[X3k0]

Citation :

Publié par Eno

[Uuvvww : ]
http://www.skullsecurity.org/blog/20...misconceptions


Donc je me répète pour les autres, Blizzard n'a aucun moyen de connaitre votre mot de passe, c'est d'ailleur pour ça qu'ils disent qu'ils ne vous demanderont jamais le votre et qu'ils le reset à chaques fois.

Plutôt intéressant...

J'ai pas tout lu ( je vais le faire d'ici ce soir), mais en survolant le mdp est simplement haché et inséré dans la BDD comme ça non? Comme c'est le cas pour quasiment tous les mdp en faite...

J'ajoute ce site à mon pokedex.

[Eno]

[Uuvvww : ...]

[Camélia]

Citation :

Publié par fraanel

P.S: Sans compté que ce type de technique toucherais sans distinction, les joueurs avec et sans authentificator. Ce qui n'est pas le cas.

En fait non, on n'en sait rien, on n'a qu'une tendance. Certes elle tend de plus en plus vers le "oui, l'authenticator protège dans ce cas précis" mais je pense qu'il faut attendre encore quelques jours avant de l'affirmer, à la base le nombre de joueur utilisant cette protection est quand même assez faible et on n'a qu'une cinquantaine de reports.

Sinon je confirme ce que dit le mec dans son article concernant les posts disparus de joueurs disant avoir retrouvé leur perso à poil tout en ayant utilisé l'authenticator. J'en avais un que je voulais linker ici, j'ai été incapable de le retrouver. Après il y a peut-être une raison valable à cela, qui sait.

[Sorine]

Citation :

Publié par Eno

[Uuvvww : ...]

Temps convenables? T'as rien compris au principe en fait. Une fois que t'as la base avec couple login/mdp hashé et le type de chiffrement il te suffit de lancer un bruteforce/dico pour trouver des dizaines/centaines de combinaisons par jour.
Trouver un mdp c’est dur, trouver des milliers de correspondances de hashage de mdp au sein d'une database avec des millions de password ça se fait rapidement.

[Uuvvww : ...]

[Sangrifeld]

Citation :

Publié par Eno

[Uuvvww : ...]

Ouai enfin n'en rajoute pas non plus, vu que tu parles de l'hypothèse où blizzard est compromis, si la faille est à ce niveau, ça voudrait dire que tous les mots de passes "faciles à retrouver" soit 25% des joueurs? serraient hackés en priorités.

J'explique un peu en détail pour les néophytes:
Un mot de passe utilisateur, dans le cas où il est stocké en SHA stock juste le mot de passe de façon cryptée.
En pratique ça veut dire quoi? Bah tout simplement, quand la personne essaie de se connecter, alors son mot de passe est alors à nouveau crypté, et comparé au mot de passe crypté dans la base de donnée pour voir si le mot de passe est le bon.
Dans ce cas oui, le mot de passe n'est pas stocké "en clair".
Par contre si un pirate malin infiltre le serveur, alors avec un simple dictionnaire des mots de passes les plus fréquents, il peut pirater au moins 25% des utilisateurs lambdas, tout simplement en essayant les mots de passe les plus fréquents.

Mais après, d'après les retours, beaucoup trop de personnes sont des anciens du net, ou affirment avoir eu des mots de passes forts, pour que cette hypothèse soit réellement crédible pour moi.
Quand on sort des mots de passes qu'on trouve dans un dictionnaire, c'est même pas la peine de s'amuser à essayer de hacker tous les mots de passes forts de cette façon.

[Von]

Sorine, tu peux qualifier quelqu'un n'étant pas de ton avis d'autre chose que fanboy ?

[Sorine]

Citation :

Publié par Von

Sorine, tu peux qualifier quelqu'un n'étant pas de ton avis d'autre chose que fanboy ?

Tu veux dire un mec qui a écrit 5% des posts du thread et rejette en bloc tout ce qui pourrait donner une part minime et/ou potentielle de responsabilité a blizzard par des arguments bidons?

Non je peux pas

[JConnor]

Citation :

Publié par Sorine

Temps convenables? T'as rien compris au principe en fait. Une fois que t'as la base avec couple login/mdp hashé et le type de chiffrement il te suffit de lancer un bruteforce/dico pour trouver des dizaines/centaines de combinaisons par jour.
Trouver un mdp c’est dur, trouver des milliers de correspondances de hashage de mdp au sein d'une database avec des millions de password ça se fait rapidement.
[Uuvvww : ]

https://gist.github.com/1214220

Selon ce site, il faudrait 3*10^98 ans pour cracker le pass qu'Eno a posté à raison de 500 000 000 combinaisons par seconde.

[Eno]

Citation :

Publié par Sorine

Tu veux dire un mec qui a écrit 5% des posts du thread et rejette en bloc tout ce qui pourrait donner une part minime de responsabilité a blizzard par des arguments bidons?

Non je peux pas

Je comprends que tu me qualifie de fanboy et j'ai absolument aucuns problèmes avec ça, le truc c'est qu'on parle sur d'un sujet sensible et ça me fatigue de voir des gens poster les trucs qu'ils trouvent sur internet ( pour la plus part du temps 99% fake ) ou alors qui leur passe par la tête.
Ca fait 3 semaines que le jeu est sorti, ça fait 3 semaines que des hacks se font tous les jours, et honnêtement aucunes compagnies ne cacherait une faille de sécurité de cette ampleur, surtout pas Activision / Blizzard avec leur 7M de compte sur Diablo 3. Enfin je sais pas c'est juste du bon sens, les trucs du genre spoof de sessionID par un mec sur un reply d'un site, les admins qui seraient partient avec la db ect ...
Y'a exactement la même chose sur WoW depuis 8ans et il n'y a pas eu le même foinfoin sur une possible faille de sécurité du coté de chez Blizzard. Je ne blame pas du tout les gens qui se font hacks, tout le monde n'est pas savvy, je trouve juste trop facile de dire que c'est la faute de Blizzard parce qu'on est sûr que son PC / mdp sont safe.

[Von]

Ce que je me demande surtout, c'est pourquoi il n'y a pas eu autant de violence quand c'était WoW qui était touché. D3 vient de sortir, et il y a près de 7 millions de licences, donc l'échelle est massive, mais au final le système d'authentification est exactement même que sur WoW ou SC2.

A mon avis c'est assez simple. Les nouveaux joueurs qui n'avaient pas de compte Bnet sont peu sécurisés, pas d'authenticator, mot de passe probablement redondant avec d'autres sites, genre hotmail, et une protection de l'ordinateur faible. Pour les autres qui jouaient à WoW, ils sont simplement infectés depuis un moment sans le savoir, ou l'ont été récemment.

De toute façon, là où Blizzard a mal joué, c'est en n'obligeant pas de base l'activation d'un authenticator pour accéder à l'ah irl.

[Pormonier]

Citation :

Publié par Eno

Je comprends que tu me qualifie de fanboy et j'ai absolument aucuns problèmes avec ça, le truc c'est qu'on parle sur d'un sujet sensible et ça me fatigue de voir des gens poster les trucs qu'ils trouvent sur internet ( pour la plus part du temps 99% fake ) ou alors qui leur passe par la tête.
Ca fait 3 semaines que le jeu est sorti, ça fait 3 semaines que des hacks se font tous les jours, et honnêtement aucunes compagnies ne cacherait une faille de sécurité de cette ampleur, surtout pas Activision / Blizzard avec leur 7M de compte sur Diablo 3. Enfin je sais pas c'est juste du bon sens, les trucs du genre spoof de sessionID par un mec sur un reply d'un site, les admins qui seraient partient avec la db ect ...
Y'a exactement la même chose sur WoW depuis 8ans et il n'y a pas eu le même foinfoin sur une possible faille de sécurité du coté de chez Blizzard. Je ne blame pas du tout les gens qui se font hacks, tout le monde n'est pas savvy, je trouve juste trop facile de dire que c'est la faute de Blizzard parce qu'on est sûr que son PC / mdp sont safe.

Bha Sony l'a caché jusqu'à qu'une bonne partie de la base de clients PSN soit postée publiquement hein ...
Sony plus petit que Blizzard, moins enclin à vouloir protéger leurs données clients ?
Même si au fond je partage ton avis, je pense aussi qu'il ne faut pas non plus sous évaluer les capacités des pitits hackers ...

Enfin, si il y avait une faille et un gros leak je pense que les pirates auraient rançonné blizzard plutôt que leurs clients. C'est comme ça qu'on fait dans le métier, on rançonne celui qui a le plus à perdre ^^

[Tyrus]

Je pense comme toi Eno, mais pour donner de la nuance aux propos de certaines personnes, la question c'est de savoir si il peut y avoir une faille chez Blizzard, que même Blizzard ignore.

Forcement si c'était connu chez eux, il y aurait une com', parceque bon legalement si il n'y en a pas, ca peut faire mal.
Si c'est inconnu par contre, là oui il peut y avoir un problème.

Je pense que le débat se positionne donc autour de: existe-t-il une faille inconnue de blizzard? plutot que "Blizzard nous ment."

Et perso, je fais plus confiance aux mec de Blizzard qui disent, on a verifié, on a rien trouvé, que anonyme666 qui post un comment sur un random site.

[Camélia]

Citation :

Publié par Von

A mon avis c'est assez simple. Les nouveaux joueurs qui n'avaient pas de compte Bnet sont peu sécurisés, pas d'authenticator, mot de passe probablement redondant avec d'autres sites, genre hotmail, et une protection de l'ordinateur faible. Pour les autres qui jouaient à WoW, ils sont simplement infectés depuis un moment sans le savoir, ou l'ont été récemment.

J'insiste mais non, tout ce que j'ai déjà dis (mot de passe unique, pas de boîte mail "jetable" même si en l’occurrence ça n'a aucune importance, PC supposé être sûr même à ce jour, bonnes habitudes de navigation, pas de partage de compte) est valable depuis plusieurs années. Même si évidement j'ai pu commettre une erreur à un moment donné, le fait que rien ne l'ait laissé supposer jusqu'à ce jour m'en fait quelque peu douter.

Après à ma connaissance les seuls points qui auraient pu être améliorables c'est peut-être quelques mises à jour genre flash (elles ne sont pas automatiques, je les fais quand j'y pense, par contre celles de l'OS sont faites dès qu'elles sont disponibles), un mot de passe plus complexe (manquait de caractère spéciaux en fait, mais ça concerne une majorité là), et des rideaux lorsque je tapais mon mot de passe pour cacher la vue aux satellites espions chinois.

Je veux bien chercher plus loin que ça mais il faudrait proposer des choses un peu moins banales, personnellement j'ai atteint mes limites.

Edit : Tiens sinon le nom du héros de mon nouveau contact c'est Sinyu Et il est toujours actif. Je suppose que Blizzard ban par vague mais si ils ne le font que deux fois par mois ça craint un peu.

[Kafka Datura]

[Uuvvww : ...]

[Von]

Je ne parle pas de cas particulier, mais de la situation générale.

Les mails de phishing sont à mon avis très efficaces pour un grand nombre de nouveaux joueurs.

Citation :

Publié par Von

Je ne parle pas de cas particulier, mais de la situation générale.

Les mails de phishing sont à mon avis très efficaces pour un grand nombre de nouveaux joueurs.

Moui mais quand on voit la liste des joliens hackés, je doute que le phishing soit la cause. Par contre une faille dans flash est probable, le problème c'est que pour le moment on ignore ce qui pourrait être la cause possible de cette vague de hack.

[Cycahus]

Citation :

Publié par Eno

Je comprends que tu me qualifie de fanboy et j'ai absolument aucuns problèmes avec ça

OUUUUUUUHHHHH!!!!

Citation :

Publié par Solid Marmot

https://gist.github.com/1214220

Selon ce site, il faudrait 3*10^98 ans pour cracker le pass qu'Eno a posté à raison de 500 000 000 combinaisons par seconde.

Et si ton ordi en fait 500 008 032 par seconde, hein? Et 500 900 574? Et 686 925 334?

[Sangrifeld]

Citation :

Publié par Cycahus

OUUUUUUUHHHHH!!!!



Et si ton ordi en fait 500 008 032 par seconde, hein? Et 500 900 574? Et 686 925 334?

faut surtout se dire que dans son exemple: il prend un dico avec les 500 000 000 mots de passes les plus fréquents et il passera 1 seconde par compte.

en 1h il aura scanné 3600 comptes, et trouvé au moins 1000 accès valides. (chiffre au pif)

Avec une attaque de ce type les gens vont pas s'amuser à cracker chaque mot de passe "fort" hein, mais ils vont se contenter des mots de passe basse sécurité, pour plus de rentabilité.

Mais je répète que ça ne semble pas correspondre au profil des joueurs ciblés par les attaques qui n'ont pas l'air d'être des noobs du net et de la sécurité.
La probabilité est trop faible je pense pour que ça puisse venir de là.

[Von]

Parce que le jolien est forcément un as de la sécurité ?

[X3k0]

Citation :

Publié par Sangrifeld

Avec une attaque de ce type les gens vont pas s'amuser à cracker chaque mot de passe "fort" hein, mais ils vont se contenter des mots de passe basse sécurité, pour plus de rentabilité.

Le mdp est au minimum de 6caractères non? Avec des chiffres? J'te met au défis de le craquer en 1sec en bruteforce.

[Cycahus]

Citation :

Publié par Von

Parce que le jolien est forcément un as de la sécurité ?

Pas forcément, mon mdp c'est 0000 et j'ai pas d'authentruc, mais vous trouverez jamais mon pseudo

[SilverRequiem]

Un pote vient de se faire hack il a drop un authenti je crois que je vais faire de même pour 5e histoire de pas avoir de mauvaise surprise .

[Sangrifeld]

Citation :

Publié par X3k0

Le mdp est au minimum de 6caractères non? Avec des chiffres? J'te met au défis de le craquer en 1sec en bruteforce.

Une attaque par dictionnaire, c'est avec une liste des mots de passes les plus utilisés, éventuellement avec des chiffres derrière. ou plein de méthodes fréquemment utilisées par les utilisateurs pour masquer leur mot de passe.
Les pirates ne vont pas s’amuser à tester chaque combinaison de caractère une par une.

Comme je viens de dire juste avant:

Vaut mieux pour un pirate qui veut du rendement tester 500 000 mots de passe sur chacun des 3600 mots de passe cryptés en 1h, que de tester neuf cents mille milliards de combinaisons possibles sur un seul compte...

Si quelqu'un a mit martine54 en mot de passe, par exemple, le pirate trouvera facilement le mot de passe via dictionnaire si ce dernier prend en compte des chiffres derrière les mots de passes les plus fréquents par exemple alors qu'en vrai brute force, en testant absolument toutes les possibilités, ça serait juste trop long.

[Bawz]

Edit : je suis tombé dans le trap bêtement, heureusement Camélia ne m'a pas quote l'honneur est sauf.

[Camélia]

Il troll, c'est 8 caractères minimum, avec au moins une lettre et un chiffre.