[Nysza]

Citation :

Publié par Cefyl

Il y a tout de même des choses que je capte pas.

Permettre à un joueur avec une IP chinoise de se connecter à un compte en éjectant du jeu le joueur légit à ce moment là, c'est une hérésie.

Permettre une connexion à un jeu à partir d'un autre pays devrait provoquer une demande de vérification du compte (SMS pour ceux qui ont sms activé, sinon mail)

Ouai, ça ... Steam le fait très bien, et ça marche ...
Mais blizzard fournit l'authenticator, donc ya pas besoin d'autre mesure de sécurité, hein ?

edit : revendre le dit compte steam comme une occasion à un neuneu qui croira pouvoir le garder ?

[Camélia]

Citation :

Publié par Stehn`

...

Encore une fois, ce n'est pas parce que la majorité ne sait pas se remettre en question que c'est le cas de tout le monde. Aussi, même chez les gros, aucune protection n'est sûre à 100%. On l'a déjà remarqué. Partir du principe que c'est toujours la faute de l'utilisateur revient à dire que les grosses boîtes n'ont jamais de soucis, et il faut être sacrément déconnecté de la réalité pour admettre ça.

[Khremonion]

Perso je vois un gros avantage à ces hack : ça fait prendre conscience du mauvais niveau de protection de nos pc !

Quand tu penses être irréprochable et que tu te fais hack, tu te rends compte que même avec toute la bonne volonté du monde tu n'es pas à l'abris d'un problème, rien que du fait qu'il y a toujours un décalage entre la mise à jour des anti-virus/malware/logiciels et l'apparition des virus/failles. Et ça te fais réfléchir à tes habitudes d'achat / consultation de compte sur le net.


C'est pas pour rien que toutes les entreprises utilisent le même type de sécurité : si tu essaies de te connecter au réseau de la boite depuis l'extérieur, tu as l'équivalent de l'authenticator.

[kerloken]

Je me répète mais IP chinoise, turque, polonaise ou je ne sais de quel pays qui vous paraît douteux, ce n'est pas la question: personne ici ne connait la méthode exacte qui a amené le piratage de ces comptes: on ne sait pas à quel niveau il y a une faille ni comment elle est exploitée.
Certains sont convaincus de la négligence des victimes, d'autres de celle de Blizzard. Qui a raison on en sait rien, peut-être les deux, peut-être aucun.

Gardez une certaine mesure sur vos hypothèses, il n'y a actuellement aucun fondement pour aucune d'entre elles.

[Geglash]

Citation :

Publié par Mamat

Les gars qui se font hack sont plus blanc que blanc. (...) et ce sont des experts en sécurité informatique avec au moins 60ans d'XP dans le domaine.

Autant quand quelqu'un dit sur le forum officiel qui travaille dans l'informatique, je me bidonne méchamment, autant sur ce forum, étant donné son passif niveau sujet et ancienneté, j'ai tendance a plus y croire (et ça serait hypocrite de ma part, étant aussi dans l'informatique pour CIC...)

Bon, après, j’attends toujours un nouveau post de la personne disant qu'elle s'est faite hackée avec authenticator...

[Eyce Karmina]

Citation :

Publié par Cefyl

La plupart des banques demandent le numéro de compte pour se logger, pas l'email....

Un numero de compte pour accéder à un compte en banque, c'est le même niveau de confidentialité qu'une adresse mail pour s'auth sur un compte mail : zero.
Et ce n'est pas un problème car un login n'a pas vocation à être secret, ça c'est le rôle du mot de passe.
Un login secret, c'est de l'illusion de sécurité.

[fraanel]

Citation :

Publié par Quild

Pour rester sur l'analogie. Ici le vélo a un antivol, mais le voleur a une pince coupante. Et on vient te dire que tu aurais du monter ton vélo dans ton appartement avec une porte blindée et deux serrures 3 points.

Et quant on tu vandalise ta voiture, pour la volé c'est aussi ta faute ?
Il faut la monté dans ton appartement ?

Au bout d'un moment ce type de réflexion est totalement ridicule. Le 100% sûr n'existe pas, et a fortiori en informatique...
On peu prendre toutes les sécurité possible inimaginable, il existera toujours un moyen d'outre passé.(après on est d'accord que comme pour toute les lois de physique, le hacker prendra toujours le chemin le plus court/facile)
Cela me rappel fortement les discutions sur Hadopi, avec le délit "de défaut de sécurisation".

Je sais pas dans quel domaine spécifique tu travail Stehn', mais je trouve ta vision quand même extrêmement limité. Perso même si je te l'accorde il existe pas mal d'utilisateur qui sont des brelles. Il faut garder l'esprit que cette vague semble quand même être très structuré, et dépasse de loin se que l'on a pu constaté sur d'autre environnement de jeu en ligne.
Donc ici le bénéfice du doute me semble être un minimum, plutôt que tout réfuté en bloc...

[Camélia]

Citation :

Publié par Eyce Karmina

Un numero de compte pour accéder à un compte en banque, c'est le même niveau de confidentialité qu'une adresse mail pour s'auth sur un compte mail : zero.
Et ce n'est pas un problème car un login n'a pas vocation à être secret, ça c'est le rôle du mot de passe.
Un login secret, c'est de l'illusion de sécurité.

Ca ajoute une couche de sécurité contre l'entourage, aussi faible soit elle.
Ce n'est pas pour rien qu'on conseillait les joueurs d'utiliser un login différent de celui des forums par exemple.

[Hourk]

Citation :

Publié par Eno

C'est pas possible parce que tu fini jamais le handshake TCP au complet, tu peux fake la source pendant la première phase mais le serveur ne va jamais te répondre

Renseignement pris au près des experts de ma boite (consultant performance en système d'information), il est tout à fait possible de bombarder une application sur le net en changeant d'ip à chaque requête. A partir d'un nom de compte, cela leur parait un jeu d'enfant de hacker un compte.

Par contre, la ou cela rejoint peut être ce que tu dit, le problème de ce type de hack vient de la politique de sécurité du serveur. Mais, avec le peu d'informations que je leur ai donné pour eux le problème vient bien de battle.net. Une explication possible est que les hackeurs possède une liste de compte et n'ont plus qu'a bombarder le serveur de cette liste pour trouver le mot de passe. Grossièrement ils m'ont dit qu'il suffit que le serveur accèpte 25 000 requêtes à la seconde (c'est un ordre de grandeur totalement bidon évidemment) pour injecter différentes ips cherchant le mot de passe d'un compte. C'est une explication très simpliste de hack possible et c'est fort probable qu'il y a une politique de sécurité complexe sur battle.net empêchant ce type de hack.

Je ne demande pas à ce qu'on me croie mais personnellement je fait plus confiance aux experts de ma boite que des anonymes sur le net

[Volorace]

Citation :

Publié par fraanel

Le 100% sûr n'existe pas, et a fortiori en informatique...

J'ajouterai même qu'il y a une autre logique en sécurité informatique. C'est même la règle numéro 1 en crypto : si le temps nécessaire à un piratage devient excessivement long, il ne devient plus rentable pour le pirate de s'y attarder préférant alors s'attaquer alors à des cibles plus facile/rapide. La seule exception à cette règle est lorsque la cible a une valeur marchande énorme.
Techniquement parlant, chaque système de cryptographie est "crackable". La seule limite est la puissance de calcul nécessaire pour trouver une collision. Ainsi, selon le niveau de sécurité voulu, on s'appuie sur tel ou tel protocole selon le temps nécessaire pour le cracker et son coût en ressource.

En bref, pour en revenir à Diablo 3, il n'y a pas de vol de compte sur les comptes avec authentificator car il est plus facile pour un pirate de voler les millions de comptes qui en ont pas .

[Lavie]

Citation :

Publié par Volorace

J'ajouterai même qu'il y a une autre logique en sécurité informatique. C'est même la règle numéro 1 en crypto : si le temps nécessaire à un piratage devient excessivement long, il ne devient plus rentable pour le pirate de s'y attarder préférant alors s'attaquer alors à des cibles plus facile/rapide. La seule exception à cette règle est lorsque la cible a une valeur marchande énorme.
Techniquement parlant, chaque système de cryptographie est "crackable". La seule limite est la puissance de calcul nécessaire pour trouver une collision. Ainsi, selon le niveau de sécurité voulu, on s'appuie sur tel ou tel protocole selon le temps nécessaire pour le cracker et son coût en ressource.

En bref, pour en revenir à Diablo 3, il n'y a pas de vol de compte sur les comptes avec authentificator car il est plus facile pour un pirate de voler les millions de comptes qui en ont pas .

À ce propos, si le Pirate X prend l'or de la Victime Y et transfert cet or sur un autre perso, comment le pirate s'y prend-t-il pour rester en possession de cet or ? Est-ce que Blizzard ne retrace pas facilement le pirate à partir de moment où la victime rapporte l'évènement chez Blizzard ?

[Nysza]

Citation :

Publié par Lavie

À ce propos, si le Pirate X prend l'or de la Victime Y et transfert cet or sur un autre perso, comment le pirate s'y prend-t-il pour rester en possession de cet or ? Est-ce que Blizzard ne retrace pas facilement le pirate à partir de moment où la victime rapporte l'évènement chez Blizzard ?

Je suppose qu'il y a d'autres transferts après le premier, déguisés en ventes à l'HV, tout ça.

[fraanel]

Citation :

Publié par Lavie

À ce propos, si le Pirate X prend l'or de la Victime Y et transfert cet or sur un autre perso, comment le pirate s'y prend-t-il pour rester en possession de cet or ? Est-ce que Blizzard ne retrace pas facilement le pirate à partir de moment où la victime rapporte l'évènement chez Blizzard ?

Ils doivent certainement utilisé des techniques classiques de blanchiment, via l'HV en diffusant sur différents comptes l'argent voler avec des achats bidon de matériel.
Ce qui fait que l'argent est bien tracé, mais blizzard n’a aucun moyen de savoir si les comptes incriminés sont effectivement des comptes tiers, ou simplement de vrais vendeurs.
De plus pour certains cela peu être de simple passerelle. Donc a l'arrivé je pense qu'il est possible de faire quelque chose de suffisamment sophistiqué, pour que ça soit très difficiles pour eux d'identifié clairement les transites.
Attention ceci n'est que pure supposition.

[Cefyl]

Citation :

Publié par Eyce Karmina

Un numero de compte pour accéder à un compte en banque, c'est le même niveau de confidentialité qu'une adresse mail pour s'auth sur un compte mail : zero.
Et ce n'est pas un problème car un login n'a pas vocation à être secret, ça c'est le rôle du mot de passe.
Un login secret, c'est de l'illusion de sécurité.

Si ton numéro de compte circule autant que ton adresse mail, tu as du soucis à te faire..... Perso, je ne suis pas genre à utiliser mon RIB à la place de cartes de visites....

[Quild]

Citation :

Publié par fraanel

Et quant on tu vandalise ta voiture, pour la volé c'est aussi ta faute ?
Il faut la monté dans ton appartement ?

Au bout d'un moment ce type de réflexion est totalement ridicule. Le 100% sûr n'existe pas, et a fortiori en informatique...
On peu prendre toutes les sécurité possible inimaginable, il existera toujours un moyen d'outre passé.(après on est d'accord que comme pour toute les lois de physique, le hacker prendra toujours le chemin le plus court/facile)
Cela me rappel fortement les discutions sur Hadopi, avec le délit "de défaut de sécurisation".

Je sais pas dans quel domaine spécifique tu travail Stehn', mais je trouve ta vision quand même extrêmement limité. Perso même si je te l'accorde il existe pas mal d'utilisateur qui sont des brelles. Il faut garder l'esprit que cette vague semble quand même être très structuré, et dépasse de loin se que l'on a pu constaté sur d'autre environnement de jeu en ligne.
Donc ici le bénéfice du doute me semble être un minimum, plutôt que tout réfuté en bloc...

Tu as bien compris qu'on allait dans le même sens et que je compare ceux qui crient au défaut de sécurité avec ceux qui diraient de monter ton vélo dans ton appartement ou d'acheter un box sécurisé pour ta voiture pour ne plus être considéré comme responsable ?

edit : Ok

[fraanel]

Citation :

Publié par Quild

Tu as bien compris qu'on allait dans le même sens et que je compare ceux qui crient au défaut de sécurité avec ceux qui diraient de monter ton vélo dans ton appartement ou d'acheter un box sécurisé pour ta voiture pour ne plus être considéré comme responsable ?

Excuse moi j'ai mal tourné mon message, effectivement je continuais à développé ton analogie dans le même sens.
En fait je répondais plus à Stehn' qu'à toi

[Stehn`]

Le 100% sûr n'existe pas, néanmoins mon vélo qui est protégé par un antivol en U en acier trempé ne sera jamais choisi par un voleur à la place du vélo d'à côté qui est protégé par un petit antivol flexible premier prix. En supposant que les deux vélos soient de valeur identique bien entendu.

[Asterra]

Citation :

Publié par Hourk

Renseignement pris au près des experts de ma boite (consultant performance en système d'information), il est tout à fait possible de bombarder une application sur le net en changeant d'ip à chaque requête. A partir d'un nom de compte, cela leur parait un jeu d'enfant de hacker un compte.

Par contre, la ou cela rejoint peut être ce que tu dit, le problème de ce type de hack vient de la politique de sécurité du serveur. Mais, avec le peu d'informations que je leur ai donné pour eux le problème vient bien de battle.net. Une explication possible est que les hackeurs possède une liste de compte et n'ont plus qu'a bombarder le serveur de cette liste pour trouver le mot de passe. Grossièrement ils m'ont dit qu'il suffit que le serveur accèpte 25 000 requêtes à la seconde (c'est un ordre de grandeur totalement bidon évidemment) pour injecter différentes ips cherchant le mot de passe d'un compte. C'est une explication très simpliste de hack possible et c'est fort probable qu'il y a une politique de sécurité complexe sur battle.net empêchant ce type de hack.

Je ne demande pas à ce qu'on me croie mais personnellement je fait plus confiance aux experts de ma boite que des anonymes sur le net

Et voilà la théorie du bruteforce de retour

Ce genre de méthode aboutirai davantage à un deni de service ce qui n'est pas l'objectif des pirates. En prenant tes 25000 try / s , pour casser un passe alphanumérique de 8 caractères: 36^8 / 25000 = environ 1300j pour un seul compte

[fraanel]

Citation :

Publié par Stehn`

Le 100% sûr n'existe pas, néanmoins mon vélo qui est protégé par un antivol en U en acier trempé ne sera jamais choisi par un voleur à la place du vélo d'à côté qui est protégé par un petit antivol flexible premier prix. En supposant que les deux vélos soient de valeur identique bien entendu.

Oui. En même temps je te rejoins également , ce n'est pas forcément parce que tu a un super U de la mort qui tue. Si tu attache la roue....
Sinon un U c'est plus lourd et plus chiant à transporter.

Conclusion pour un compte battle.net il vaut mieux un authentificator, au vu des évènements récents.

[Nysza]

Citation :

Publié par fraanel

Oui. En même temps je te rejoins également , ce n'est pas forcément parce que tu a un super U de la mort qui tue. Si tu attache la roue....
Sinon un U c'est plus lourd et plus chiant à transporter.

Conclusion pour un compte battle.net il vaut mieux un authentificator, au vu des évènements récents.

Au moins winauth je pense. ça se crack, hein, mais y a tellement peu de gens qui l'utilise par rapport à la population totale qu'un hack spécial winauth m'étonnerait vraiment

[TonighT]

Ya des gens qui croient encore que c'est via phishing ou keylogger que les comptes ont été hackés ?
Ma question est vraiment honnête, quand on connait le niveau des hackeurs professionnels comparé à celui des responsables sécurité dans les entreprises : il y a un univers abyssal entre les 2.


Il y a pourtant des signes qui ne trompent pas sur le niveau d'expertise en sécurité informatique de Blizzard :
- Nombre de tentatives pour se logguer avant blocage du compte (d'ailleurs quelqu'un serait me dire le nombre ?)
- Non prise en compte de la casse pour le mot de passe
- Ejection du joueur déjà loggué
- Modification du mot de passe sans confirmation à effectuer par un lien dans un mail

J'en oublie d'autres certainement, mais là on voit que la face visible de l'iceberg.
Qui peut prouver le niveau de cryptage lors de l'authentification, le niveau de cryptage des BD, la sécurité intrusive des serveurs Blizzard, une taupe chez Blizzard (?!???), etc...
Pour moi la faille a été exploitée/trouvée lors de la beta de Diablo 3 ce qui a permis aux hackeurs d'être en action des les 1ers jours du lancement du jeu.


J'ai pris WinAuth mais j'ai l'impression que c'est pas ca qui va me garantir que mon compte ne sera pas hacké.

[Nysza]

Citation :

Publié par TonighT

J'ai pris WinAuth mais j'ai l'impression que c'est pas ca qui va me garantir que mon compte ne sera pas hacké.

Y a pas un seul hack d'auth avéré, donc SI il y a une faille, elle passe pas les auth, jusqu'à preuve du contraire. Je m'inquièterais pas, à ta place

[Gardien]

Citation :

Publié par Stehn`

Le 100% sûr n'existe pas, néanmoins mon vélo qui est protégé par un antivol en U en acier trempé ne sera jamais choisi par un voleur à la place du vélo d'à côté qui est protégé par un petit antivol flexible premier prix. En supposant que les deux vélos soient de valeur identique bien entendu.

ca c'est vite dit, le voleur pourrai se dire que vu la protection du tient, il doit couter plus cher et donc te piquer le tient et laisser l'autre "sans protection" en considérant qu'il doit pas valoir grand chose

[Coquette]

Citation :

Publié par Nysza

Y a un juste milieu entre soutenir une grande théorie du complot blizzardienne et exclure toute possibilité dépassant un peu le fail personnel.
Et la réponse est très probablement entre les deux

Exactement.

Et pour Stehn, j'ai un ami qui a créer un nouveau compte BNet via une machine virtuelle montée sous Azure (cloud Microsoft, clean de chez clean, patchs Windows au taquet, rien dessus) exprès (via son taf), juste pour Diablo 3 (encore un qui s'était déjà fait hack 1 fois sur WoW, comme moi, d'où nos précautions extrêmes et parce qu'on veut pas d'authenticator...)! Ensuite copier-coller du MDP bien complexe (généré). Le lendemain, il était hack. Mais bon, ca doit être de sa faute aussi.
Et tout ceux qui ne se sont jamais fait hack depuis de nombreuses années et de très nombreux jeux/comptes/services sur internet (comme moi) à part sur BNET, qui savent à minima de quoi ils parlent parce qu'ils bossent dans l'informatique, je te pris d'arrêter de les insulter.

Bref, clairement, je pense pour la majorité des cas, je renvois Blizzard à LEURS problèmes, qu'on ne connait pas, mais qui sont présents, c'est sûr!

[Ohrido-Survival-Attitude]

Personnelement ce qui m'a fait prendre l'authentificateur (sur téléphone) c'est la théorie d'une potentiel intrusion et récupération des login/hash dans la base d'authentification.

Ce qui pourrait grandement facilité ensuite l'opération de brute force.