[Anubis59]

Moi j'ai pris l'authentificateur pour mobile. Sur une tablette, ça fonctionne niquel et j'ai rien payé. Mais bon, reste à voir si c'est efficace.

[Falith]

Citation :

Publié par Anubis59

Mais bon, reste à voir si c'est efficace.

Ca permet de fermer les yeux sur le problème puisqu'on ne le voit plus mais c'est efficace.
Ton email/pass sera tout autant dans la nature, comme les pros de la sécurité sur ce forum qui sont tellement plus doués que les hackés, mais ton compte ne sera pas volé.

[hezekyel]

Même si Blizzard n'a aucune faille, ils restent fautif du manque de com...
Ils sont conscient que leur jeu est pris pour cible mais ils en informent pas les joueurs.
Un mail pour avertir que leur MDP/boite mail sont compromis et qu'il faudrait ratacher leur compte à une autre adresse mail (unique si possible) avec un nouveau MDP et si le joueur a la possibilité d'y rattaché un authentificator, ils pourraient le faire ça... C'est un auto mail, ça leur couterai rien, sauf le prix de vente d'un authentificator...

PS : http://www.jeuxvideo.com/forums/1-15...e-blizzard.htm

[Asterra]

Citation :

Publié par Camélia

...
Après à ma connaissance les seuls points qui auraient pu être améliorables c'est peut-être quelques mises à jour genre flash (elles ne sont pas automatiques, je les fais quand j'y pense, par contre celles de l'OS sont faites dès qu'elles sont disponibles)....

Une machine ne peut être déclarée comme raisonnablement sécurisée avec des plugins (flash, pdf, etc) non à jour. Ne pas les mettre à jour, c'est laisser une énorme porte ouverte

Beaucoup de gens focalisent sur l'antivirus, antimalware alors que la régle n°1 , c'est une machine à jour, pas seulement l'OS mais aussi tous les softs qui tournent dessus.

Un coup de Secunia PSI permet par exemple de se faire une idée de l'état de sa machine et des vulnérabilités présentes (du moins celles qui sont connues)

[Scofflard]

Devant tout le tintouin de ce thread j'ai pris un Authenticator version "PC" que j'ai planqué sur mon PC et qui demande de rechercher un xml que j'ai également planqué ailleurs. Une fois le XML trouvé, ça demande un mot de passe compliqué que je n'ai noté que sur format papier et celà me donne ensuite le numéro "Authenticator" qui change à chaque login.

En gros le mec doit passer 4 niveaux de sécurité avant de réussir son "hack".

Pour que l'on choppe mon compte il faut :

Un keylogger + logiciel pour spy.

Par contre il y a un risque tout con, c'est le soft en lui même, car "unofficial" ca ce trouve je vais me faire niquer par ça mais pour l'instant ca fait 4-5 jours et rien d'anormal.

[Hourk]

Citation :

Publié par Von

A mon avis c'est assez simple. Les nouveaux joueurs qui n'avaient pas de compte Bnet sont peu sécurisés, pas d'authenticator, mot de passe probablement redondant avec d'autres sites, genre hotmail, et une protection de l'ordinateur faible. Pour les autres qui jouaient à WoW, ils sont simplement infectés depuis un moment sans le savoir, ou l'ont été récemment.

Citation :

Publié par Von

Je ne parle pas de cas particulier, mais de la situation générale.

Les mails de phishing sont à mon avis très efficaces pour un grand nombre de nouveaux joueurs.

J'ai l'impression de lire un conseiller de l'assistance de Free.

Je comprends mieux pourquoi certains pensent que c'est de notre faute si on c'est fait hack :/

[Sakizama]

Tu voulais dire

Citation :

Publié par Hourk

J'ai l'impression de lire un conseiller de l'assistance de Blizzard

?

[Cycahus]

Bah osef de se faire hack, blizzard te rollback dans l'heure, maintenant qu'ils sont rodés ça a l'air de très bien marché. Sans punir les hackers bien sûr, en fait c'est pour les aider à fixer un prix au million de gold, pour l'instant les golds seller le font à 15€ (et oui l'inflation, tout ça tout ça), on devrait arriver dans les 5€ chez blizzard le 13

[Sakizama]

Heu perso moi j'attend encore le rollback car le compte à été bloquer je vais devoir régler ça au téléphone je sens.

[Camélia]

Citation :

Publié par Asterra

Une machine ne peut être déclarée comme raisonnablement sécurisée avec des plugins (flash, pdf, etc) non à jour. Ne pas les mettre à jour, c'est laisser une énorme porte ouverte

A ce moment là tu peux pousser le raisonnement encore plus loin, les mises à jour de sécurité sortent lorsqu'un soucis est découvert, mais ce n'est jamais immédiat, c'est la même chose pour les bases des signatures virus.

L'autre soucis c'est qu'en général ce genre de logiciel / plugin ne recherche des mises à jour que tous les X jours, donc on n'est jamais prévenu lors d'une mise à jour critique à moins de suivre l'actualité, ce qu'à peu près personne ne fait. Pour Flash Player la recherche se fait tout les 7 jours par défaut, et au minimum.

D'ailleurs lors de certaines analyses KIS peut prévenir des logiciels / plugins présentant un certain risque et dont une mise à jour est recommandée (un exemple récent). Je ne sais pas à quel point c'est réactif mais j'en ai déjà lancé plusieurs suite à ça.

[X3k0]

Citation :

Publié par Sangrifeld

Une attaque par dictionnaire, c'est avec une liste des mots de passes les plus utilisés, éventuellement avec des chiffres derrière. ou plein de méthodes fréquemment utilisées par les utilisateurs pour masquer leur mot de passe.
Les pirates ne vont pas s’amuser à tester chaque combinaison de caractère une par une.

Comme je viens de dire juste avant:

Vaut mieux pour un pirate qui veut du rendement tester 500 000 mots de passe sur chacun des 3600 mots de passe cryptés en 1h, que de tester neuf cents mille milliards de combinaisons possibles sur un seul compte...

Si quelqu'un a mit martine54 en mot de passe, par exemple, le pirate trouvera facilement le mot de passe via dictionnaire si ce dernier prend en compte des chiffres derrière les mots de passes les plus fréquents par exemple alors qu'en vrai brute force, en testant absolument toutes les possibilités, ça serait juste trop long.

Je sais ce que c'est une attaque par dico. Mais ça reste des "mots". Donc encore une fois, ça limite pas mal la casse puisque une bonne partie des joueurs se trimbalent avec des mots de passe qui veulent rien dire. Ou bien écrit en 1337.

Après, faut savoir quelque chose d'important. C'est que un mot de passe fort, avec on va dire 16caractères du type "Er15D!mD@iup15Az" sera moins long à déchiffrer qu'un mot de passe plus simple à retenir mais un peu plus long type "MaisonChevalPoneyRose".

Tout ça pour souligner que la difficulté du mot de passe n'a aucune valeur puisque dans tous les cas, le "pirate" tentera de le deviner par dico (mots simples, type azerty, cacahuète...). Ou bien par Bruteforce si il est téméraire et a accès à un super calculateur.

Ce qui m'amène à conclure que, dans la majorité des cas de hacks, le problème vient sans nul doute des joueurs qui protèges mal(infectent eux même) leurs pcs.


Après, faut être honnête, si les pirates avaient accès à la base de données de Blizzard et si les infos étaient simples à récupérer. Ils se seraient fait une liste de compte bancaire depuis un moment déjà.

[Njuk]

Citation :

Publié par Eno

Blizzard n'a pas votre mot de passe et n'a aucun moyen de l'avoir.

Bien sur que si il l'a , mais pas en clair ( enfin j'espère ).
Toujours est il que si tu me dump leurs login/pw, je suis capable de te retrouver 100 password de compte par jour sans problème.

[Von]

Citation :

Publié par Hourk

Je comprends mieux pourquoi certains pensent que c'est de notre faute si on c'est fait hack :/

Il dit qu'il voit pas le rapport.

Enfin, la propension de certains à pointer du doigt au lieu de se pencher sur leur propre sécurité me laisse rêveur...

[hezekyel]

A partir de quel proportion de joueur hacké commencerez vous à croire que Diablo 3 a une faille?
Se n'est pas une question ironique, loin de là... Juste que je trouve abusé d'affirmer que Diablo 3 ne comporte aucune faille...

Pour ceux qui affirme que l'utilisateur est en cause à 100%
Si le hackeur possède le mail et le MDP, si le login était diffèrent du mail il y aurai déjà beaucouuuuuuuuuup moins de hack...
Sur le mail de Blizzard confirmant le changement de mot de passe ou d'adresse mail, pour ma part, c'est mon prénom qui apparait, pas mon login...
Même si certain ne seront pas d'accord, pour moi, il s'agit d'une faille...

En 3 week-end, 3 grandes vagues de hack... A un moment, Blizzard aussi devrai se remettre en question...

[gheed]

Moi je vois ça comme un vol de vélo, alors forcement si on vous vole votre vélo, c'est pas votre faute.

Par contre si vous mettez pas d'antivol, ou que vous mettez un antivol bas de gamme, ou que le vélo traine dans un quartier dangereu, c'est des risques qu'on peut facilement éviter, je vois ça pareil pour le hack.

Alors en plus quand on lit "font chié blizzard je me suis fait hack", c'est un peu se foutre du monde.

Citation :

Publié par hezekyel

A partir de quel proportion de joueur hacké commencerez vous à croire que Diablo 3 a une faille?

Moi jamais, un peu de sérieux quand même, mais y a déjà plein de paranos.

[Panzerjo MILKS]

Deux choses par rapport au brute force.
Soit la personne a accès à la BD, (un dev) et tente de générer une rainbowtable pour hacker un max de compte. Cela consite en gros a générer toutes les combinaisons possible de caractère pour obtenir tous les hash possible. Cela peut certes marcher. Mais si Blizzard n'est pas trop bête, il suffit d'avoir ajouter un "sel" au hash des mdp. En gros, on ne hash pas le password tel quel, mais on le modifie avant, ce qui rend alors les rainbowtable bien plus mais alors bien plus compliqué à mettre en place.
Alors est ce que Blizzard a rajouter un seul sur leur hash, est ce que la méthode de sel qu'ils ont utilisé est pertinente, j'en sais rien du tout. Ca ne serait pas les premiers à ne pas le faire, ou le faire d'une mauvaise manière, mais depuis les hack de l'année dernière, les boite de jeux vidéo ont quand même bien augmenter leur sécurité.

Soit la personne tente du bruteforce sur le site, et là c'est juste ridicule.

Après, il y'a d'autres possibilités pour voir les mdp. Très peu probable aussi, mais on peut imaginer que les log u sytème d'auth laisse passer certaines informations. J'en doute très fortement encore une fois, ca reste juste une possibilité. Le seul moyen c'est de se faire embaucher chez Blibli pour vérifier leur protocole ^^ D'ici là ca serait bien de stopper de dire des abérations sur les méthode d'auth.

Citation :

Sur le mail de Blizzard confirmant le changement de mot de passe ou d'adresse mail, pour ma part, c'est mon prénom qui apparait, pas mon login...

Pourquoi ca ? Je ne comprends pas très bien. Tu crains que quelqu'un puisse accéder à ton mail ?

[Asterra]

Citation :

Publié par Camélia

A ce moment là tu peux pousser le raisonnement encore plus loin, les mises à jour de sécurité sortent lorsqu'un soucis est découvert, mais ce n'est jamais immédiat, c'est la même chose pour les bases des signatures virus.

Tu as raison sur ce point, mais il y a un grand nombre de machines qui n'ont même pas les derniers correctifs et qui sont de ce fait vulnérables à de vielles failles plus susceptibles d'être exploitées. Ca ne te prémuni certes pas contre une faille 0Day, mais ca limite les risques.

En l'occurrence, l'outil que je citais suis de trés près les bases de données mondiales d'incidents connus.

[Von]

Citation :

Publié par hezekyel

A partir de quel proportion de joueur hacké commencerez vous à croire que Diablo 3 a une faille?

Je sais pas, à ton avis c'est quoi la proportion de comptes hackés là ?

[Sangrifeld]

Citation :

Publié par Von

Je sais pas, à ton avis c'est quoi la proportion de comptes hackés là ?

de joliens actifs sur la section? Enorme.

[Von]

De comptes en général.

[fraanel]

Citation :

Publié par Von

De comptes en général.

je pense qu'en terme de limite basse on peut facilement tabler sur du 10%.
Soit au minimum 700 000 compte hack...

Pour ça il suffit de voir le nombre de personnes qui reporte sur différents forums le fait d'avoir été hack. Que ça soit en Europe ou aux US (la partie Asie je ne sais pas).
D’ailleurs c'est pour ça que l'on parle de vague de hack

C'est d'autant moins anodin que toute proportion garder, ce ce type d'événement avec une telle ampleur ne c'est encore jamais vue sur d'autre jeu.
Mais quelque chose me dis que l'histoire de l'HV€ couplé à la popularité du jeu, n'y est pas étranger...
Bref les mécanismes mis en place par blizzard, hormis le fait qu'il soit polémique, suscite la convoitise et donc un regain d’intérêt auprès des hacker à un point jamais vu jusqu'à maintenant.

[hezekyel]

67 ici déjà, sur le forum officiel, plus d'un millier en 3 semaines (juste le forum français), et tu ne pas oublier ceux qui ne se manifeste pas, et il doit y en avoir un sacré paquet.... Tu ne peu pas nier que Blizzard ne fait rien (ou du moins ne communique pas du tout).
Leur seul solution proposé est de lier un authenticator. Ne pas oublier ceux qui ne se manifeste pas, et il doit y en avoir un sacré paquet...

Je ne pense pas que les hackeur utilisent une seule méthode. Ils doivent recourir à tout les outils mis à leur disposition.
Se qui me semble bizarre, c'est la manière dont ils trouvent les adresse mails. Certain affirme qu'ils utilisaient une adresse mail uniquement pour leur compte battlenet, et je ne vois pas pourquoi je ne les croirais pas...

Comment les hackeurs l'on t'il obtenu alors? Vente des adresses mails par Blizzard à des fin commercial comme beaucoup d'entreprise le font?

A quoi bon nous demander d'être très vigilant alors que de leur côté la sécurité n'est pas maximum? Enormement d'entreprise vende le listing de leur adresse mail à des fin commercial, Blizzard ne doit pas déroger à la règle, mais le soucis, c'est que notre adresse mail est notre login...

Ne défendez pas Blizzard à tout pris... N'oubliez pas que la principal victime reste le joueur...

Personnelement, je pense que l'authentificator est fiable, mais y a un gros mais...
Il n'y a le droit qu'à 2 restauration par an. A la premiere restauration on te demande de lier ton compte à un authentificator pour utiliser l'HVAR, au 2 éme hack, tu n'a plus le droit d'utiliser l'HVAR...
Qui iraient se plaindre de s'être fait hack une 2ème fois, authentificator ou non...? Du coup, dire que comme les gens ne viennent plus se plaindre après avoir lier leur compte à un authentificator est une preuve de sa fiabilité est un peu abusé...

[TonighT]

Si je vide intentionnellement mes 10M de gold en les filant à un pote et que je demande un rollback, je retrouve mes 10M et lui ne les perd pas ?

[ch4t0n]

(Mode Complot : on)

je vois bien Blizzard laisser les hack pour que l'on achete leur auth...


(Mode complot : off)

Moué...

Edit : Ils rendent le stuff mais pas les golds - ils utilisent un système de sauvegarde précédente. Pour les Po, ils font ca à la louche apparemment. Voir rien.

[Valcryst]

Sans parler de l'intégrité de Blizzard dans ce domaine si on admet 700k hack :

1/ Combien d'entre eux ont changé leur mot de passe dans les 12 derniers mois ?
2/ Combien d'entre eux ont un mot de passe qui fasse plus de 7 caractères alpha-numérique avec changement de casse ?
3/ Combien d'entre eux ont un PC 100% safe ?

Non parce que parler de hack c'est bien, mais il faut savoir aussi dans quelles conditions il est pratiqué. En dehors des questions ci dessus qui concernent l'intégrité du compte Battle Net de leur propriétaire, j'en rajouterai une qui concerne le mode de jeu :

4/ Combien d'entre eux jouent sur des parties publiques ?

Parce qu'après tout, aujourd'hui la seule méthode possible de hack pur et dur en dehors d'un problème de sécurité (coté blizzard ou coté joueur), c'est la capture et l'analyse des trames réseaux dans une partie publique...