[Njuk]

Citation :

Publié par Electre

Le système de Blizzard a deux fautes de sécurité majeures :

1 - le login est un email quasi publique, alors que le login devrait être quelque-chose d'aussi secret que le password. Un mettant un email en login on donne l'addresse des gens à cambriolé, ils n'ont plus qu' a forcer la porte.


2 - il n'y a aucunne limitation sur les tentatives de connections.

Leur système de login est hyper vulnérable aux attaques brutes. Les pirates récupèrent des mails de joueurs via une attaque sur des sites de fan assez facile. Et après ils lancent une attaque brute qui consiste à forcer les MDP en en essayant plein à la suite avec un bot.

Ca fait très amateur niveau sécurité... Le login doit être autant secret que le password, étonnant qu'une telle négligence existe encore en 2012.

[TonighT]

Citation :

Publié par Dawme

J'ai été aussi "hack" et je suis sur à 100% qu'il y a une énorme faille chez blizzard ou que la db users de battle.net a été compromise et je vais vous expliquer pourquoi.

Merci pour le témoignage.

Sur la liste des menteurs sans scrupules :
Sarkozy n'a jamais reçu de valise de billets de la part de Bettancourt.
La Grèce n'était pas trop endettée en 2006.
Les licenciements économiques sont toujours justifiés.
...
Blizzard n'a jamais été hacké, c'est la faute des joueurs.

Plus c'est gros, plus ca passe, c'est bien connu.

[Dawme]

Citation :

Publié par Tête de Cornet

Ou alors le type qui t'a eu au sav t'as raconté de la merde. Ou si c'était une question facile, le gars qui t'as "hacké" a essayé plusieurs fois avant de trouver.

Y a t'il un autre moyen de reset le password à part connaitre la question secrete ? Pas a ma connaissance, sachant que y a pas de reset possible par mail (et mon mail est clean).
Et c'est juste impossible de trouver la réponse à la question, c'était un prénom + nom de famille de qqun.

[Emmanuela]

Citation :

Publié par [LCA]Shugga

Gratuit sur smartphone faut le répéter combien de milliers de fois ?

Bien sûr, j'utilise celui de l'iphone. Mais il y a quand même une politique commerciale de Blizzard avec une solution payante pour combler LEUR défaut de gestion de sécurité !

Bref ca tourne en rond, tant qu'ils limiteront pas le nombre de tentative + pswd case sensitive, l'excuse de mettre l'utilisateur en défaut ne sera jamais acceptable en ce qui me concerne.

[Nysza]

Citation :

Publié par Njuk

Ca fait très amateur niveau sécurité... Le login doit être autant secret que le password, étonnant qu'une telle négligence existe encore en 2012.

Le plus drôle c'est que pré battlenet 2.0, les comptes wow avaient un login

edit : intéressant le coup du reset password. à priori ta réponse secrète est cryptée par bli, dans leur DB, et impossible à récupérer, ça crypte juste ce que tu rentre et ça compare. Donc l'hypothèse du viol de DB est ridicule.
(vous savez comment ça marche une base de donnée ? à moins d'infecter directement le PC hôte, taper dans la DB c'est VRAIMENT pas évident).
Donc si faille il y a, elle est plus au niveau du site binette (c'est pas déjà arrivé pour d'autres trucs ?). ça se trouve, une injection à la con permet de passer outre ta question secrète pour reset.

Les autres lololbruteforce, je l'ai déjà dit, on est plus en 1970, personne n'hack quoi que ce soit en bruteforce, c'est ridicule. Je suis sûr que même s'il n'y a pas de limitations en terme d'essais, il y a une limitation côté serveur, ne serais-ce que pour éviter qu'un mec mette les serveurs d'auth à genoux en spammant des essais. (et de toute y a un beau délai entre l'entrée de ton mot de passe et la réponse disant qu'il est invalide. Même sans case-sensitive, en mettant juste des lettres et chiffres (35 caractères), si tu part du principe qu'un compte a 8 caractères (sans même ajouter les possibilités de 1 à 7), tu as 35^8 possibilités, tu as plus de 2000 milliards de possibilités. Les serveurs binette ont 200 ms de ping, allez. 5 par secondes. Disons que tu trouve à la moitié de la recherche en moyenne. Tu es à 2.5 MILLIONS de jours. Par compte. Maintenant, lachez nous la grappe avec votre bruteforce, merci.

[Glunn]

Citation :

Publié par Electre

1 - le login est un email quasi publique, alors que le login devrait être quelque-chose d'aussi secret que le password. Un mettant un email en login on donne l'addresse des gens à cambriolé, ils n'ont plus qu' a forcer la porte.

Je vois pas en quoi c'est plus problématique qu'un login. Si vous laissez trainer votre email partout c'est pas de la faute à Blizzard.

[Eyce Karmina]

Citation :

Publié par Dawme

Ca s'est produit ce matin, je jouais quand j'ai eu la boite de dialogue qqun se connecte depuis un autre ordinateur et j'ai été kick (déjà c'est n'imp ça mais bon). J'ai compris ce qui se passait immédiatement et j'ai été sur le site b.net mais entre temps j'ai reçu un mail de changement de mot de passe.

Aprés avoir téléphoné et juste donné mon mail/prénom/nom, mon compte a été reinit et mon perso restauré. Le truc de ouf c'est que d'aprés le mec au tel, la personne a pu changer mon mot de passe car elle connaissait la réponse à ma question secréte. Sauf que j'ai mis cette réponse y a 3 ou 4 ans et que même moi je ne me souvenais pu de comment elle s'écrivait. Comment est ce possible qu'un hacker, même avec un keylogger trojan whatever puisse avoir cette réponse ? Ca ne l'est pas.

J'ai eu plus ou moins le même cas sur Wow l'année dernière (mail de requête de changement de mot de passe puis mail de notification de ban).
Sauf que ça faisait genre 2 ans que je n'avais pas joué et que comme toi j'ignore la réponse à question secrète xD
La réponse de Blizzard (après pas mal de mail échangés) a finalement été que lorsqu'ils détectent un comportement anormal, ils déclenchent la réinit de mdp, et que le mec s'était log avec mon mdp.
C'est pas comme si le mec avec qui j'échangeais avant me disait que le voleur avait eu accès à ma boite mail...

J'ai lâché l'affaire vu que je n'en avais rien à faire de mon compte, mais ça m'avait bien fait marrer.

@Nysza : le bruteforce c'est toujours utilisé quand tu as un dump des login/pwd cryptés. Et ça marche très très bien (de mieux en mieux).

[Nysza]

Citation :

Publié par Glunn

Je vois pas en quoi c'est plus problématique qu'un login. Si vous laissez trainer votre email partout c'est pas de la faute à Blizzard.

Ben simple, si c'était un login, t'aurais l'équivalent de deux mots de passe (ce qui sert que contre le bruteforce, qui ne marche pas, mais bon ).

edit : si t'as un dump de trucs cryptés, c'est qu'il y a plus que du bruteforce à un certain niveau

[Eyce Karmina]

Citation :

Publié par Nysza

edit : si t'as un dump de trucs cryptés, c'est qu'il y a plus que du bruteforce à un certain niveau

Suffit de savoir où trouver des listings de mail/pwd (récupérées généralement via des failles sur des tonnes de forums), ça demande juste des $.

Si on voit de plus en plus de systèmes qui ne permettent pas à l'utilisateur de définir lui même son mdp (tout en lui permettant d'en générer un autre), c'est pas par hasard.

[Nysza]

Citation :

Publié par Eyce Karmina

Suffit de savoir où trouver des listings de mail/pwd (récupérées généralement via des failles sur des tonnes de forums), ça demande juste des $.

Si on voit de plus en plus de systèmes qui ne permettent pas à l'utilisateur de définir lui même son mdp (tout en lui permettant d'en générer un autre), c'est pas par hasard.

Yep, mais si tu hack des gens comme ça, c'est des gens qui ont mis le même mdp sur binette et ailleurs. t'es toujours un vilain hacker, mais eux sont mauvais
à moins que la faille soit chez bli, ils y peuvent rien

[Njuk]

Citation :

Publié par Eyce Karmina

Et ça marche très très bien (de mieux en mieux).

Je confirme

[Merowym]

Citation :

Publié par Nysza

S'il faut que j'envoie un sms à chaque fois que je me log, ça va être drôle

c'est l'inverse, tu reçois le sms...
celadit je partage quand même ton avis, tout ça devient très lourd, mais c'est la rançon du succès des jeux vidéos visiblement.

[Eyce Karmina]

Citation :

Publié par Nysza

Yep, mais si tu hack des gens comme ça, c'est des gens qui ont mis le même mdp sur binette et ailleurs. t'es toujours un vilain hacker, mais eux sont mauvais
à moins que la faille soit chez bli, ils y peuvent rien

Ils y peuvent quelque chose justement, c'est l'authenticatruc ou le système mis en place par steam (token associé à l'install sur le pc).

La sécurité à base de l/p uniquement ça ne marche qu'avec des utilisateurs très bien sensibilisés et pas trop faignants pour gérer des mdp uniques pour chaque outil.

[Demonrule]

Citation :

Publié par Dawme

J'ai été aussi "hack" et je suis sur à 100% qu'il y a une énorme faille chez blizzard ou que la db users de battle.net a été compromise et je vais vous expliquer pourquoi.
blabla

C'est de ta faute et je vais t'expliquer pourquoi :
1) pas d'authenticator
2) la réponse à la question secrète, sans être connue, peut être déduite en te connaissant un peu. J'imagine que tu parles de ta vie sur Facebook, Twitter, autour d'un verre, etc... Du coup, toutes tes connaissances (et les connaissances de tes connaissances) doivent au moins savoir quel est ton roman préféré, le nom de ton chien, le nom de jeune fille de ta mère.

[Nysza]

Citation :

Publié par Eyce Karmina

Ils y peuvent quelque chose justement, c'est l'authenticatruc ou le système mis en place par steam (token associé à l'install sur le pc).

La sécurité à base de l/p uniquement ça ne marche qu'avec des utilisateurs très bien sensibilisés et pas trop faignants pour gérer des mdp uniques pour chaque outil.

Le truc de steam passe par ton mail, c'est bien gentil, mais si le mec est pas capable de mettre des mots de passes différent et que le mec lui hack son compte, il doit pouvoir lui hack son mail (pire sur binette vu que le mail c'est ton login).

L'auth, c'est sympa, mais j'ai toujours peur de le mettre sur mon smartphone, il a tendance à jamais avoir de batterie, et les tels récents ont une durée de vie à chier. Et j'ai pas envie d'acheter un truc pour protéger des pixels.
J'me suis déjà fait entuber en achetant le jeu

[Quild]

Citation :

Publié par Dawme

J'ai été aussi "hack" et je suis sur à 100% qu'il y a une énorme faille chez blizzard ou que la db users de battle.net a été compromise et je vais vous expliquer pourquoi.

Ca s'est produit ce matin, je jouais quand j'ai eu la boite de dialogue qqun se connecte depuis un autre ordinateur et j'ai été kick (déjà c'est n'imp ça mais bon). J'ai compris ce qui se passait immédiatement et j'ai été sur le site b.net mais entre temps j'ai reçu un mail de changement de mot de passe.

Aprés avoir téléphoné et juste donné mon mail/prénom/nom, mon compte a été reinit et mon perso restauré. Le truc de ouf c'est que d'aprés le mec au tel, la personne a pu changer mon mot de passe car elle connaissait la réponse à ma question secréte. Sauf que j'ai mis cette réponse y a 3 ou 4 ans et que même moi je ne me souvenais pu de comment elle s'écrivait. Comment est ce possible qu'un hacker, même avec un keylogger trojan whatever puisse avoir cette réponse ? Ca ne l'est pas.

Inutile de préciser que je n'ai aucun virus sur mon pc, que je suis dérrière un routeur de toutes façons, et que c'est la seule occurence de "hacking" alors que je joue online depuis 15 ans.... et comme par hasard ça arrive en ce moment où y a des milliers de comptes qui se font "hack" sur D3 depuis 48h, mais c'est une pure coincidence sans doute.

On peut croire ce qu'on veut, je veux bien imaginer qu'un mec ait pu recup mon mot de passe éventuellement mais la réponse à la question secréte, c'était introuvable sans un problème de sécurité côté blizzard.

Ah chaud ça. J'imagine que sur WoW y'a eu quelques tentatives de hack de ton compte en +

Pour reset le password faut la question secrète, mais pas pour le changer. Le mec t'as peut-être raconté n'imp.

@Demonrule : A priori la réponse à la question secrète de Dawme était un nom/prénom, mais si même lui ne savait plus comment ça s'écrivait...
J'espère que c'était pas "mon prof préféré" ou un truc du genre quand même :x.

[Nysza]

Citation :

Publié par Quild

Ah chaud ça. J'imagine que sur WoW y'a eu quelques tentatives de hack de ton compte en +

Pour reset le password faut la question secrète, mais pas pour le changer. Le mec t'as peut-être raconté n'imp.

L'hypothèse se tient

[lemagefou]

Citation :

Publié par Dawme

J'ai été aussi "hack" et je suis sur à 100% qu'il y a une énorme faille chez blizzard ou que la db users de battle.net a été compromise et je vais vous expliquer pourquoi.

Ca s'est produit ce matin, je jouais quand j'ai eu la boite de dialogue qqun se connecte depuis un autre ordinateur et j'ai été kick (déjà c'est n'imp ça mais bon). J'ai compris ce qui se passait immédiatement et j'ai été sur le site b.net mais entre temps j'ai reçu un mail de changement de mot de passe.

Aprés avoir téléphoné et juste donné mon mail/prénom/nom, mon compte a été reinit et mon perso restauré. Le truc de ouf c'est que d'aprés le mec au tel, la personne a pu changer mon mot de passe car elle connaissait la réponse à ma question secréte. Sauf que j'ai mis cette réponse y a 3 ou 4 ans et que même moi je ne me souvenais pu de comment elle s'écrivait. Comment est ce possible qu'un hacker, même avec un keylogger trojan whatever puisse avoir cette réponse ? Ca ne l'est pas.

Inutile de préciser que je n'ai aucun virus sur mon pc, que je suis dérrière un routeur de toutes façons, et que c'est la seule occurence de "hacking" alors que je joue online depuis 15 ans.... et comme par hasard ça arrive en ce moment où y a des milliers de comptes qui se font "hack" sur D3 depuis 48h, mais c'est une pure coincidence sans doute.

On peut croire ce qu'on veut, je veux bien imaginer qu'un mec ait pu recup mon mot de passe éventuellement mais la réponse à la question secréte, c'était introuvable sans un problème de sécurité côté blizzard.

En faite, pour avoir changer mon propre mdp il y a peu. il suffit d'indiquer l’ancien et le nouveau password.

Par contre pour changer son identifiant il faut connaitre ça question/réponse secrète.

je sais, c'est assez étrange.

Donc si le type est passez directe par battle.net et que t'a pas un authenticator, et qu'il connait ton login/mdp c'est simple pour lui de la modifier. Par contre comme il n'avait pas accès a ta question réponse secrète, il n'a pas put changer le mail, sinon il l'aurait fait.

M'enfin, c'est évident que blizzard doit changer pas mal de chose sur battle.net, rien que le mail comme login c'est pas franchement tiptop.

[Quild]

Citation :

Publié par lemagefou

rien que le mail comme login c'est pas franchement tiptop.

Sérieusement ? Tu changes le login quand tu veux...

Là tout de suite, si tu veux, tu crées une adresse mail lemagefoudiablo3mxyzptlk@whatever.com tu l'utilises pour rien d'autre, éventuellement tu formates ton PC derrière, tu touches jamais à cette adresse, ton compte est 100% safe de ce côté.

[Eyce Karmina]

Citation :

Publié par Demonrule

2) la réponse à la question secrète, sans être connue, peut être déduite en te connaissant un peu. J'imagine que tu parles de ta vie sur Facebook, Twitter, autour d'un verre, etc... Du coup, toutes tes connaissances (et les connaissances de tes connaissances) doivent au moins savoir quel est ton roman préféré, le nom de ton chien, le nom de jeune fille de ta mère.

Bullshit, on parle de hack de masse, pas de cas isolé, ils ont autre chose à faire que d'aller perdre leur temps sur fb.

Citation :

Publié par Nysza

Le truc de steam passe par ton mail, c'est bien gentil, mais si le mec est pas capable de mettre des mots de passes différent et que le mec lui hack son compte, il doit pouvoir lui hack son mail (pire sur binette vu que le mail c'est ton login).

L'auth, c'est sympa, mais j'ai toujours peur de le mettre sur mon smartphone, il a tendance à jamais avoir de batterie, et les tels récents ont une durée de vie à chier. Et j'ai pas envie d'acheter un truc pour protéger des pixels.
J'me suis déjà fait entuber en achetant le jeu

Aucun des systèmes n'est parfait, mais ça a le mérite de compliquer la tâche aux pirates vis à vis du grand public.
Perso j'aime pas les authenticatruc toussa, car ça se perd/vole/tombe en panne et t'es bien dans la merde après. Donc je fais de la gestion de l/p à l'ancienne.

[Falith]

Citation :

Publié par Glunn

Je vois pas en quoi c'est plus problématique qu'un login. Si vous laissez trainer votre email partout c'est pas de la faute à Blizzard.

Ton adresse mail traîne partout si elle a plus d'un mois d'existence et d'utilisation, que tu le veuilles ou non. Pas besoin d'aller s'inscrire sur des site pornographiques pour ça.

L'argument est d'autant plus hypocrite que Blizzard a essayé (et cherche encore un moyen) d'imposer la liaison du compte avec Facebook, qui revend ouvertement tes informations personnelles et donc : ton adresse mail.

Bien sûr qu'il y a de grandes chances qu'il y ait un soucis côté utilisateur. Seulement ce soucis qui n'est pas suffisant (mais toujours de trop, on est d'accord) pour la plupart des utilisations habituelles devient suffisant dans le cas des comptes Bnet.
C'est suffisant pour au moins deux raisons qui ont déjà été évoquées : l'email en tant que login, et la non limitation des tentatives de connexion au compte.

L'email en tant que login est impardonnable.
La non limitation des tentatives de connexion est une erreur de design : il est normal de ne pas limiter les tentatives pour se connecter au jeu (encore que l'éjection du connecté préalable est discutable mais largement pratiquée), il est anormal de ne pas les limiter pour se connecter au compte.

Je continue de penser que l'authenticator est fiable et même démesuré concernant un simple compte de jeu en ligne. Je continue aussi de penser que Blizzard se sert de cet outil comme excuse pour se dédouaner de la sécurité en amont défaillante.
Il est anormal de devoir utiliser l'authenticator.

Sinon pour mon cas perso, j'avais eu mon compte WoW piraté (bien que non réactivé ) 3 jours après que je l'ai lié à mon compte Bnet fraîchement créé pour la bêta de D3.
J'ai dit sur l'autre sujet que j'avais trouvé la source du problème de mon côté mais après recherche : c'était un virus inactif (d'où la non détection par mon antivirus) qui n'avait aucun rapport et non un troyen.
Malgré un scan approfondi, je n'ai toujours rien trouvé d'autre sur le PC concerné qui est le seul a avoir été utilisé.

Les antivirus ont beau avoir un train de retard, ça fait plusieurs semaines maintenant et ni la surveillance permanente avec mise à jour quotidienne ni le scan en bootant sur le CD de restauration le plus récent ne m'ont permis de déceler quoi que ce soit.

Bref, je continue de penser à une faille côté Blizzard (ou un brute force, mais ça me semble gros) dont ils se moquent en rejetant la faute sur les clients qui n'utilisent pas l'authenticator.
S'ils veulent réellement se dédouaner de cette responsabilité de sécurité, qu'ils imposent l'authenticator à la création : on pourra discuter du bien fondé de cette décision, on pourra toujours râler sur l'email en tant que login, mais plus du manque de sécurité du compte Bnet.

[lemagefou]

Citation :

Publié par Quild

Sérieusement ? Tu changes le login quand tu veux...

Là tout de suite, si tu veux, tu crées une adresse mail lemagefoudiablo3mxyzptlk@whatever.com tu l'utilises pour rien d'autre, éventuellement tu formates ton PC derrière, tu touches jamais à cette adresse, ton compte est 100% safe de ce côté.

Tu a tout-à-fait raison, mais créer une boite mail a chaque fois que je doit changer de login, et vu que c'est mieux d'en changer régulièrement, c'est pas vraiment ce qui ce fait plus pratique.

[Andromalius]

Citation :

Aprés avoir téléphoné et juste donné mon mail/prénom/nom, mon compte a été reinit et mon perso restauré. Le truc de ouf c'est que d'aprés le mec au tel, la personne a pu changer mon mot de passe car elle connaissait la réponse à ma question secréte. Sauf que j'ai mis cette réponse y a 3 ou 4 ans

T'as pu te la faire choper y'a 3 ou 4 ans, tu jouais plus a WoW donc ca a pas servi, "oh le compte la il se log sur DIII c'est le moment" hop.

Accessoirement annoncer ce genre de failles de données client est obligatoire en France, si Blizzard ne l'a pas fait, c'est qu'il n'y en a pas eu, GOA avait bien du s'y plier à une époque.

[Harest]

Cf. plus haut c'est des conneries ce que le mec a dit de toute façon. Vu que pour changer le mot de passe, on s'en fou de la question secrète .

[Eno]

J'imagine que toute les personnes qui se font hack n'ont pas de virus sur leur PC aujourd'hui, imaginons la db de JoL avec les emails + mdp se fasse hacker, à votre avis ça fait combien de milliers de comptes valides sur des centaines de jeux dispos? Combien de gens utilise le même email avec le même mot de passe partout? ....