Authenticator et "hack"

Skwi · 02/03/2016, 07h46

Bonjour,

Hier soir un guildeux m'a dit que son perso était à poil, alors qu'il utilise la protection authenticator.
Vu que je ne connais pas son fonctionnement il m'a expliqué: Tu lances l'appli sur ton téléphone, tu choisis ton compte, et ça autorise la connexion pendant 30 secondes.
Il possède 3-4 comptes, il a hier vers midi connecté ses 3-4 comptes en même temps, et en voyant son perso principal connecté alors que sa fenêtre dofus indiquait "connexion interrompue" il a tenté de reconnecter et obtenait le message à chaque fois.
Il est allé changer le mdp et après il a pu se co sans soucis, mais le mal était fait et son perso était en -2/0 tout nu, pas terrible pour les enfants :/
Il a contacté directement le support qui apparemment lui a dit qu'ils n'avaient rien vu d'anormal sur son compte, et qu'ils allaient le tenir au courant (je ne sais pas ce que ça vaut :/).

Du coup, c'est quasiment certain que la personne connaissait son login/mdp (même s'il ne prête jamais son compte, il y a tellement de possibilité que je ne sais pas d'où peut venir la faille) et devait probablement avoir un programme pour tenter de se co en boucle en espérant que le proprio désactive la sécurité avec authenticator.

Je vous tiens au courant dès qu'il me donnera des infos du support, mais avez-vous déjà rencontré ce type de "hack"?
ça me semble improbable que ce soit un "vol" classique d'un gars ayant attendu le moment où il se co pour le faire de son côté, d'autant plus que mon guildeux a tenté plusieurs fois de se co et qu'il avait à chaque fois le message de "connexion interrompue avec le serveur".

RashCid · 02/03/2016, 08h52

Bonjour,

Un guildeux a exactement le même soucis. je vais lui demander où il en est à ce sujet.

Et idem, le support n'a rien constaté d'anormal.

Ebrithil · 02/03/2016, 09h04

Bonjour, de même dans ma guilde, un pote s'est fait hack, voilà sa réponse quand je lui ai demandé ça s'est fait comment :

"Mec rien de particulier pour mon hack, j'avais l'authenticator.... Un jour en debut de semaine, il s'était désactivé de tout seul. Je l'ai réactivé et en fin de semaine mon adresse mail et mon mdp avait été changé voila! "

Il a contacté le support et il n'a même pas été en mesure de récupérer son compte.

Par ailleurs, tu peux déjà dire à ton guildeux qu'il ne reverra sans doute jamais ses items.

falcon · 02/03/2016, 09h41

Citation :

Publié par Ebrithil

Bonjour, de même dans ma guilde, un pote s'est fait hack, voilà sa réponse quand je lui ai demandé ça s'est fait comment :

"Mec rien de particulier pour mon hack, j'avais l'authenticator.... Un jour en debut de semaine, il s'était désactivé de tout seul. Je l'ai réactivé et en fin de semaine mon adresse mail et mon mdp avait été changé voila! "

Il a contacté le support et il n'a même pas été en mesure de récupérer son compte.

Par ailleurs, tu peux déjà dire à ton guildeux qu'il ne reverra sans doute jamais ses items.

Je ne suis qu'a moitié étonné j'imagine que ceux qui utilisent l'authenticator doivent faire encore moins attention a leur comportement IG et cliquer sur tout ce qui bouge (virez ces maudits liens pourris !

) le pirate a encore plus de facilité a récuperer le mdp du site Ankama, débrancher le gadget et c'est fini... un peu d'éducation (non vous ne verrez pas un match du goulta live a 6 mois de l'epreuve

) et le bannissement de tout lien IG serait plus efficace a mon sens...

Malhou · 02/03/2016, 10h18

De même shield + authentificator, et le support n'a pas daigné bouger le petit doigt

Jey-nee · 02/03/2016, 10h53

Citation :

Publié par Malhou

De même shield + authentificator, et le support n'a pas daigné bouger le petit doigt

Hmmm hmmm.
Sachant qu'on ne peut avoir que l'un à l'exclusion de l'autre, tu me permettras de dire que c'est pas ultra-crédible ce que tu dis :/.

Citation :

débrancher le gadget et c'est fini

L'authenticator, c'est avec un smartphone. Un truc physique. Que tu as sur toi.
Il se peut qu'il y ait une faille dans le machin informatique, qui fait qu'on peut passer outre, mais si on suppose qu'Ankama sait faire un truc robuste côté informatique, le seul moyen pour passer outre l'authenticator c'est avoir le smartphone de la personne... Donc "débrancher le gadget" ben nope, pas possible (contrairement au Shield, qui peut se débloquer en obtenant aussi l'adresse mail de la personne)

Outre ça, ce n'est pas parce que tu as une protection importante que forcément tu deviens un débile qui fait n'importe quoi hein [j'aurai tendance à dire que c'est même l'inverse. l'authenticator est tellement pénible d'utilisation, que je ne vois que des maniaques de la sécurité pour l'utiliser]

Je rajoute au passage que venir dire "Oui alors moi mon pote a été hack, le support a même pas rendu le compte", c'est gentil, mais bon. C'est un peu comme "mon pote a été banni sans raison, le support a rien voulu savoir". C'est gentil à vous de prévenir, mais vous avez quand même l'air peu crédible.

falcon · 02/03/2016, 11h00

Citation :

Publié par Jey-nee

...le seul moyen pour passer outre l'authenticator c'est avoir le smartphone de la personne... Donc "débrancher le gadget" ben nope, pas possible ...

Je connais le principe (bien lourd

) et je te confirme qu'une fois l'authenticator en route, impossible de passer outre ^^
Mais des petits malins ont visiblement trouvé la faille, le moyen de débrancher l'authenticator :

Citation :

Publié par Ebrithil

...Un jour en debut de semaine, il s'était désactivé de tout seul....

C'est de ce coté là qu'il faut creuser, j'imagine que si un jour je sature d'utiliser mon portable, il y a moyen de le desactiver ? et là c'est le drame

Comment désactiver Ankama Authenticator ?

Citation :

Ouvrez l’application « Ankama Authenticator »
Rendez-vous dans l’onglet « Mes comptes Ankama » puis appuyer sur le bouton "Corbeille"
Sélectionnez le compte que vous souhaitez désassocier et appuyez sur "Supprimer".
Entrez le nom de compte et le mot de passe du compte concerné
Entrez votre réponse secrète
Entrez le code de sécurité qui a été envoyé à l’adresse e-mail associée à votre compte

Voilà, votre compte n’est plus protégé par Ankama Authenticator. Soyez prudent car désormais, vous jouez sans protection.

Source

Donc on en revient au point de départ un simple hack de mail et/ou une réponse secrete et le système s'écroule...

Pyroli · 02/03/2016, 11h03

Citation :

Publié par Jey-nee

L'authenticator, c'est avec un smartphone. Un truc physique. Que tu as sur toi.
Il se peut qu'il y ait une faille dans le machin informatique, qui fait qu'on peut passer outre, mais si on suppose qu'Ankama sait faire un truc robuste côté informatique, le seul moyen pour passer outre l'authenticator c'est avoir le smartphone de la personne... Donc "débrancher le gadget" ben nope, pas possible (contrairement au Shield, qui peut se débloquer en obtenant aussi l'adresse mail de la personne)

La protection par téléphone est dorénavant identique sur les adresses mails (en tout cas pour Gmail).

Je risque de manquer d'imagination, mais la seule solution pour qu'un hackeur me vole mes comptes, ce serait de parvenir à utiliser mon propre ordinateur : est-ce quelque chose de possible ou je délire ?

Ou alors je suis moins sécurisé que je ne le pense...

Jey-nee · 02/03/2016, 11h16

Citation :

Publié par falcon

Donc on en revient au point de départ un simple hack de mail et/ou une réponse secrete et le système s'écroule...

Hmmm. Le premier pas c'est "Ouvrez l’application « Ankama Authenticator »". C'est pas censé n'être accessible que depuis le smartphone ça?
Si c'est pas le cas, ça me semble foutrement mal fichu comme protection, vu que la désactivation ne demande pas plus d'effort que pour le shield....

Citation :

La protection par téléphone est dorénavant identique sur les adresses mails (en tout cas pour Gmail).

Tu es sûr de ça? Il me semble pouvoir me connecter sur mes adresses Gmail sur d'autres ordinateurs sans avoir à recevoir un SMS... Mais j'ai ptêt un truc désactivé (ou alors je me souviens juste pas d'avoir reçu ce code).

falcon · 02/03/2016, 11h28

Citation :

Publié par Jey-nee

Hmmm. Le premier pas c'est "Ouvrez l’application « Ankama Authenticator »". C'est pas censé n'être accessible que depuis le smartphone ça?
Si c'est pas le cas, ça me semble foutrement mal fichu comme protection, vu que la désactivation ne demande pas plus d'effort que pour le shield.......

J'espere que tu as raison quoiqu'il en soit qqn a semble t'il reussi a desactiver l'option sans passer par le telephone, je ne crois pas une seconde qu'il se désactive de lui même sans intervention...

Je laisse les programmeurs de chez Ankama plancher sur le sujet mais il y a bien une faille quelquepart...

HuPi · 02/03/2016, 11h29

Citation :

Publié par falcon

Je connais le principe (bien lourd ) et je te confirme qu'une fois l'authenticator en route, impossible de passer outre ^^
Mais des petits malins ont visiblement trouvé la faille, le moyen de débrancher l'authenticator :

C'est de ce coté là qu'il faut creuser, j'imagine que si un jour je sature d'utiliser mon portable, il y a moyen de le desactiver ? et là c'est le drame

Comment désactiver Ankama Authenticator ?

Source

Donc on en revient au point de départ un simple hack de mail et/ou une réponse secrete et le système s'écroule...

Ouais enfin faut déjà que les mecs aient encore le mail avec le code + la réponse impossible à avoir sans passer par le support. Donc il faudrait que le type possède un keylogger au moment de la création du compte ou phishing demandant la réponse secrète, et crack la boîte mail où le code serait encore present. Beaucoup trop de paramètre à avoir pour un random gas faisant du phishing". Pour ma part, le code est uniquement dans ma tête donc si demain je perds un compte, le soucis ne viendra pas de là non plus. À moins que quelqu'un soit capable de pirater mon cerveau.

Il doit avoir une faille de sécurité du côté d'Ankama vu le nombre de cas. C'est pas possible autrement, surtout si aucune activité suspecte n'a été révélé et que la sécurité se désactive seule.

Édit : Après test, le seul moyen d'activer / désactiver est de passer via l'application donc le téléphone du gas du coup même pas moyen par un simple crack du mail. Après ça peut venir du petit frère qui pique le téléphone. Et on ne peut avoir un compte que sur 1 téléphone, à moins qu'il y ait un bug à ce niveau.

Skwi · 02/03/2016, 13h22

pour en revenir au cas de mon ami, c'est bien lui qui a débloqué via l'application pour pouvoir se connecter. ce qui laisse une fenêtre de 30 sec pour se connecter. et c'est pendant ce lapse de temps que le vilain s'est connecté. lorsque mon ami reessayait ça lui faisait une connexion interrompue avec le serveur > message qu'on a lorsqu'il y a une autre connection sur le compte.

ce qui m'étonne c'est que le vilain était soit au taquet lorsqu'il a vu la connection de mon ami pour se connecter lui même, soit il a un petit script qui tourne en boucle pour se connecter sur le compte de la victime. dans ce cas il n'y a pas une protection ankama pour voir si un compte subit un nombre important de connection?
ou sinon il y a une faille qui permet de voir lorsqu'un compte est "débloqué" de l'authenticator.

falcon · 02/03/2016, 13h46

Citation :

Publié par Skwi

...

C'est deja plus clair oui, une fois un compte hack il est probable que le hackeur lance un script pour se loguer non stop (il en a peut être 100 qui tournent en permanence ^^) et dans ce cas la moindre baisse de garde est fatale... cela me rassure un peu sur l'authenticator mais une fois qu'on l'a, pas le choix c'est pour la vie !

Skwi · 02/03/2016, 14h14

mwi, ce que je pointe du doigt c'est que même si tu as l'authenticator, si qqn a obtenu tes logins, tu n'es pas protégé. alors qu'avec le shield il faut qu'il ait en plus tes login de mail.

Kouin- · 02/03/2016, 14h36

Citation :

Publié par Skwi

mwi, ce que je pointe du doigt c'est que même si tu as l'authenticator, si qqn a obtenu tes logins, tu n'es pas protégé. alors qu'avec le shield il faut qu'il ait en plus tes login de mail.

En théorie à partir du moment ou tu ne cliques pas sur n'importe quoi et ne prête pas tes comptes tu es protégé, le nom de compte + mot de passe ça n'arrive pas par magie chez un hypothétique hacker, d'autant que l'authenticator protège aussi les connexions sur le site officiel donc pour changer le mot de passe etc il le faut. Ça fait beaucoup de choses a faire pour un simple pillage de perso.

Felix! · 02/03/2016, 16h24

Citation :

Publié par Kouin-

En théorie à partir du moment ou tu ne cliques pas sur n'importe quoi et ne prête pas tes comptes tu es protégé, le nom de compte + mot de passe ça n'arrive pas par magie chez un hypothétique hacker, d'autant que l'authenticator protège aussi les connexions sur le site officiel donc pour changer le mot de passe etc il le faut. Ça fait beaucoup de choses a faire pour un simple pillage de perso.

Désolé de te contredire mais c'est faux, la principale faiblesse d'un compte c'est son adresse mail.

Edit: je vais pas entrer dans les détails, mais il y a une pseudo-faille qui permet à n'importe qui de voir l'adresse mail d'un joueur. A partir de là, tu peux commencer à stalk la personne. Je pense que la majorité des 'hacks' ont lieu sans virus ou programmes tiers, mais ça n'engage que moi.
Enfin je suis d'accord avec ton deuxième point, dans le cas où l'utilisateur est vigilant et expérimenté ça devient impossible de récupérer des infos personnelles. Et ouais l'utilisation de plusieurs adresses mail c'est op.

Kouin- · 02/03/2016, 17h44

Citation :

Publié par FÉLIX LE FAURE

Désolé de te contredire mais c'est faux, la principale faiblesse d'un compte c'est son adresse mail.

Tu racontes quoi ? En quoi c'est sa principale faiblesse ? Ton adresse mail tu la files à personne (personne qui n'a rien à faire avec bien sûr), tu l'affiches pas partout, tu t'inscris pas sur X sites bizarres et le mot de passe de la messagerie pareil tu l'dis à personne logiquement, suffit là encore de pas ouvrir n'importe quel mail, avoir un filtre, un anti-virus performant (et j'insiste sur performant parce que quand j'entends "j'ai avast free" je vomis et pleure du sang) ça suffit. Encore une fois suffit d'être vigilant et un minimum intelligent. Pourquoi ça n'arrive pas à tout le monde d'être pillé ? Parce qu'on est pas tous des imbéciles.

Et j'vais rajouter qu'une adresse mail tu peux en avoir plusieurs, une pro, une perso, une loisirs, c'est pas difficile et ça limite les risques.

falcon · 02/03/2016, 18h10

Citation :

Publié par Kouin-

En quoi c'est sa principale faiblesse ? Ton adresse mail tu la files à personne...

Sur le papier c'est facile a dire mais une adresse mail ça se trouve quand même assez facilement (merci Félix de confirmer

), surtout que rien ne prouve que ce n'est pas un de tes proches/contact qui te hack... et même si tu es le seul a la connaitre que tu n'as jamais écris a personne cela ne résoud pas le pb des keyloggers

(désolé on ne paye pas tous notre antivirus

)

Alors oui tu me diras que si on fait attention il est impossible de se faire hack, et c'est vrai (même si je me suis déja retrouvé a poil il y a quelques années c'était un stagiaire Ankama de mémoire...)

Mais le but de l'authenticator c'est justement se permettre de faire moins attention (je pense a un pere qui protege son fils de 7 ans au hasard...) et on l'a vu dès qu'on le retire il y a de fortes chances qu'on soit hacké dans la journée si on a cliqué sur n'importe quoi...

Cela reste une méthode relativement fiable si on ne le débranche jamais car comme l'a confirmé @Jee-nee il faut aller sur son Tel pour le débrancher...

Mais peu importe le nombre de couches de sécurité que l'on aura, rien est parfait il y a toujours des failles exploitables, et avoir accès a la boite du hacké suffit semble t'il a passer outre si le code de restauration est dedans (a moins qu'on le reçoive que sur le mobile ?)

Citation :

L’appareil mobile lié à mon compte a été détruit/volé/perdu, que faire ?

Le code de restauration qui vous a été fourni lors de votre première activation vous permet de restaurer votre Authenticator sur un autre appareil mobile.

Procurez-vous un autre appareil mobile, téléchargez l’application Ankama Authenticator et ouvrez-la
Rendez-vous dans l’onglet « Code de restauration »
Entrez votre code de restauration et validez

Source

Shizu' · 02/03/2016, 18h40

ça fait assez peur quand même, que certains se soient fait désactiver leur Authenticator, pour faire ça, il faut quand même que le voleur ai soit le portable (ou tablette) du type soit le code de restauration ce qui est...presque impossible ?

Moi qui pensais être très "safe" (du moins comparé au shield) ça me fait un peu peur

FreeeD · 02/03/2016, 18h43

Dans tous les cas y'a une grosse faille au niveau de l'authenticator

(svp un offi qui me mp)

Shizu' · 02/03/2016, 18h48

C'est si grave que ça

? Ceux qui l'ont devraient le désac pour repasser sur le shield :x ?

FreeeD · 02/03/2016, 18h53

bah disons que si tu prends un keylo t'es baisé, que t'aies l'authen ou nn

et que si tu te connectes sur un autre pc tu pourras te faire co même sans activer l'authen

Dark' · 02/03/2016, 19h06

Perso j'ai aucune protection et j'ai jamais été hack mais vous me faites un peu flipper là.

A noter que si vous allez sur des forums des trucs comme ça votre email peut être récup. De plus pour les utilisateurs de ts avec l'autentificator vous pouvez bouffer un keylogger.

Shizu' · 02/03/2016, 19h09

Il serait p-e judicieux de contacter un CM sur twitter non ? L'authen est censé être une sécurité en plus..et finalement non

cool

Pyroli · 02/03/2016, 19h11

Citation :

Publié par Skwi

pour en revenir au cas de mon ami, c'est bien lui qui a débloqué via l'application pour pouvoir se connecter. ce qui laisse une fenêtre de 30 sec pour se connecter. et c'est pendant ce lapse de temps que le vilain s'est connecté. lorsque mon ami reessayait ça lui faisait une connexion interrompue avec le serveur > message qu'on a lorsqu'il y a une autre connection sur le compte.

ce qui m'étonne c'est que le vilain était soit au taquet lorsqu'il a vu la connection de mon ami pour se connecter lui même, soit il a un petit script qui tourne en boucle pour se connecter sur le compte de la victime. dans ce cas il n'y a pas une protection ankama pour voir si un compte subit un nombre important de connection?
ou sinon il y a une faille qui permet de voir lorsqu'un compte est "débloqué" de l'authenticator.

Pour rebondir sur ces explications, c'est un scénario que je me suis déjà imaginé : me retrouver à me battre pour avoir la connexion dans le laps des 30 secondes avec un supposé hackeur (oui je suis peut être un peu parano !).

Je me demandais s'il n'était pas possible d'ajouter sur l'Authenticator un bouton qui permet de simplement déconnecter ton compte... Parce que dans le cas que tu décris, la seule solution visiblement, c'est d'arriver à te connecter et l'être toujours lorsque cette fenêtre de 30s se referme. Alors qu'avec ce bouton, même si le hackeur gagne le "duel", tu as un bouton qui l'éjecte.

RashCid Empereur	Bonjour, Un guildeux a exactement le même soucis. je vais lui demander où il en est à ce sujet. Et idem, le support n'a rien constaté d'anormal.
02/03/2016, 08h52

Malhou [CDM] Roi / Reine	De même shield + authentificator, et le support n'a pas daigné bouger le petit doigt
02/03/2016, 10h18

falcon Alpha & Oméga	Citation : Publié par Skwi ... C'est deja plus clair oui, une fois un compte hack il est probable que le hackeur lance un script pour se loguer non stop (il en a peut être 100 qui tournent en permanence ^^) et dans ce cas la moindre baisse de garde est fatale... cela me rassure un peu sur l'authenticator mais une fois qu'on l'a, pas le choix c'est pour la vie !
02/03/2016, 13h46

Skwi [ArKaN] Alpha & Oméga	Authenticator et "hack" mwi, ce que je pointe du doigt c'est que même si tu as l'authenticator, si qqn a obtenu tes logins, tu n'es pas protégé. alors qu'avec le shield il faut qu'il ait en plus tes login de mail.
02/03/2016, 14h14

Shizu' Grande duchesse	ça fait assez peur quand même, que certains se soient fait désactiver leur Authenticator, pour faire ça, il faut quand même que le voleur ai soit le portable (ou tablette) du type soit le code de restauration ce qui est...presque impossible ? Moi qui pensais être très "safe" (du moins comparé au shield) ça me fait un peu peur
02/03/2016, 18h40

FreeeD Alpha & Oméga	Dans tous les cas y'a une grosse faille au niveau de l'authenticator (svp un offi qui me mp)
02/03/2016, 18h43

Shizu' Grande duchesse	C'est si grave que ça ? Ceux qui l'ont devraient le désac pour repasser sur le shield :x ?
02/03/2016, 18h48

FreeeD Alpha & Oméga	bah disons que si tu prends un keylo t'es baisé, que t'aies l'authen ou nn et que si tu te connectes sur un autre pc tu pourras te faire co même sans activer l'authen Dernière modification par FreeeD ; 02/03/2016 à 19h05.
02/03/2016, 18h53

Dark' [1pact] Alpha & Oméga	Perso j'ai aucune protection et j'ai jamais été hack mais vous me faites un peu flipper là. A noter que si vous allez sur des forums des trucs comme ça votre email peut être récup. De plus pour les utilisateurs de ts avec l'autentificator vous pouvez bouffer un keylogger.
02/03/2016, 19h06

Shizu' Grande duchesse	Il serait p-e judicieux de contacter un CM sur twitter non ? L'authen est censé être une sécurité en plus..et finalement non cool
02/03/2016, 19h09

Authenticator et "hack"

Connectés sur ce fil