|
Roi / Reine
|
Auparavant, lors d’un vol de compte (hack) la réponse de la société Ankama était : c’est de la faute des utilisateurs/joueurs ; Ankama n’est aucunement responsable !
Depuis juillet 2011, le discours a quelque peu changé ; Ankama a reconnu une infiltration dans sa base de données avec vols de données personnelles (lesquelles ?). Ankama a alors mis en place précipitamment un « Shield » ; ce qui a posé et pose encore quelques problèmes à des personnes ne pouvant plus accéder à leurs comptes. Toutefois, il ne faudrait pas croire que le problème soit complètement résolu car il y a encore beaucoup de vols de comptes/items inexpliqués (avec ou sans shield activé) Comme il est toujours traumatisant de voir son compte hacké, voici quelques propositions pour endiguer cette vague de vols de comptes/items Proposition 1 (HYPER URGENT) : mettre une page HTTPS pour se connecter au support !!! (http://support.ankama.com/fr) Pour poster un ticket au support, la page de connexion au support n’est pas une page sécurisée (HTTPS) ; j’ai fait des tests à plusieurs reprises et je peux vous confirmer que le nom utilisateur et mot de passe sont envoyés en clair sur le WEB ; il suffit d’intercepter (WIRESHARK ou ETHEREAL) ces trames et sans avoir besoin de les décrypter, on peut se connecter au compte utilisateur Pour ma part, j’hésite toujours à faire un ticket au support car je ne savais pas si le nom de compte et le mot de passe étaient cryptés avant envoi sur la toile ; maintenant, je sais ! NB : une page HTTPS ne suffit pas, certaines versions de cryptages ont été décodées facilement De plus cela prouve que Ankama stocke les noms d'utilisateurs et mots de passe en clair en comparant les données reçus avec celles dans la base de données Ankama (voir proposition 3) Ce problème très grave a été signalé début janvier 2012 à Ankama et n'a toujours pas été traité Proposition 2 : Entrer son mot de passe avec un clavier virtuel Pour entrer son mot de passe, utiliser un clavier virtuel avec positionnement aléatoire des touches. Cela évite l’interception du mot de passe par un keylogger ; ça complique la tâche des bots pour se connecter. Certaines banques utilisent déjà ce système pour entrer le mot de passe Proposition 3 : Ne pas stocker les mots de passe en clair sur les serveurs Ankama C’est une évidence, mais il faut le préciser car la vague de hack de juillet a prouvé l’amateurisme de la sécurité Ankama : Ne pas stocker les mots de passe en clair sur les serveurs Ankama !!! Comment fait-on alors pour identifier la personne qui se connecte ? Explication (un peu technique) pour se connecter afin que le nom de compte et le mot de passe transitent de manière cryptée sur la toile : - PC utilisateur (le joueur) : au lancement du launcher, le PC envoie une demande de pré connexion au serveur Ankama - Serveur Ankama : le serveur calcule 2 nombres premiers très grands et en effectue le produits ; le serveur stocke ses informations dans sa mémoire et envoie au PC du joueur une clé de cryptage établie sur la base de produit de ces 2 nombres - PC utilisateur : l’utilisateur entre son nom de compte et son mot de passe (avec un clavier virtuel si possible) et clique sur connexion. Le PC utilise la clé de cryptage pour crypter le nom de compte et le mot de passe. Ces informations cryptées sont envoyées au serveur Ankama ainsi que la clé de cryptage - Serveur Ankama : Recevant la clé de cryptage, il peut retrouver (dans sa mémoire) les 2 nombres premiers ayant servi a la calculer et ces 2 nombres servent à décrypter le message reçu. Le serveur a alors en mémoire le nom de compte et le mot de passe en clair ; il doit alors les « hasher » et c’est le résultat de ce hashage qui est comparé aux données sauvegardées sur le disque. Si ces données hashées sont identique, il y a alors autorisation de se connecter au compte Les données stockées sur le serveur Ankama sont donc des données hashés et non des données en clair - Le cryptage consiste à crypter un message avec une clé ; cette clé ne peut pas servir à décrypter le message crypté. Le message est décrypté avec une autre clé qui n’a pas transité sur le réseau/internet - Le hashage consiste à transformer un message en une empreinte ; cette empreinte servant à identifier de manière univoque le message ; les principales propriétés d’une bonne fonction de hashage sont : o A partir du message hashé, il est « impossible » de retrouver le message d’origine o La rapidité de la fonction de hashage o Univocité : un seul message d’entrée donne un seul message hashé, et inversement. Dans la pratique, ce n’est pas forcément indispensable/vrai, mais ce point est gérable facilement Ce mode de connexion faisant appel au cryptage et hashage est couramment utilisé lorsque l’on souhaite une connexion sûre Proposition 4 : Mettre en place chez Ankama une cellule dédiée à la sécurité ou au vol compte/item Ceci pour : - identifier et punir rapidement les voleurs - réparer rapidement le préjudice subit par le joueur volé Le fait d’attendre 1 à 3 mois, voir plus (ou bien jamais) pour restituer les items :kamas volés est intolérable. Le problème du vol semble sous estimé de la part d’Ankama ; pourtant les sommes sont très importantes (ex : 100M de kamas représentent 1000 Euros et il n’est pas rare qu’un level 200 ait plus de 100M de stuff) Quelque soit le montant, le traumatisme subit peut être très grave quand on se fait voler tous ces items quelque soit le niveau. Il faut bien comprendre que le joueur s’identifie à son personnage et que lorsqu’on vole son personnage, on vole le joueur. Afin de réduire ce traumatisme, il faut réparer rapidement le préjudice subit en rendant les items/kamas (surtout que ça ne coute rien à Ankama). Certes, certains pourraient abuser, mais le pourcentage est très faible et il ne faut pas pénaliser la majorité des joueurs honnêtes Proposition 5 : Ne pas rendre visible par défaut dans le ladder les items des personnages Actuellement, il faut intervenir pour cacher ses items. Je pense que lorsque Ankama a mis ce système en place, c’était une mauvaise idée et cela a aider les voleurs à voler des comptes « intéressants » Point positif : les dofus n'ont plus été visibles sur les personnages durant certaines périodes ; il faudrait faire de même pour tous les items Proposition 6 : Améliorer la procédure de traitement d’un vol de compte La procédure actuelle est : - Identification de la personne volée : cela semble fonctionner avec la demande de photocopie de carte d’identité - Sécurisation du compte : Ankama change le mot de passe (même si la personne volée vient de le changer)==> ça semble marcher correctement Par contre les points à améliorer sont : Réparation du préjudice subit et Punir le voleur - Réparation du préjudice subit : il faudrait rapidement restituer les items/kamas volés car sans cela le personnage est inutilisable. De plus quand on paie un abonnement pour ce compte, on a vraiment l’impression de se faire baiser 2 fois (1 fois par le hackeur + 1 fois par Ankama pour abonner un compte inutilisable). D’autant plus que la restitution ne coute absolument rien à Ankama - Punir le voleur : Avec les logs de connexion, il est aisé d’identifier rapidement le voleur et le punir Proposition 7 : Améliorer la communication en cas de vol Communication générale Pour montrer l’efficacité des efforts faits par Ankama pour endiguer cette vague de hack, il serait intéressant de communiquer sur le nombre de vols résolus (et ceux restant à traiter) Communication personnelle Lorsqu’une personne se fait voler, il serait souhaitable de l’informer sur la situation en cours ; actuellement, si on ne relance pas, on ne sait pas si la résolution est en cours et quand on trouvera ses items/kamas Proposition 8 : historiser le nom du propriétaire sur l’item Pour identifier rapidement le voleur, historiser le nom du propriétaire sur l’item Sur chaque item, sauvegarder le nom du propriétaire et tout l’historique ; informatiquement, c’est juste un champ a rajouter à l’item. Avec Frigost 2, des caractéristiques (dommage feu, air, poussée, …) ont été rajoutées aux items, il parait aisé de rajouter un champ propriétaire avec l’item (prévoir d’historiser 1000 à 10000 propriétaires par exemple) Proposition 9 : Retirez rapidement les bots vendeurs de kamas Actuellement, aux endroits de passage (milice Bonta/Brakmar ou Zaap du village), on peut voir pendant 2 jours (voire plus) des bots qui vous mp en vous proposant des sites de vente de kama A ces endroits, dès qu’il y a des mots clés dans le message ; il ne devrait pas être transmis Proposition 10 : Contrôler les variations rapides et importantes de fortune Une analyse des variations rapides et importantes de fortune permet de lister les personnages à contrôler. Ensuite, une analyse détaillée des logs d’échange permettrait de savoir si ces échanges sont honnêtes Proposition 11 : Faciliter la déclaration d’un vol de compte Actuellement, c’est un vrai chemin de croix pour envoyer un message au support ; Ankama vous promène à travers différentes pages et à la fin vous ne trouvez pas l’icône pour poster un ticket au support. Vous choisissez donc une autre voie et quand vous envoyez un message, on vous répond que vous n’êtes pas dans la bonne rubrique De grâce, améliorez l’envoi de message au support avec une seule icône bien visible et un menu déroulant pour l’objet du ticket Je pense que le vol de compte/item est un problème très grave et que les sommes en jeu sont très importantes (un THL a souvent plus de 100M de kamas en stuf sur lui, ce qui représente plus 1000 Euros). Il est donc nécessaire qu’Ankama traite ce problème avec urgence et sérieux. Si vous avez des propositions, ajoutez-les en espérant qu’elles seront prises en compte S’il y a des juristes parmi les lecteurs/joueurs, il serait intéressant d’avoir leurs points de vue sur ce type de vol et quels sont les recours possibles Je finirai par une phrase que j’aime bien : « Ne rien faire, c’est favoriser ce genre de comportement » ; de plus, je vous invite à regarder le film « Les larmes du soleil » avec Bruce Willis et à méditer sur la phrase du générique de fin « The only thing necessary for the triumph of evil is for good men to do nothing », qui se traduirait en français par « La seule chose nécessaire au triomphe du mal est l'inaction des gens de bien Fear |
14/02/2012, 07h28
|
Ankama, aidez nous à sécuriser nos compte*! Quelques propositions
| Suivre |
|
|
Partager | Rechercher |
|
Empereur / Impératrice
|
Citation :
Citation :
 Citation :
|
|
14/02/2012, 07h44
|
|
['AdGF]
Légende
|
Certains idées sont bonnes, d'autres irréalisables.
Par exemple, l'utilisation d'un clavier virtuel. J'ai un mot de passe du genre eef`"Fzok2'ijf34Zsff%ùzdfEJ"f-(, je me vois mal le saisir au clavier virtuel (à titre d'information, je le saisie au clavier, je ne le copie/colle pas). |
|
14/02/2012, 08h05
|
|
Alpha & Oméga
|
L'OP porte bien son pseudo...
Je ne sais pas dans quelle mesure l'analyse de tous ces problèmes de sécurité est exacte (vu que j'ai les connaissances d'une huître en matière de sécurité informatique/web), mais elle semble pertinente et, en effet, ça fout la pétoche. Pour être passé par la case vol de compte puis restitution, je peux en tout cas parler de ce que je connais d'expérience : les interactions avec le support. Tu soulignes bien les différents soucis : lenteur, manque apparent de réactivité, difficulté d'accès.
Les seuls points positifs, selon moi, sont les suivants : - mon interlocuteur au support (une fois le processus de restitution lancé) était très clair et précis (sauf sur le délai, bien entendu...) et répondait à toutes mes questions assez rapidement (ça signifie 24 ou 48 h avant son mail de réponse). - la restitution a été intégrale (à l'exception de mes familiers). - j'ai réclamé qu'on me rende une partie de mes familiers (bworkys et nomoons montés à fond) et j'ai eu finalement gain de cause (10 jours plus tard environ). Bref ! Beaucoup d'améliorations sont nécessaires, ne serait-ce que pour permettre au joueur de demander réparation suite à un vol qui n'est pas de sa responsabilité. Avec le recul, je me marre en repensant à ces procédures, mais sur le moment j'étais furieux et scandalisé, en tant que client et joueur. |
|
14/02/2012, 09h03
|
|
Héros / Héroïne
|
Juste comme ça, ce n'est pas parce qu'il n'y a pas du HTTPS et que les données transitent en clair qu'elles ne sont pas déjà hashées dans la base de donnée.
Ensuite, même avec un hash, y a des dico, hein. |
|
14/02/2012, 09h22
|
|
[[FRC]]
Alpha & Oméga
|
Y'avait pas un proverbe qui disait que le seul moyen d'obtenir sur un système une sécurité parfaite c'est d'en rendre l'accès impossible?
Une fois, quand je jouais encore pas mal, j'ai compté le nombre de fois que je m'étais logué, re-logué, sur mes comptes. C'était assez édifiant... |
|
14/02/2012, 09h24
|
|
[Eccle]
Légende
|
Citation :
|
|
14/02/2012, 10h17
|
|
[Ni.Na]
Empereur
|
Un post assez interessant je trouve..
(Et je savais même pas que le support était pas sécurisé tiens, mais en même temps si, je dis pas de bêtises, la connexion au site http://www.dofus.com/fr n'est pas non plus sécurisée). Y a de bonnes idées, certaines dures à mettre en places, mais je pense pas que ça ferait de mal un peu plus de sécurité, quitte à devoir un peu bosser dessus. Edit tant que j'y suis, un truc qui m'a fait marrer quand même, c'est qu'un de mes comptes ai été vidé, je joue depuis 6 ans et personne à les pass de ce personnage, l'adresse mail liée est (je pense) très sécurisée (connexion via sms toussa), malgré tout, le personnage se fait vider, ainsi que le coffre de maison ou je gardais toutes mes ressources importantes, y en a pour des centaines de millions, du coup je poste au support, qui me réponds qu'il va sécuriser mon compte avec une nouvelle adresse mail + photocopie de ma carte d'identité puis ensuite... Citation :
Dernière modification par Dipx ; 14/02/2012 à 10h31. |
|
14/02/2012, 10h22
|
|
Héros
|
Shield c'est pas fiable tu te fais quand même hack même avec personne ayant ton compte et sans keyloggers, et puis bon tu fais ta demande en honnête joueur au support pour résoudre ton problème on te répond comme si t'avais 12 ans. Une troupe d'incapables.
|
|
14/02/2012, 13h07
|
|
Alpha & Oméga
|
Citation :
|
|
14/02/2012, 13h18
|
|
[Pm Nc]
Alpha & Oméga
|
Les hack d'amis qui sont sous shield se multiplie autour de moi.
Alors oui je peux concevoir qu'un ou deux d'entre eux se soit fait trahir par une personne à qui ils prêtaient leur compte. ( Surtout qu'avec le tracage d'ip ce genre de hack se rarifie ) Oui je peux aussi concevoir que certains se soit fait pirater leur compte Mail ET leur compte dofus par des virus/keylogger Mais que TOUS est eu l'un ou l'autre de ses soucis, j'ai beaucoup de mal. Fear pour mon compte qui est sous shield |
|
14/02/2012, 13h29
|
|
Bagnard
|
Oui Shield ne marche pas complètement.
Sur le net il parle de comment voler les comptes même avec la protection ... Il suffirais de connecter la personne a Dofus Pocket en mode marchand et ensuite sur le client Dofus pour que la personne prennent les équipements. Enfin un truc du genre quoi. http://forum.dofus.com/fr/1115-bugs/...shield-useless |
|
14/02/2012, 14h19
|
|
Roi
|
Citation :
Sur un certain nombre de MMO actuels, un code PIN de 4 à 8 caractères s'inscrivant via un clavier virtuel est demandé à la connexion d'un perso. Celui-ci est valide pour la durée de la session et bloque efficacement la majorité des keyloggers. Mais bon, un tel système ne changerait pas grand chose étant donné que pour beaucoup, ce PIN ne serait qu'un code supplémentaire à communiquer à ses "amis". C'est donc bien vis à vis du prêt de compte que des mesures seraient à prendre en premier lieu... (+1 pour la connexion au support par contre.) |
|
14/02/2012, 14h39
|
|
Alpha & Oméga
|
Citation :
Je ne dis pas que c'est bien de faire passer en clair les informations login/mot de passe, mais le fait que ce soit le cas n'implique pas qu'elles sont stockées telles quelles. (oops, multi owned, désolé j'ai craqué) Dernière modification par ShosuroPhil ; 14/02/2012 à 18h20. Motif: owned |
|
14/02/2012, 18h17
|
|
Roi / Reine
|
Très juste la remarque sur le stockage du user/mot de passe en clair ; ils sont certainement (je l'espère) stockés sous forme hashé; j'avais été un peu trop vite dans ma réflexion !
Par contre j'ai toujours peur quand je me co au support ; c'est comme si je criais mes identifiants/mot de passe dans la foule en espérant que personne n'écoute J'espère qu'Ankama va bouger un peu Fear |
|
14/02/2012, 22h28
|
|
Alpha & Oméga
|
Bonjour,
Citation :
Le reste des sites ANKAMA (dofus.com, ankama-events.com) passe pendant un court instant par une page type https://account.ankama.com/[login]?[le site demandé redirigé]. Il est possible d'accéder au Support en étant directement authentifié depuis l'onglet sécurisé sur le bandeau du site dofus.com. Remarque, cela ne règle en effet pas les soucis d'informations transmises en clair sur le réseau... (Le SSL n'a pas été directement tombé, il s'agissait d'une faille des navigateurs pour une ancienne version, apparemment.) Citation :
Citation :
C'est dit plus haut, les mots de passe sont certainement stockés hashés. C'est pour ça que les dégâts de l'intrusion sont difficiles à présenter, car il n'est pas facile de trouver une communication "underground" se vantant du nombre et de la façon dont la base de donnée a été volée puis exploitée. 30 minutes, c'est long. Et probablement suffisant pour récolter un paquet de données. (Je trouve plus la source pour les 30 minutes, mais c'est un truc de ce style.) Citation :
Citation :
Citation :
Citation :
Citation :
Je demande, hein. Sinon, si ça ne change rien aux joueurs, alors "Ok.". Citation :
Citation :
Citation :
Et sinon, tu comptes leur proposer d'apprendre à faire leur job, aussi ? Za. |
|
14/02/2012, 23h42
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|