[Nysza]

Citation :

Publié par Ohrido/Cener

Personnelement ce qui m'a fait prendre l'authentificateur (sur téléphone) c'est la théorie d'une potentiel intrusion et récupération des login/hash dans la base d'authentification.

Ce qui pourrait grandement facilité ensuite l'opération de brute force.

Changer son mot de passe ça marche à priori aussi, pour ça

[Lavie]

Citation :

Publié par Coquette

Exactement.

d'où nos précautions extrêmes et parce qu'on veut pas d'authenticator...)

Bonjour !

Dans ce cas, installez au moins Winauth ! ça coûte rien, et pour l'instant ça semble aussi efficace dans la pratique que le bidule physique... (même si en théorie, vaut quand même mieux avoir le bidule physique).

http://code.google.com/p/winauth/

[Tyrus]

Perso je suis un gros noob du PC, je clic sur un peu tout parce que je suis curieux, j'ai la flemme de faire des scans de mes disques dur par des virus et j'ai pas d'anti-malware. Et ce depuis facile 10 ans.

Bref, je pense être dans la catégorie à risque, je vous tiendrais au courant si je me fais hack.


Par contre, bon, j'ai un authenticator.

[Ohrido-Survival-Attitude]

Citation :

Publié par Nysza

Changer son mot de passe ça marche à priori aussi, pour ça

On est d'accord, on est en plein dans de l'hypothèse là. Mais si ils ont eu une intrusion une fois, je n'ai plus confiance et je préfère utiliser un authentificateur, qui m'ajoute un autre niveau de sécurité.

[Claret]

Citation :

Publié par Lavie

Bonjour !

Dans ce cas, installez au moins Winauth ! ça coûte rien, et pour l'instant ça semble aussi efficace dans la pratique que le bidule physique... (même si en théorie, vaut quand même mieux avoir le bidule physique).

http://code.google.com/p/winauth/

Pour le moment, l'application est safe (?), car personne n'a encore mit le nez dans le code source véritablement, pour contrôler le bouzin… Beaucoup hurle à la sécurité bidon de Blizzard, mais télécharger le premier projet sur google code, là… ça gêne personne

[Camélia]

Citation :

Publié par Nysza

Changer son mot de passe ça marche à priori aussi, pour ça

D'ailleurs c'est bien la seule chose que je pourrais me reprocher, le fait de ne pas avoir changé de mot de passe depuis à peu près un an de mémoire. Et ça ne m'étonnerait pas que toutes les victimes soient dans ce cas.

[Nysza]

Citation :

Publié par Camélia

D'ailleurs c'est bien la seule chose que je pourrais me reprocher, le fait de ne pas avoir changé de mot de passe depuis à peu près un an de mémoire. Et ça ne m'étonnerait pas que toutes les victimes soient dans ce cas.

Yep, j'ai une sécurité en bois, j'dl du pr0n et j'ai juste un AV gratuit, mais j'ai changé mon mot de passe régulièrement dès que j'ai entendu parler de vagues de hack. J'ai toujours mon compte. ça prouve rien, mais ceux qui l'ont pas encore fait, ça vous coute rien (allez si, faut mémoriser un nouveau pw !)

[Tyrus]

Je pense que ca vient enormement de là en effet.

Même si votre PC est secure aujourd'hui, est ce que vous êtes certains que depuis 1 an, tous les PC qui ont pu approcher de près ou de loin votre compte Bnet (même la page de gestion de compte) sont 100% safe et sécurisé ?

Faut pas se lerer, ils ont des bases de données de comptes/mdp actifs depuis des mois et des mois...

[Valcryst]

Citation :

Publié par Claret

Pour le moment, l'application est safe (?), car personne n'a encore mit le nez dans le code source véritablement, pour contrôler le bouzin… Beaucoup hurle à la sécurité bidon de Blizzard, mais télécharger le premier projet sur google code, là… ça gêne personne

Cela ne gênera probablement pas 90% des utilisateurs des jeux blizzard...

Perso je ne fais pas partie de cette catégorie, mais je ne fais pas non plus partie de celle qui consiste a payer pour avoir une sécurité accrue, et j'ai jamais eu de soucis en 12 ans de jeu online...

[Camélia]

Citation :

Publié par Tyrus

Même si votre PC est secure aujourd'hui, est ce que vous êtes certains que depuis 1 an, tous les PC qui ont pu approcher de près ou de loin votre compte Bnet (même la page de gestion de compte) sont 100% safe et sécurisé ?

Bah pour ma part je n'utilise pas d'autre PC pour.

[Asylum]

Je me suis fait hack y'a deux jours. Ca m'était déjà arrivé après avoir utilisé un addon sur WoW.

[Roitebo]

J'allais dire que je n'utilise Bnet que depuis la sortie de D3, mais en fait non, en août je m'étais fait une séquence nostalgie en profitant du passage au gratuit de WoW jusqu'au lvl 20. Et là, j'avais été forcé de créer un compte Bnet. Sans changer le mdp depuis, of course.

[Yuyu]

Citation :

Publié par Asylum_

Je me suis fait hack y'a deux jours. Ca m'était déjà arrivé après avoir utilisé un addon sur WoW.

Il y a pas d'addon Diablo pour le moment

[Eno]

Citation :

Publié par Hourk

Renseignement pris au près des experts de ma boite (consultant performance en système d'information), il est tout à fait possible de bombarder une application sur le net en changeant d'ip à chaque requête. A partir d'un nom de compte, cela leur parait un jeu d'enfant de hacker un compte.

Par contre, la ou cela rejoint peut être ce que tu dit, le problème de ce type de hack vient de la politique de sécurité du serveur. Mais, avec le peu d'informations que je leur ai donné pour eux le problème vient bien de battle.net. Une explication possible est que les hackeurs possède une liste de compte et n'ont plus qu'a bombarder le serveur de cette liste pour trouver le mot de passe. Grossièrement ils m'ont dit qu'il suffit que le serveur accèpte 25 000 requêtes à la seconde (c'est un ordre de grandeur totalement bidon évidemment) pour injecter différentes ips cherchant le mot de passe d'un compte. C'est une explication très simpliste de hack possible et c'est fort probable qu'il y a une politique de sécurité complexe sur battle.net empêchant ce type de hack.

Je ne demande pas à ce qu'on me croie mais personnellement je fait plus confiance aux experts de ma boite que des anonymes sur le net

Tes experts sont noob, je te dis que c'est pas possible de fake l'adresse IP pour avoir une vraie réponse du serveur, tu peux fake ton IP mais le serveur ne va pas te répondre ni établire de connection TCP Sérieusement faut arrêter de regarder les Experts, y'a des gens avec des vraies connaissances en réseau / sécurité ( définitivement pas les mecs de ta boite )

[Noriel]

Moi ce qui me laisse coi, c'est l'assurance avec laquelle Bli² vient te dire : c'est de ta faute (n443!)

Hors les soucis de PC pas sécurisé, y a t'il déjà des gens qui se sont fait hack en ayant joué que des parties solo ?

[Nysza]

Citation :

Publié par Noriel

Moi ce qui me laisse quoi, c'est l'assurance avec laquelle Bli² vient te dire : c'est de ta faute (n443!)

Hors les soucis de PC pas sécurisé, y a t'il déjà des gens qui se sont fait hack en ayant joué que des parties solo ?

Oui plein. Et PUTIN ça fait 20 fois que je l'explique, IL N'Y A AUCUNE COMMUNICATION CLIENT-CLIENT. C'est un jeu vidéo conçu par des pros, pas du p2p vérolé. Tout passe par le serveur, donc parties publiques ou pas, ça n'a AUCUN PUTIN DE SENS.
Je bouffe mon chapeau d'informaticien si blizzard a fait un truc aussi suicidaire qu'utiliser des connections directes entre les gens où transite vos ID utilisés par le serveur.

[Dashung]

Citation :

Publié par Noriel

Moi ce qui me laisse quoi

Hooooo !
C'est "coi" le terme.

[Panzerjo MILKS]

Je me permet de confirmer ce que dis Eno, changer son adresse IP ne sert a rien.
Ca revient a mettre sur le dos d'une lettre un autre expéditeur qui n est pas nous même.
La personne va bien recevoir la lettre, mais quand il va vouloir répondre, le véritable expéditeur ne pourra jamais la recevoir.
Alors oui, il pourrait avoir accès a la post (des routeurs) et s'arranger pour que tous se redirigent vers son adresse principale. Mais ca demande des moyens assez énormes.

Citation :

- Nombre de tentatives pour se logguer avant blocage du compte (d'ailleurs quelqu'un serait me dire le nombre ?)
- Non prise en compte de la casse pour le mot de passe
- Ejection du joueur déjà loggué
- Modification du mot de passe sans confirmation à effectuer par un lien dans un mail

Pour le nombre de tentative et l'ejection ce sont justement des protections contre le hack. Si un compte se bloque apres x tentative, un mec pourrait bloquer les comptes de n'importe qui, juste pour les faire chier.

le kick permet aussi de sécuriser le compte. Je me fais kicker du jeu alors que je suis en train de jouer? Je change directe mon mot de passe sans réfléchir.
De plus si on empêche un joueur de se connecter car il est déjà connecté sur une autre machine, ca pourrait causer des problèmes. Par exemple tu as oublié de deco de ta machine A quand tu vas chez ton pote. Ou alors bug server, et il ne te voit pas deco correctement (bon en théorie ca devrait jamais arrivé, mais on sait jamais).

Concernant la case, ca c'est pas top. Ce ne sont pas les seuls, mais c'est pas top du tout. Après il faut voir que la case dans les mot de passe, bien qu'ajoutant un peu de sécurité, n'est pas forcément le mieux. On nous bassine depuis des années avec des mot de passes contenant des des chiffres, des numéro, des caractère spéciaux, etc. Mais la meilleur sécurité pour un mdp c'est un mdp long. "Jaimemangerdesbeignetsurlbar" sera infiniment plus secure que "Je_sU1s_R0x_Xo4!!!"

Pour la confirmation par email, au vu des problèmes actuels, oui ca me semble être une bonne chose.

[Nysza]

Citation :

Publié par Panzerjo MILKS

Je me permet de confirmer ce que dis Eno, changer son adresse IP ne sert a rien.
Ca revient a mettre sur le dos d'une lettre un autre expéditeur qui n est pas nous même.
La personne va bien recevoir la lettre, mais quand il va vouloir répondre, le véritable expéditeur ne pourra jamais la recevoir.
Alors oui, il pourrait avoir accès a la post (des routeurs) et s'arranger pour que tous se redirigent vers son adresse principale. Mais ca demande des moyens assez énormes.



Pour le nombre de tentative et l'ejection ce sont justement des protections contre le hack. Si un compte se bloque apres x tentative, un mec pourrait bloquer les comptes de n'importe qui, juste pour les faire chier.

le kick permet aussi de sécuriser le compte. Je me fais kicker du jeu alors que je suis en train de jouer? Je change directe mon mot de passe sans réfléchir.
De plus si on empêche un joueur de se connecter car il est déjà connecté sur une autre machine, ca pourrait causer des problèmes. Par exemple tu as oublié de deco de ta machine A quand tu vas chez ton pote. Ou alors bug server, et il ne te voit pas deco correctement (bon en théorie ca devrait jamais arrivé, mais on sait jamais).

Concernant la case, ca c'est pas top. Ce ne sont pas les seuls, mais c'est pas top du tout. Après il faut voir que la case dans les mot de passe, bien qu'ajoutant un peu de sécurité, n'est pas forcément le mieux. On nous bassine depuis des années avec des mot de passes contenant des des chiffres, des numéro, des caractère spéciaux, etc. Mais la meilleur sécurité pour un mdp c'est un mdp long. "Jaimemangerdesbeignetsurlbar" sera infiniment plus secure que "Je_sU1s_R0x_Xo4!!!"

Pour la confirmation par email, au vu des problèmes actuels, oui ca me semble être une bonne chose.

Bémol sur le dernier point, les algos de "bruteforce" qui essayent des mots du dictionnaire ou combinaisons de mots du dictionnaire doivent se concevoir
Sinon, ça se tient, pour le reste
Même si pour le kick c'est un gros problème, ça serait un gros problème sinon aussi

[Dashung]

Citation :

Publié par Panzerjo MILKS

Alors oui, il pourrait avoir accès a la post (des routeurs) et s'arranger pour que tous se redirigent vers son adresse principale. Mais ca demande des moyens assez énormes.

En fait à la base (et je précise bien, à la base) ça dépend de ta proximité physique vis-à-vis du système titulaire de l'ip en question.

Si c'est ton voisin il suffit de bidouiller le répartiteur de la commune.
Si il est à l'autre bout de la planète il va falloir modifier plusieurs backbones...

Donc si les attaques sur D3 sont internationales, c'est peu probable; sans compter les éventuels systèmes de vérification.

[Geglash]

Citation :

Publié par Panzerjo MILKS

Mais la meilleur sécurité pour un mdp c'est un mdp long. "Jaimemangerdesbeignetsurlbar" sera infiniment plus secure que "Je_sU1s_R0x_Xo4!!!"

C'est juste pour faire le chieur, mais a vu de nez, le roxor avec ses Maj/Min/Numériques/Spé est plus safe avec son mdp a 18 caractères que le mangeur de beignet avec ses 28 caractères sans Maj contre un bruteforcing (dans le sens où il y a plus de possibilités).

Sinon, si je dis pas de conneries, la taille max d'un mdp B.Net est de 14 ou 18 caractères.

[Nysza]

Citation :

Publié par Dashung

En fait à la base (et je précise bien, à la base) ça dépend de ta proximité physique vis-à-vis du système titulaire de l'ip en question.

Si c'est ton voisin il suffit de bidouiller le répartiteur de la commune.
Si il est à l'autre bout de la planète il va falloir modifier plusieurs backbones...

Donc si les attaques sur D3 sont internationales, c'est peu probable; sans compter les éventuels systèmes de vérification.

Non mais on parle bien de modifier des trucs de ce niveau là pour hacker un compte D3 ? C'est bien plus probable que ce soit des fails utilisateurs/blizzard, hein, vous vous en rendez compte, et à part vous toucher la nouille sur de la théorie informatique, c'est juste une blague. Si je peux bidouiller l'internet des gens et rediriger des réponses serveur vers moi, je trouverais plus intéressant à faire pour gagner ma vie que pirater des comptes D3, sérieux

[Dashung]

Citation :

Publié par Nysza

Non mais on parle bien de modifier des trucs de ce niveau là pour hacker un compte D3 ? C'est bien plus probable que ce soit des fails utilisateurs/blizzard, hein, vous vous en rendez compte, et à part vous toucher la nouille sur de la théorie informatique, c'est juste une blague. Si je peux bidouiller l'internet des gens et rediriger des réponses serveur vers moi, je trouverais plus intéressant à faire pour gagner ma vie que pirater des comptes D3, sérieux

C'est bien ce que j'ai écrit: c'est peu probable.
Sous-entendu: c'est tellement infinitésimal que les chances sont inexistantes.
Je pensais pas devoir le préciser par contre.

[Nysza]

Citation :

Publié par Dashung

C'est bien ce que j'ai écrit: c'est peu probable.
Sous-entendu: c'est tellement infinitésimal que les chances sont inexistantes.
Je pensais pas devoir le préciser par contre.

T'as précisé que c'était peu probable si c'était international. Ce qui n'a aucun rapport, si on découvre que tous les hackés sont français, j'y croirais pas pour autant. Mais je comprends bien que tu soutenais pas ça comme une possibilité sensée, t'inquiète pas, je précisais pour qu'un de nos amis parano commence pas à répandre la rumeur comme avec d'autres possibilités techniquement loufoques.

[Camélia]

Citation :

Publié par Panzerjo MILKS

le kick permet aussi de sécuriser le compte. Je me fais kicker du jeu alors que je suis en train de jouer? Je change directe mon mot de passe sans réfléchir.

De ton côté tu vois ça comme une erreur classique de battle.net, donc tu te reconnecte juste, même si ça se produit en boucle je pense que les gens verraient plutôt ça comme une instabilité serveur.

Maintenant supposons que tu reçois un message t'indiquant qu'une autre connexion est établie, bah le temps de changer ton mot de passe ton personnage est déjà vidé, ça se fait en même pas une minute. Puis dans tous les cas, même dans celui d'un vidage partiel, ça passera par le service client pour une restauration, donc bon.

Bloquer la connexion c'est plus sûr moins chiant pour le joueur Si tu as oublié de te déconnecter chez ton pote, t'attends le timeout. Il faudrait recevoir une notification en jeu lorsqu'il y a une tentative de connexion au compte en fait, dans ce cas tu reste en jeu mais tu vas changer ton mot de passe, là ce serait plus sûr.