiment mais vraiment pas envie de voir mon stuff actuel ce faire la malle

ps : pas d autenti truck pour le moment et wow+sc2+tout les jeux blibli sur l account.

[Uuvvww]

Nettoyage terminé.

Je rappelle à tous que ce sujet est destiné à recueillir les témoignages des joliens qui se sont fait hacker, concernant les mesures de sécurité qu'ils avaient (ou non) mises en place.

Les échanges concernant la politique de sécurité de Blizzard, et des autres éditeurs de jeu, peut se faire sur le fil : [Hack?] Inventaire, or, coffre supprimés

Pour la lisibilité de ce fil, merci d'avance.

[Demonrule]

Avant le passage de Uuvvww, j'ai eu le temps de lire un post qui critiquait le contenu de mes questions.
Désolé que l'auteur le prenne ainsi car je n'ai vraiment pas la volonté d'offenser les hackés.

Lorsque je réponds à une victime en posant une question sur le conjoint ou la mamie, c'est parce que :
1) les compétences en informatique du hackés ne figurent pas sous son pseudo et ne peuvent donc pas être préjugées
2) malgré 3 (ou plus) bonnes sécurités installées sur une machine, la faille peut venir d'un truc tout bête auquel on aura pas pensé (addon moisi dans un navigateur par exemple).
Je trouve donc pas inintéressant ni offensant de poser la question...

[Atribe]

Quelqu'un à des conseils a donner a ceux qui n'utilisent pas d'AUTH pour être le plus proche possible du risque 0?
Et sinon, l'appli n'existe pas pour Android Oo?
GG Bli²...

[Rogue Mouser]

Me suis fais "hacker" mon compte.
- PC Clean (fraîchement formaté, antivirus installé (off-line), pas de navigation ou très peu depuis ce poste dont je suis le seul utilisateur).
- Pas d'authenticator (depuis si).
- J'ai joué à WoW, arrêt en février 2011. (aucun add-on ou plug-in ou autre installé).
- Je n'ai jamais joint de partie publiques à D3 (j'ai cliqué une fois sur l'onglet que j'ai fermé voyant que je m'étais trompé).

Comment ça s'est passé :
Je jouais, deco -> message (que je ne lis pas) -> je me reco -> re deco -> message : "votre compte est utilisé depuis un autre ordinateur.
Je me log sur Bnet -> changement de pass -> je me reco sur D3 -> 1 perso vidé (celui que j'étais en train de jouer), coffre vidé, les autres persos nickel (dont mon plus gros lvl50 à qui il ne manquait qu'un casque vert crafté lvl42).
Je regarde dans l'onglet social : hormis la liste des personnes que je connais, apparait un ewkewk3 dont le profil contient 2 persos lvl 1 (un barb ffffff et un féticheur qsqsqs).
J'ai envoyé une requête à Blizzard pour récupérer mon compte.
Je leur ai signalé l’acompte qui m'avait (a priori) piqué mon stuff.
Réponse :
- Ce compte est un compte écran : le gars m'a expliqué que ça ne correspondait pas à un compte réel (je n'ai pas cherché à comprendre ce qu'il entendait par là ???).
- Mon compte m'a été redonné (à une date d'approximativement 24 heures).
- Le tout en 3 heures et un échange téléphonique (de 10 minutes à 9 heures du matin).

Note 1 :
Blizzard a (très certainement / peut-être) des défauts et des failles, mais il ont été (pour moi) très efficaces et super aimables.

Note 2 :
Les alertes SMS ? Je n'en vois pas bien l'utilité (genre t'es au resto : "Votre compte Bnet s'est fait piraté, bon appétit...").
L'authenticator (le gratuit de bnet) ? ça me parait plus sécurisé que sans (sous réserve que les clefs privées de blizzard ne soient pas du domaine public ...).

[Yuyu]

Citation :

Publié par Coquette

Alors je reprécise les méthodes que j'ai utilisé, car j'avais déjà été piraté sur WoW alors que je ne jouais plus, et donc du coup je voulais prendre mes précautions :

- Nouveau mail crée exprès pour D3 via mon téléphone (gmail, aucun spam dessus)
- Changement du mot de passe de mon compte BNET par téléphone le jour de sortie de D3
- Mots de passe générés par un outil sur le téléphone aussi
- Mots de passe jamais tapés au clavier sur aucun PC, copier/coller
- Il n'y a rien qui sort de mon ordi sans que je le sache, firewall en mode manuel
- Ce n'est pas mon genre de tomber dans le panneau du phishing...

Et non, je pensais que tout ca suffirait amplement pour ne pas avoir besoin d'authentitruc, qui m'em***** au plus haut point à chaque fois que je me log pour jouer.

Je n'ai jamais été hack autrement que sur B.NET, malgré la pléthore de compte (bien moins protégés quand même) que j'utilise.

Bref. Problème chez eux, pas chez moi. C'est la dernière fois que je leur fais confiance.
[...]

Même chose que toi et j'ai perdu un vieux compte WoW l'année dernière alors qu'il était plus utilisé, les logins et le jeux n'étaient plus utilisés depuis belle lurette (pas de perte de Diablo pour le moment, mais j'ai acheté à prix réduit justement parce que je perdrais certainement ce compte vu que j'ai pas confiance en Bnet)

Et comme toi, 0 perte de compte sur aucun autre support que Bnet et pourtant j'en ai une bonne 50 aine de login/mdp en tout genre depuis 10 ans.
Donc bon après ce n'est pas une preuve en soit, mais au moins mon avis personnel sur Bnet, il est fait.

Pour ceux qui veulent s'investir sur des jeux Bnet de Blizzard, je leur conseil sincèrement d'utiliser un authentificator.

[Nysza]

Z'êtes pas cohérents. Soit c'est de leur faute et l'auth vous fera une belle jambe, soit pas et c'est pas de leur faute

[kerloken]

Citation :

Publié par atribe

Et sinon, l'appli n'existe pas pour Android Oo?
GG Bli²...

L'application existe sur Android, disponible sur le Google Play ou depuis le site Battle.net

[Yuyu]

Citation :

Publié par Nysza

Z'êtes pas cohérents. Soit c'est de leur faute et l'auth vous fera une belle jambe, soit pas et c'est pas de leur faute

Il n'y a aucune incohérence.
Même si faille il y a sur le client de jeu Diablo ou Bnet, un compte lié à un authenticator ne peut pas être log sans l'avoir.

[Nihalsin]

Citation :

Publié par Yuyu

Il n'y a aucune incohérence.
Même si faille il y a sur le client de jeu Diablo ou Bnet, un compte lié à un authenticator ne peut pas être log sans l'avoir.

Oui, mais il n'y à aucune faille

La faille se trouve quelques part, si un mec ta volé un compte wow plus ouvert depuis 1 ans c'est qu'il est tombé sur le bon mot de passe en fuinant dans tes mails par exemples.

Rapelle toi du temps de DAoC les volent de compte des gens ayant lié leur compte à msn/hotmail ou il suffisait de répondre à une question secrête souvent bidon pour reset le mot de passe...

[Nysza]

Citation :

Publié par Yuyu

Il n'y a aucune incohérence.
Même si faille il y a sur le client de jeu Diablo ou Bnet, un compte lié à un authenticator ne peut pas être log sans l'avoir.

Si il y a une faille sur le client, le mec se log pas
S'il y a une faille sur le site Binette ouai c'est cool.

edit : il est peu probable qu'il y ait une faille, mais tu ne peux rien exclure, jamais.
Exclure une hypothèse, c'est aussi con que dire que c'est forcément de la faute de blizzard. Dans les deux cas, t'es une autruche. Et cacher sa tête dans le sable, ça a jamais sauvé personne.
J'comprends que les gens avec un pc blindé et un authenticator veuillent se rassurer, mais non, y a pas de risque zéro.

[Rogue Mouser]

Pour ce qui est de l'authicator, si faille il y a (ou il pourrait y avoir), elle ne vient pas de ton smart phone (pour vérifier, tu le passe en mode "avion" et tu génère ton code) : là c'est impossible d'intercepter quoi que ce soit en provenance de ton smart phone.

[Geglash]

Citation :

Publié par Mixo`

Toutes ces personnes ont WoW en commun non ? Ça leur apprendra. :>
Ou y a des cas de compte avec D3 uniquement ou SC2 + D3 sur le compte B.Net ?

Perso, j'ai été hacké sur mon compte avec SC2 et WarIII, ils devaient l'avoir mauvaise car j'ai retrouvé mon compte avec la Protection Parentale d'active (obligé d'envoyer un scan de ma carte d'identité pour la retirer alors que rien ne doit être demandé pour la mettre ), probablement pour qu'ils soient informés lorsque j'ajoute un jeu.

[Mr.T]

Citation :

Publié par Tonyoh

vous aviez des mots de passee simple ?

13 caractères du genre sfsf56fqsf6zer et pas d'authenticator avant le hack

Cpte Bnet uniquement pour SC2 et D3 et mail associé utilisé que pour cela

Et mon mdp est unique à Bnet

[Nihalsin]

Un keylogger keylog tout, simple comme compliqué.

[Cefyl]

Quitte à keylogger, je capte pas pourquoi les mecs n'utilisent que les mots de passe de D3 alors qu'ils ont du chouraver des mots de passe Ebay, Paypal, email etc.....

[Nysza]

Citation :

Publié par Cefyl

Quitte à keylogger, je capte pas pourquoi les mecs n'utilisent que les mots de passe de D3 alors qu'ils ont du chouraver des mots de passe Ebay, Paypal, email etc.....

Parce qu'il y a aucun risque de poursuite en pratique, après tout c'est juste des pixels

[Eyce Karmina]

Citation :

Publié par Cefyl

Quitte à keylogger, je capte pas pourquoi les mecs n'utilisent que les mots de passe de D3 alors qu'ils ont du chouraver des mots de passe Ebay, Paypal, email etc.....

Si ils se font détecter, ce sera par Blizzard qui se contentera de les ban. Les $ engrangés (en dehors de la plateforme Blizzard) ils les conservent, vu que leurs clients ne feront jamais opposition.
Si ils se font détecter sur des transactions bancaires, les comptes utilisés qui ont encore des $ sont bloqués/vidés : ils perdent de l'argent.

[Hemphta]

.

[Okaz]

Citation :

Publié par atribe

Quelqu'un à des conseils a donner a ceux qui n'utilisent pas d'AUTH pour être le plus proche possible du risque 0?
Et sinon, l'appli n'existe pas pour Android Oo?
GG Bli²...

Jamais eu de problème de Hack avec Blizzard ou autres alors que j'ai jamais eu d'authentificateur et que des parties public avec des random j'en ai fais des tonnes (+de 60 heures , avec des pseudos chinois ou autres) et évidemment je suis loin d'être le seul.

3 sources d'infection qui peuvent être évité facilement :

L'addon No script de firefox permet de limiter la casse contre des sites internet vérolés.
Éviter de se rendre sur des liens pas safe concernant Blizzard plus particulièrement ceux qui prône une méthode pour tricher.

Ne jamais répondre à des mails provenant de Blizzard, les ouvrir que si il le faut vraiment en mode sécurisé avec que du texte : même une simple image peux contenir un virus.
Ne jamais s'inscrire sur un site avec le même mot de passe ou email que son compte battle.net et ne jamais le diffuser.

[Alsid]

Citation :

Publié par Mr.T

13 caractères du genre sfsf56fqsf6zer et pas d'authenticator avant le hack

Cpte Bnet uniquement pour SC2 et D3 et mail associé utilisé que pour cela

Et mon mdp est unique à Bnet

Je te conseille d'ajouter des maj et des §%?, a ton mot de passe.

[Yuyu]

Citation :

Publié par Nihalsin

Oui, mais il n'y à aucune faille

La faille se trouve quelques part, si un mec ta volé un compte wow plus ouvert depuis 1 ans c'est qu'il est tombé sur le bon mot de passe en fuinant dans tes mails par exemples.

Rapelle toi du temps de DAoC les volent de compte des gens ayant lié leur compte à msn/hotmail ou il suffisait de répondre à une question secrête souvent bidon pour reset le mot de passe...

Ayant travaillé plusieurs année dans l'administration informatique, tu crois quand même pas que je stock mes mots de passe/login ailleurs que dans ma mémoire ?
Et les questions secrète même moi je ne peux pas y répondre, je met toujours n'importe quoi en réponse, j'estime que le login/mdp est la seule chose qui bloque réellement l'accès à un compte (et c'est le cas, 1 couple login/mdp perdu sur une 50 aine en plus de 10 ans).

La perte d'un compte non utilisé depuis plus de 6 mois, pour moi c'est clairement un indicateur qu'il y a une grande probabilité d'un problème côté Blizzard, en particulier Bnet, vu que ça exclu toute récupération côté client/joueur, mais biensûr ça reste mon avis personnel.

Enfin bon, qui travaillant en informatique serait assez con pour demander de mettre un login potentiellement connu de personnes tiers en imposant une adresse email ? C'est franchement inconcevable à mes yeux de faire ça, c'est une porte ouverte en faisant délibérément sauter un verrou de sécurité et réduisant donc tout à un simple mot de passe (même pas case sensitive, c'est dire comment ils s'en foutent de la sécurité).

On pourrait au final presque être parano et croire que Blizzard a volontairement réduit sa sécurité pour forcer les joueurs a débourser encore plus d'argent avec les authentificator (je rigole évidement et je conseil fortement leur utilisation, c'est très fiable)