A partir du moment ou une machine est complètement sous contrôle d'un tiers pour effectuer une attaque MITM en direct, alors oui votre compte n'est plus sécurisé. Cela n'est pas lié à Google Auth, la même chose peut arriver avec n'importe quel OTP classique.
Le problème n'est pas d'obtenir l'auth token, c'est de l'obtenir et de l'utiliser avant la victime. Le laps de temps est court (quelques minutes (et pas 30 secondes comme certains le pensent)).
Mais encore une fois avec ce scénario, il ne reste presque plus aucune parade technique non contraignante, utilisable pour le grand public et pour sécuriser quelque chose à faible valeur ajoutée comme un compte de MMO. Si j'ai le contrôle totale d'une machine distante et que la victime est présente en même temps que moi, alors je fais ce que je veux. OTP/Google Auth ou pas. Mais ce n'est pas valable que pour WildStar, c'est pareil pour votre banque, le compte mail de votre entreprise si vous vous connectez depuis chez vous, j'en passe. Et la vérification par SMS ne sert à rien non plus et peut être contournée avec ce même scénario.
Bref un "RMT lambda" qui pirate des comptes pour aller faire du minerai n'utilisera jamais de telles méthodes pour obtenir des comptes quand à côté il y a une pléthore de joueurs à pirater facilement. Le MITM c'est bien pour cibler une personne particulière et obtenir quelque chose de valeur. A grande échelle pour pirater des comptes de MMO protégés avec 2FA? Pas vraiment non.
Stop, je parle pas d'attaquer la machine, mais le tuyau entre la machine du client et vous, et y'a un problème dans le tunnel que lance le launcher, y'a des informations qui circulent en clair, c'est le sens de mon discours, d'ailleurs, un man in the middle, ça veux bien dire se que ça veux dire : il est ni chez vous, ni chez le client, il est au milieu, entre les deux.
Alors, soit tu tente l'enfumage pour cacher la faille, soit je t'apprend la vrai définition du terme "man in the middle" : c'est pas une attaque directe ni sur votre client, ni sur vos serveur, c'est au milieu.
Le soucis, c'est que votre protocole très ouvert, permet dans une certaine mesure d'envoyer des informations en clair, et il y a des informations de compte qui circulent (en plus des informations d'interface) vous avez donc :
-bots qui n'ont même pas besoin d'un client avec affichage complet, ils leurs suffit de forger les bons packets réseaux et de récupérer les bons packet pour botter (grosso modo, la base c'est un célèbre bot qui sévit sur Aion, ça devrait vous donner suffisamment d'informations pour pouvoir le détecter)
-Encodage connu du tunnel et gruyère dans les tuyaux qui permet d'intercepter les données entre vos clients et vos serveurs.
Vous colmatez la brèche des données, vous ralentissez la progression du logiciel de bot qui permet l'injection de packets et vous réduisez fortement les possibilités de cheat. 1 pierre > 3 coups. De rien c'est gratuit. (les parades classique themida/obfuscation ncsoft ne sont plus efficaces depuis longtemps)
Méthode employée : utilisation et lancement du jeu dans une VM accélérée, utilisation d'ollydbg obfusqué pour passer outre votre protection mémoire reader (2 minutes pour contourner la pseudo protection, a la portée de n'importe quel codeur/admin) > étude des packets envoyés sur la machine hôte par la VM (wireshark, passer via vm permet de passer outre les quelques protections mises en place au moment du lancement du launcher et de voir le comportement des 3 dll qui ont un PID négatif, permet de voir le fonctionnement du tunnel et de voir les trous béants <_<)