[JeuxOnLine]

Ce fil de discussion a été automatiquement créé suite a la clôture d'un fil dont la longueur pouvait avoir un impact négatif sur les performances du serveur.

Nous vous invitons à poursuivre vos discussions à propos du sujet initial dans ce fil.

Voici l'adresse du fil précédent : https://forums.jeuxonline.info/showthread.php?t=1146047

[ptiyolesecond]

bonjour,

mail d'ankama :

Nous vous invitons à en générer un nouveau dès votre prochaine connexion.

Lorsque vous accéderez à votre compte, vous pourrez constater que nous vous avons rendu les accès à la maison se trouvant en xx,xx.
Sachez que nous allons prendre en charge la restitution de vos items.

Cependant, nous traitons en priorité la protection et le rendu des comptes. La phase de restitution des items viendra dans un second temps.

Ces recherches peuvent être longues et nous n'avons malheureusement aucun délai précis à vous apporter quant à la résolution de celles-ci vous concernant.

Dans tous les cas, dès que la restitution sera effective sur votre compte, nous vous enverrons un mail pour vous le signaler.

Nous vous présentons nos plus sincères excuses, et vous remercions d'avance pour votre patience.

Cordialement.


bon ben voila rien a redire (délai mi-décembre à aujourd'hui).

j'ai eu une grosse peur quand mon mot de passe ne marchait plus nulle part mais le mail est tombé dans la foulée

[Eggmath]

Pour la restitution des comptes et changement de mail, mdp, Q/R secrète ils sont très réactif (du moins ils semblent l’être).

Pour la restitution je te souhait bonne chance, si tu en as autant que moi tu récupéreras une partie lors de la prochaine vague de rendu (le Mardi 17 si je ne me trompe pas), sinon ça finira bien par arrivé. (Hors le message pour la maison (vu que le compte n'en possédais pas) j'ai eu exactement le même mail lors du vol des objets de mon xélor.

[Sushi!]

Changement d'un mail ça m'a pris quasiment 1 mois ... j'appelle pas ça réactif .

Vous saviez qu'à partir du site officiel vous pouviez avoir le jour de la date de création de votre compte, de tous même ? je m'en plains pas vu que c'est grâce à ça que j'ai pu récupérer mon compte vu qu'il nous le demande ... (Qui s'en souvient sérieux? )

[Eggmath]

Citation :

Publié par _kAizou

Changement d'un mail ça m'a pris quasiment 1 mois ... j'appelle pas ça réactif .

Moi ça a pris 4jours le changement :x

Citation :

Publié par _kAizou

Vous saviez qu'à partir du site officiel vous pouviez avoir le jour de la date de création de votre compte, de tous même ? je m'en plains pas vu que c'est grâce à ça que j'ai pu récupérer mon compte vu qu'il nous le demande ... (Qui s'en souvient sérieux? )

Je sais qu'on le vois sur le Forum off quand on poste mais je ne savais pas qu'on pouvais connaitre la date sur la gestion de compte. C'est où? (pas avec la date de la 1ere transaction au moins).

[Inokin]

Citation :

Publié par Eggman

Pour la restitution des comptes et changement de mail, mdp, Q/R secrète ils sont très réactif (du moins ils semblent l’être).

Exacte, en ce qui concerne cette démarche j'approuve que cela se passe très très rapidement pour ma part j'ai reçu ma réponse sous 2/3 Jours.

[Sushi!]

Citation :

Publié par Eggman

Je sais qu'on le vois sur le Forum off quand on poste mais je ne savais pas qu'on pouvais connaitre la date sur la gestion de compte. C'est où? (pas avec la date de la 1ere transaction au moins).

Içi



Pas besoin d'être dans son gestion de compte, juste à mettre tes id, mdp et t'as acces à la boite d'ankama ou tu peux dénicher les info à partir du moment que t'as le nom d'un personnage (date de CREATION DU COMPTE, lv de tous ses personnages, voir plus qui sait ).

[Evilusion]

Citation :

Publié par Eggman

le Mardi 17 si je ne me trompe pas

C'est bien ça.

HS : @Aaronson : Je t'ai troll moi ? (comme tu m'as quote j'me sens viser mais bon)

[Teiiko]

Vous voulez savoir c'est quoi cette " faille " ?

C'est simplement que les certificats sont répertoriés sur votre ordinateur, et qu'en un simple copié/collé on peut avoir accès à votre compte en "sécurisé".

Moi je dis bravo AG ! Au lieu d'autoriser l'ordinateur on lui même, on crée un fichier

Message supprimé par son auteur.

[Inokin]

Citation :

Publié par Teiiko

Vous voulez savoir c'est quoi cette " faille " ?

C'est simplement que les certificats sont répertoriés sur votre ordinateur, et qu'en un simple copié/collé on peut avoir accès à votre compte en "sécurisé".

Moi je dis bravo AG ! Au lieu d'autoriser l'ordinateur on lui même, on crée un fichier

Oui mais aucun keylogger n'est capable de copier ce certificat ce qui permet une sécurité plus ample.
Je ne comprend pas trop vos côtés pessimistes, Ankama se casse la tête pour notre confort de jeu, mais au retour il n'y a que des réponses négatives de la part des joueurs.

[Taktillerix]

Citation :

Publié par Cattleya

Je ne comprend pas trop vos côtés pessimistes, Ankama se casse la tête pour notre confort de jeu, mais au retour il n'y a que des réponses négatives de la part des joueurs.

Le souci c'est que les hack continuent, certains n'ont pas activé l'AS et n'ont pas changé de mot de passe, je peux concevoir qu'on ne puisse pas reprocher leur hack à Ankama.

Mais certains se font hack alors qu'ils ont un nouveau mot de passe et l'AS d'activé, ça laisse songeur...

PS : Enfin je me base sur les témoignages de ce sujet, je ne connais personnellement personne s'étant fait hack avec l'AS.

[Rasetsu [Men]]

Citation :

Publié par Cattleya

Je ne comprend pas trop vos côtés pessimistes, Ankama se casse la tête pour notre confort de jeu, mais au retour il n'y a que des réponses négatives de la part des joueurs.

Bah le problème c'est qu'au vu de ce qui se passe, on peut largement douter sur le fait qu'ankama nous dise qu'il n'y ait aucun problème. J'ai plusieurs amis qui ont été hackés alors que leur pc étaient en règle, qu'ils ne prêtaient pas leur compte (mais en revanche ils n'avaient pas l'AS) et qui en plus ont eu leur Mot de passe/QUESTION SECRÈTE changées (je me demande comment d'ailleurs?) ... Le support s'excuse et dit qu'il rendra les objets et sylf explique ça par "mais tkt, c’était la même intrusion qu'en juillet, ils ont juste été assez cons pour foutre le même mot de passe quoi" (ce qui est bien entendu faux).

Aprèspour ceux qui avaient le shield mais qui ont quand même été volés, je n'en connais pas personnellement, mais je ne doute pas de leur histoire.

[Seigneur-Fou]

Ça à déjà été dit mais depuis l'intrusion certaines informations concernant votre compte et votre vie privée ont probablement pu être récupérées.
Du coup il est théoriquement possible de faire une demande au support pour un changement d'adresse / réponse secrète et toussa sur un compte ne vous appartenant pas.
Cela expliquerait l'origine du problème.

Mais dans la pratique c'est sans doute pas aussi facile.

[Sylfaen]

Citation :

Publié par zweng

Il aurait fallut activer automatiquement le shield sur tous les comptes. Ayant eu le shield activé sur 2/3 de mes comptes, j'ai pas fait gaffe ensuite qui avait le shield activé ou pas (surtout vu le bordel que ca à été le jour de l'activation), pour moi mes 3 comptes l'avaient. Je vous laisse deviner lequel a été vidé.

J'aurais préféré ne pas accéder a mon compte pendant 2-3 jours le temps que je débloque le shield (imaginons que si tous les comptes avaient étés protégés, ca aurait été encore plus le bordel) que de pas pouvoir jouer pendant plus d'un mois faute d’équipement.

Ce n'était pas possible. Nous avons forcé l'activation du Shield sur un panel de compte en novembre dernier en ayant tout à fait conscience des problèmes que ça allait générer chez une partie de nos joueurs (la problématique la plus évidente était celle des mails invalides, que l'on a rencontré à plusieurs reprises depuis l'intrusion). C'était une décision difficile, puisqu'elle a nuit à l'expérience de jeu d'une partie des joueurs le temps que la situation se stabilise, mais c'était une décision nécessaire dans la mesure où nous avons estimé que les comptes de ce panel courraient des risques immédiats.

Imposer Ankama Shield à l'ensemble des comptes Ankama, c'est quelque chose qui nous a bien entendu traversé l'esprit mais que nous ne pouvons pas mettre en place, parce que la problématique est toujours la même via à vis des comptes invalide, parce qu'il n'y a pas de menace globale immédiate et parce que le service est désormais accessible à tous et que nous faisons régulièrement des communications pour rappeler les règles et outils de sécurité.

Citation :

Publié par zweng

Si un l'outil s'était montré efficace, alors l'activation sur tous les comptes sans exception était une nécessité. Si cela n'a pas été fait, je considère que le studio n'était pas pleinement satisfait de son outil.

(...)

J'ajouterais que lorsque l'outil a été lancé, même avec des conseils de l'activer, on était loin d'imaginer que quelqu'un pouvait récupérer nos accès en passant par le studio (jusqu'alors, l'erreur venait du joueur), donc tout joueur faisant attention et ne prêtant pas son compte n'avait aucune raison de s'inquiéter. Je rappel que c'est pas les premiers vols de comptes, ça existe depuis le début de Dofus quasiment, et beaucoup de joueurs n'ont jamais été volés.

Ça revient à répéter ce que je dis juste avant, mais non, ce n'est pas aussi simple que ça. L'outil est efficace, nous n'avons aucun doute là-dessus, mais une activation de celui-ci implique tout un tas de problème, et priverait certains joueurs de l'accès à leur compte. Ce qui n'est bon ni pour eux, ni pour nous.

Pour ton dernier paragraphe, Ankama Shield a été lancé peu après l'intrusion de juillet 2011, dans une période où personne n'ignorait les risques qu'on traversait.

Citation :

Publié par Lunevirtuelle

Sérieusement ? Ce serait aussi bête que ça ?

Je reste dubitative... Si des volés peuvent infirmer ou confirmer...

Pour la majorité des cas recensés par le Support, c'est effectivement aussi bête, et malheureux que ça. L'essentiel des joueurs qui ont contacté le Support pour un vol de compte avaient bien remis le mot de passe qu'ils utilisaient au moment de l'intrusion (certains l'ont remis dans les jours/semaines qui ont suivi la réinitialisation imposée, d'autres bien plus tard, mais le résultat est là).

Maintenant, puisqu'il faut apparemment clarifier les évidences pour certains, quand je parle de majorité, ça signifie bien sûr que cette explication ne s'applique pas à tous les cas de vols recensés dernièrement. Je ne connais pas les cas particuliers de chacun, mais on recense également un certain nombre de vols via phishing, logiciels malveillants (des joueurs qui entrent leurs identifiants dans des logiciels de bots piégés, par exemple) ou tout simplement via keylogger.

En tout cas, n'en déplaise à ceux qui croient que je m'amuse à venir répondre ici pour mentir, mon précédent message était bien là pour expliquer l'évolution de la politique de rendu des objets, qui découle de ces nouveaux outils dont on dispose, et pas d'une nouvelle intrusion qu'on vous cacherait.

Citation :

Publié par Rasetsu [Men]

J'ai plusieurs amis qui ont été hackés alors que leur pc étaient en règle, qu'ils ne prêtaient pas leur compte (mais en revanche ils n'avaient pas l'AS) et qui en plus ont eu leur Mot de passe/QUESTION SECRÈTE changées (je me demande comment d'ailleurs?)

Il me semble possible que de tels cas soient liés à l'intrusion de juillet 2011. Tes amis devraient commencer par sécuriser leur adresse email (voire en créer une nouvelle pour leur(s) compte(s) DOFUS). Le support, lui, s'occupera de sécuriser les comptes en question. Mais cela ne reste que des suppositions, puisqu'on ne connait de ces cas que ce que tu nous en racontes. C'est à tes amis de voir de qu'il en est avec le support.

Enfin, pour vos cas personnels, oORolexOo et psonlu, je n'ai pas les cartes en main pour vous répondre, et ce n'est de toutes façons pas l'endroit pour le faire. Même si les délais vous semblent trop longs, le Support est le seul interlocuteur pour traiter les cas individuels. Pour ma part, j'essaie d'expliquer le fonctionnement général.

[Cirs]

Citation :

Publié par Sylfaen

En tout cas, n'en déplaise à ceux qui croient que je m'amuse à venir répondre ici pour mentir, mon précédent message était bien là pour expliquer l'évolution de la politique de rendu des objets, qui découle de ces nouveaux outils dont on dispose, et pas d'une nouvelle intrusion qu'on vous cacherait.

Comme beaucoup j'imagine, nous te remercions bien évidemment de venir répondre ici, sur ce sujet particulier a mon sens puisqu'il est impossible de dialoguer avec le support (on ne reçoit quasiment que des mails automatiques).

Citation :

Publié par Sylfaen

dans une période où personne n'ignorait les risques qu'on traversait.

Franchement, je doute qu'un seul joueur encore a l'heure actuelle soit en mesure d'évaluer les risques. Le fait d'avoir fait une communication en deux temps et dans le mauvais sens (rassurante puis alarmante) à fait perdre beaucoup de crédibilité et pese aujourd'hui dans le fait qu'un "doute" subsiste.

Concernant les emails invalides, je suis désolé, mais c'est au joueurs de vérifier que leur mais fonctionnent, pour ceux qui ne le font pas tanpis pour eux. C'est quand mémé pas compliqué de vérifier qu'une adresse marche, et le support permet d'en changer assez facilement pour peu qu'on soit bien le propriétaire du compte. Je trouve pas normal que des joueurs qui prennent toutes les sécurités soient pénalisés a cause de ceux qui ne font pas attention.

[azarre]

Sylf tu pourrais également dire au support de répondre aux tickets de temps car avoir "on fait des recherches patientez" plus rien apres 1 mois sa fait long... (rien non plus quand on les relance d'ailleurs)

C'est vraiment le plus pénible de n'avoir aucune information sur l'évolution du merdier...

[psonlu]

Citation :

Enfin, pour vos cas personnels, oORolexOo et psonlu, je n'ai pas les cartes en main pour vous répondre, et ce n'est de toutes façons pas l'endroit pour le faire. Même si les délais vous semblent trop longs, le Support est le seul interlocuteur pour traiter les cas individuels.

J'aimerais pouvoir le faire ailleurs. A partir du support notamment (mais les tickets sont bloqués). Oui c'est long et oui j'attends une réponse du support depuis le 17/10/2011 pour des problèmes que vous connaissez pour mon cas depuis le 03 août 2011. Donc oui j'aimerais beaucoup avoir une réponse à mon dernier ticket du support pour savoir ou on en ai.

Interlocuteur: personne avec qui l'on parle.

[blaes]

@Sylfaen:
bonjour, j'aurais quatre questions à poser, qui concernent plus ou moins directement l'intrusion:

1) est ce que le studio a l'intention de faire quelque chose pour éviter les "récupérations de compte" frauduleuses faites grâce aux informations dérobées lors de l'intrusion?
parce qu'à l'heure actuelle, c'est ce qui m'inquiète le plus concernant la sécurité de mes comptes. créés il y a longtemps, avec des informations réelles, je ne les prête pas, mes mots de passe sont secure, mon adresse mail est secure, mon pc est secure.
seulement, avec les informations qui se baladent maintenant sur le net, ça me ferait vraiment chier que le support "rende" mes comptes à la mauvaise personne parce que celle-ci se pointe avec mes informations qui ont été dérobées.
est ce qu'il serait envisageable de mettre en place un transfert de compte, permettant de lier tous les personnages/banques d'un compte sur un nouveau compte possédant les mêmes informations personnelles (service qui ne serait accessible qu'une fois par compte et uniquement pour les comptes touchés par l'intrusion)?
ou tout autre moyen permettant de s'assurer qu'un compte ne sera pas rendu à la "mauvaise" personne?

2) quand est ce que le studio compte réellement lier le certificat à la machine qui a émis la demande, pour qu'il ne puisse pas être récupéré et utilisé par un tier?
parce qu'actuellement, le seul moyen pour que le shield sécurise vraiment le compte, c'est de s'en servir en mode "one time password", avec un certificat valide uniquement pour la connexion (et encore, ça n'est sécurisé que par la liste de révocation, en supposant que vous en ayez bien une).

3) est ce que les joueurs peuvent espérer voir l'apparition d'options pour configurer le shield, comme par exemple une option qui empêcherait toute connexion sur le compte à partir d'une machine non certifiée?

4) est ce que les joueurs peuvent espérer voir l’apparition d'autre moyens de sécurisation basés sur de l’authentification forte/physique (par exemple des one-time password envoyés par sms, ou un dongle usb)?

[Seigneur-Fou]

C'est vrai qu'il serait intéressant d'avoir des options paramétrables sur l'Anakama Shield.
Par exemple interdire la connexion sur le compte à partir d'une certaine heure de la journée ou un certain jour en particulier.

[Teiiko]

Un simple stealer suffit pour voler le certificat, Sylf' si tu sais passer l'info que se serait mieux d'activer l'AnkamaShield par adresse mac de pc et non pas par un simple fichier non caché Merci !

[Seigneur-Fou]

Citation :

Publié par Teiiko

Un simple stealer suffit pour voler le certificat, Sylf' si tu sais passer l'info que se serait mieux d'activer l'AnkamaShield par adresse mac de pc et non pas par un simple fichier non caché Merci !

Il existe plusieurs moyens d'obtenir l'adresse d'un ordinateur.
A partir de la tu peux émuler un système d'exploitation virtuel et paramétrer la même adresse Mac que ta cible et le tour est joué.

[oORolexOo]

Citation :

Publié par Sylfaen

Enfin, pour vos cas personnels, oORolexOo et psonlu, je n'ai pas les cartes en main pour vous répondre, et ce n'est de toutes façons pas l'endroit pour le faire. Même si les délais vous semblent trop longs, le Support est le seul interlocuteur pour traiter les cas individuels. Pour ma part, j'essaie d'expliquer le fonctionnement général.

En ce qui me concerne j'en ais fini avec ce sujet.

A vrai dire je m'en fou de savoir pourquoi ou comment, je suis persuader que cela ne viens pas de cher moi.

J'ai poster dans ce sujet pour simplement apporter mon témoignage, ma mauvaise expérience...

J'ai transmis tous ce que je pouvais comme screen au support. Je serais "prochainement" restituer de mes items et familiers et je pourrais donc bientôt rejouer.

J'ai soulevé un problème nouveaux et j'en suis fière car étant apparemment le seul dans cette situation cela veux donc dire que peux de "hackeur" connaissent le moyen de contourner ce Ankama shield. Vous pouvez donc voir comment cette personne à contourner votre protection à travers les informations que vous trouverez dans mon ticket.

En espérant que vous arriverez à levé plus qu'un bouclier, mais un vrai préservatif anti hack.

Vers l'infini et au dela !

[Famille Za,]

Citation :

Publié par Sylfaen

[...] Je ne connais pas les cas particuliers de chacun, mais on recense également un certain nombre de vols via phishing, logiciels malveillants (des joueurs qui entrent leurs identifiants dans des logiciels de bots piégés, par exemple) ou tout simplement via keylogger.

Via Keylogger ??

Mais, euh, ce n'était pas censé être l'apport majeur de sécurité du Shield, ça ?
Ok, c'est anti-phishing.
... C'est tout ?


Bon, eh bien, la question suivante, c'est :
Est-ce que la version complète du Shield (car oui, il est en bêta, donc on va dire que c'est normal qu'il ne soit donc pas complet, voire même qu'on ne puisse pas compter dessus pour quoi que ce soit) compte vraiment ajouter une relation entre les utilisateurs (qui pourront de fait fournir une adresse mail qu'ils valideront avec le Support) et leur machine (qui devra être re-validée si des informations indispensables sont modifiées, comme le type de disque-dur, les adresses MAC des cartes réseaux par lesquelles ils désirent se connecter, le numéro de série ou équivalent de leur système d'exploitation, le dossier depuis lequel le jeu est exécuté, le nom de l'utilisateur exécutant le Client de jeu, ...), dans une optique d'authentification réelle, de sorte que le certificat volé ne puisse pas être réutilisé (même par l'utilisateur lui-même) en cas de changement de sa propre machine ?
En bref, est-ce que le Shield apportera une sécurité aux joueurs dans une version future ?

Je demande ça, c'est que j'aurais espéré que ce fût le cas dès l'origine, hein. Je trouve désolant que le concept du Shield soit aussi faible qu'il l'est actuellement.
Et dans le cadre d'une authentification poussée, j'imaginais le Client de jeu requérant simplement un mot de passe "Client" (indépendant de celui réellement utilisé pour le compte, mais se basant dessus) pour connecter un(e liste de) compte(s) en toute fiabilité, sans compromettre le système de sécurité actuellement en place une fois que la machine était certifiée.

Je sais, je rêve.

Za.

Edit : Ok, c'est plus clair. Et j'attends avec impatience des nouvelles du Shield.

[Sylfaen]

Citation :

Publié par Famille Za,ruit?&amp

Via Keylogger ??

Mais, euh, ce n'était pas censé être l'apport majeur de sécurité du Shield, ça ?
Ok, c'est anti-phishing.
... C'est tout ?

Comment dire... Ankama Shield ne protège un compte que s'il a été activé sur celui-ci. Je parlais de comptes qui ont été volés et qui n'utilisaient pas Ankama Shield.

Pour ton autre question et celles de xervicus à propos des prochaines évolutions du Shield et de la sécurité des comptes sur DOFUS, je vais voir avec le Support ce que l'on peut vous donner comme informations, mais a priori, quand on pourra donner des précisions là dessus, on le fera plutôt dans une communication officielle.