[Valcryst]

Citation :

Publié par lemagefou

Ah bien sur si le pc est infécté ça presque sert a rien, la dessus je suis d'accord avec toi. Et encore, comme a dit Aratorn ça implique une prise a contrôle du pc, je n'avais point vu, ton poste.
Au propriétaire du pc a faire ce qu'il faut pour le nettoyer.

par contre j'ai jamais dit que bli² était infaillible la NASA/Steam/Sony ne le sont pas.

edit si Blizzard, n'en parle pas car en théorie l’émulateur Androïd ne sert qu'aux créateur d'appli, et winhaut n'est pas officiel.

Un keylogger qui envoie des données sur Internet n'a pas besoin de prendre la main a distance sur ton PC pour usurper ton identité et ainsi prendre le contrôle d'un compte de jeu...

Donc dans tous les cas, un pc compromis c'est un problème utilisateur comme 95% des vagues de hack de compte de MMO / jeu... De vrai pirates genre Anonymous ont mieux a faire que de pirater des comptes de jeu qui ne les enrichiront pas pour deux sous...

[elyl]

Citation :

Publié par Valcryst

Un keylogger qui envoie des données sur Internet n'a pas besoin de prendre la main a distance sur ton PC pour usurper ton identité et ainsi prendre le contrôle d'un compte de jeu...

Donc dans tous les cas, un pc compromis c'est un problème utilisateur comme 95% des vagues de hack de compte de MMO / jeu... De vrai pirates genre Anonymous ont mieux a faire que de pirater des comptes de jeu qui ne les enrichiront pas pour deux sous...

Tu n'as pas compris de quoi il parle on dirait...

En gros le keyloger pour d3 va chopper les ids que tu tapes pour te log sur le jeu parce qu'il sait que si tu joues au jeu alors tu as obligatoirement un compte battle.net (sinon explique ta technique à blizzard je suis sûr que ça les intéressera beaucoup.).

L'auth quant à lui n'est pas obligatoire pour jouer à d3, je pense même qu'une extrême minorité des joueurs en ont un sur leur pc, donc le keyloger ne va pas chercher à l'obtenir systématiquement. D'autant plus que chaque code est unique donc le récupérer ne sert à rien.
Les données de l'auth quant à elles sont cryptées donc beaucoup plus complexes à exploiter. La solution la plus simple étant donc (comme expliqué au dessus) de prendre le contrôle du pc pour chopper LE code reste de prendre le contrôle du pc ce qui est à peu près impossible à faire en masse de manière automatique.

Conclusion : L'auth sur le pc est moins fiable que l'auth physique ou sur smartphone mais toujours largement suffisant dans la majorité des cas.

(Mon post reprend beaucoup de posts précédents mais un rappel est nécessaire pour certains on dirait.)

[Fugo]

Je me demandais (peux pas tester d'ou je suis). Les codes donnés par les auth ils sont uniques hein ? Genre on peut pas se log en utilisant deux fois le même

[Seeleen]

Ca change tout les x secondes

[Fugo]

Citation :

Publié par Seeleen

Ca change tout les x secondes

le code change sur le mobile ou sur le porte clé, mais un code ayant servi à log in une fois peut il re servir ?

[Harest]

Évidemment que non, quel intérêt sinon ?

[Fugo]

Question au cas ou ^^

[Forgelune]

Citation :

Publié par Harest

Évidemment que non, quel intérêt sinon ?

En théorie oui il peut reservir si il est re sélectionner par la clé. De toute facon une personne qui connaitre se chiffre lors de ta première utilisation. Devrais avoir la chance de retomber pile dessus quand la clé re génère le meme nombre... donc quasi impossible.

[Harest]

Disons que niveau proba on doit pas être loin de celle pour gagner au loto . Le même nombre retombera forcément un jour vu que y'a que 8 chiffres mine de rien, mais avec les différents paramètres qui rentrent en compte y'a sûrement un sacré délai d'ici là. Enfin faudrait voir, j'me demande les infos qu'on peut récup avec la source de WinAuth tiens, vu que le code est généré sans Internet, c'est le logiciel qui le génère j'arrive pas à voir comment y ont pu sécuriser ça en fait.

Citation :

Publié par Fugo

Question au cas ou ^^

Si j'ai bien compris l'astuce :

En liant l'authenticator à ton compte et en lui donnant certaines informations précises, il va mettre au point - ou alors c'est le serveur de sécurité qui va créer la liste - une série de codes propres à ta clef. Quand tu entres le nombre le serveur va vérifier sur la liste et le valider ou pas.
Je pense qu'il y a d'autres trucs qui entrent en jeu, mais c'est grosso merdo l'idée que je me fais de son fonctionnement.

[Mahd]

En fait c'est un algorithme de cryptographie qui génère des codes en fonction d'un "secret" (une looooongue clé) commun et du temps. Après c'est une simple comparaison entre le code généré par l'authenticator et celui que le serveur à généré de son côté

Après même si un code est intercepté d'une manière ou d'une autre, le et les suivants seront impossibles à deviner (tant que la clé reste secrète ofc) vu que la fonction est non-inversible.

Citation :

Publié par Harest

. Enfin faudrait voir, j'me demande les infos qu'on peut récup avec la source de WinAuth tiens, vu que le code est généré sans Internet, c'est le logiciel qui le génère j'arrive pas à voir comment y ont pu sécuriser ça en fait.

Un algorithme de cryptographie robuste c'est par définition publique, ce qui compte c'est de protéger la clée secrète

[Fugo]

Citation :

Publié par Forgelune

En théorie oui il peut reservir si il est re sélectionner par la clé. De toute facon une personne qui connaitre se chiffre lors de ta première utilisation. Devrais avoir la chance de retomber pile dessus quand la clé re génère le meme nombre... donc quasi impossible.

ouais mais justement non je pense pas en fait, car il n'y a pas de liaison entre le mobile et bnet (à part au moment de rentrer l'auth)

J'ai fait le test, en mémorisant le code et en le tapant quand il a changé, l'ancien est toujours accepté, idem après dix codes passés

[Volorace]

Effectivement, je viens de tester, le code reste valide tant qu'il n'est pas utilisé. En revanche, il ne peut être utiliser qu'une seule fois et une fois un code utilisé, il invalide tout les précédents codes.

D'un point de vue sécurité purement théorique, ce n'est pas pas "parfait" dans le sens ou le time expire peut-être trop long. Dans la pratique, c'est déjà extrêmement difficile à pirater car il faudrait pirater et le pc et l'authentificator. Seules ceux sur smartphone et sur pc seraient attaquables. Il faudrait alors trouver la bonne association entre le smartphone et le compte battle.net et que le smartphone soit compromis aussi. Par contre, sur pc, il peut y avoir un risque. Après, c'est de la théorie.

Au vu de l'investissement nécessaire pour le pirate pour y arriver, ça serait complètement ridicule au vu des gains possibles. Autant s'attaquer à Wall Street.

Bref, on parle d'un compte de jeu, là ! Il est mieux sécurisé que votre carte bleu visa avec paiement NFC...

[Sangrifeld]

Citation :

Publié par Nihalsin

Comment peux tu parler d'absurdité avec un argumentaire pareil?

Il a très bien résumé l'aspect sécurité, très sérieusement.

Les mecs dans ton genre son fatiguant, c'est un peu comme les annonciateur de l'apocalypse, ont a beau cassé leur argument par A+B ils continueront toujours à sortir de nouveaux argument plus incohérent les un que les autres...

Mais bon sang vous êtes obligés de vous la jouer taunt sans aucune réponse à la discussion?

On parle d'auth systématique par mail là, 100% gratuit façon steam et autres sites. (solutions qui ont fait leurs preuves)

Stop un peu la guerre des tranchées, et essaie de répondre à la discussion de façon censée, au lieux de te prendre pour dieu qui a forcément raison et donc ne peut qu'envoyer des vents sans se permettre de répondre.

C'est ton genre de participation qui est vraiment chiante dans une discussion, pas une personne ou deux qui soulèvent une interrogation. (Et accessoirement celles d'Aratorn: Question: "La concurrence fait ça, et c'est vrai que c'est pas mal niveau efficacité et 100% gratuit" réponse "la terre est ronde, donc j'ai raison et t'as tord! (Le sujet abordé? osef, le but c'est de casser en parlant d'autre chose, tavu?)".


Je trouve vraiment nulle votre volonté de tourner les sujets en guerre stérile sans aucune discussion possible... Je ne vois pas en quoi parler de la concurrence qui utilise des Auths par mail de façon systématique pour permettre une augmentation de la sécurité gratuite et pour tous, est aussi dérangeant pour une minorité de fans/commerciaux...

[Pinpux]

Citation :

Publié par Sangrifeld

On parle d'auth systématique par mail là, 100% gratuit façon steam et autres sites. (solutions qui ont fait leurs preuves)

Si ton compte Diablo 3 a été hacké avec un keylogger il y a quand même de fortes chances que ta boite mail soit accessible aussi au pirate.

ATTENTION: je ne parle que du cas du joueur standard, pas du génie informatique qui n'a jamais été piraté et ne le sera jamais et qui a créé sont mdp avec le coude pour générer du vrai aléatoire.

[Harest]

Citation :

Publié par Volorace

Bref, on parle d'un compte de jeu, là ! Il est mieux sécurisé que votre carte bleu visa avec paiement NFC...

En même temps si y'en a qui prennent ces méthodes de paiement, on peut plus rien pour eux .

Sinon ça m'étonne que les codes soient valides pendant "si longtemps". J'pensais justement que le changement de 30 secondes était pas là pour rien et qu'on avait un délai très court pour le valider.

[Kadath]

Le code de l'authenticator est valide pour très peu de temps car le temps entre en compte dans la génération du code.
C'est pour cela qu'il faut parfois synchro son authenticator avec le server quand on ne peut pas se logguer.

D'ailleurs dans la version Windows, dans le fichier authenticator.xml (après une sauvegarde) on a par exemple : <servertimediff>-1298</servertimediff>

Maintenant à savoir combien de temps il sera valide... question d'heure, de minute ?
Mais dans tous les cas il ne peut être tout le temps valide.

[bøugedela]

Ça sert à rien l'authenticator.
Enfin si ça sert pour ceux qui ne savent pas entretenir leur pc, pour ceux qui jouent sans firewall, sans antivirus, sans anti-malware, sans anti-spyware.

Quand on lit que plusieurs centaines de comptes ont été hackés, c'est la politique blizzard qui se met en marche : la plupart de ces soient-disant "hacks" sont fictifs mais ils veulent pousser le consommateur à l'achat d'une "sécurité supplémentaire" (il y a des hacks mais ils ne représentent qu'un faible pourcentage).

J'ai joué à wow de 2005 à 2010, jamais je me suis fait hacker.
J'ai visité plusieurs sites interdits par la charte blizzard, et j'ai toujours mes comptes intacts (après c'est sur que si vous leur donné vos infos de compte pour un service de lvling, c'est pour votre pomme).
Je joue à D3 sans authenticator.

[Modéré par Nathos] | Motif : Taunt | Pour les questions : Ma boîte aux lettres

[Sorine]

Citation :

Publié par bøugedela

Ça sert à rien l'authenticator.
Enfin si ça sert pour ceux qui ne savent pas entretenir leur pc, pour ceux qui jouent sans firewall, sans antivirus, sans anti-malware, sans anti-spyware.

Quand on lit que plusieurs centaines de comptes ont été hackés, c'est la politique blizzard qui se met en marche : la plupart de ces soient-disant "hacks" sont fictifs mais ils veulent pousser le consommateur à l'achat d'une "sécurité supplémentaire" (il y a des hacks mais ils ne représentent qu'un faible pourcentage).

J'ai joué à wow de 2005 à 2010, jamais je me suis fait hacker.
J'ai visité plusieurs sites interdits par la charte blizzard, et j'ai toujours mes comptes intacts (après c'est sur que si vous leur donné vos infos de compte pour un service de lvling, c'est pour votre pomme).
Je joue à D3 sans authenticator.

Tout ça pour dire que si vous n'êtes pas trop bête, vous n'avez pas besoin de cette "sécurité".

La sécurité informatique fait partie de mon boulot, je vais jamais sur les sites non fréquentables, je clic jamais sur un lien suspect, j'ouvre jamais les mails bidons, j'ai un pare feu, j’ai un anti spyware, j’ai un AV tjrs à jour, j'utilise tjrs des mots de passe complexes, j'ai jamais donné mes logins/mdp à qui que ce soit (frère, mère, potes, phishing, blizzard ou chinois, tous les même), personne savait que j'avais ce mail sur bnet, aucune info perso ou lien entre mon pseudo, mon mail ou mon nom ne sont trouvables sur le net, j'avais jamais été "hack" depuis 1997.
Tout ça pour dire qu'il y a 2 semaines j'aurais probablement fait un post comme le tiens mais j'aurais sans doute pas omis de dire que, des fois, les failles ne sont pas chez le hacké. Ah now j’ai un auth, je vais en mettre un partout où c'est possible, on me la fait à l'envers qu'une fois, jamais 2

[Associal]

Citation :

Publié par Yuyu

Moi j'aimerais bien qu'ils passent le jeu en offline pour ceux qui ont eu une perte de leur compte Bnet.

Hehehe, pareil !
Au moins je ferais tout pour me faire pirater pour la 1ere fois de ma vie, au lieu de l'inverse.
Pour une fois que ca aurait un avantage, celui de virer leur cochonnerie de online obligatoire qui ne sert à rien quand on joue solo, ca serait la fête.
D'autant plus que l'ah à argent réel, dans le genre feature merdique ca aussi.

Mais je vois au moins un bon côté à la chose. Comme une bonne moitié des gens si ce n'est plus (source: a vue de pif) ne doivent pas avoir d'authentificator, et que beaucoup de gens vont se faire pirater (source: l'experience des forums sur plein de jeux), du coup l'ah a argent réel ne va pas être tant utilisée que ca finalement.

[Yuyu]

Bah là en étant sérieux 2min, vu la quantité et la vitesse de vol de compte, leur AH en euro est un bide avant même d'être lancé.
En faite, actuellement, jouer à un jeu Blizzard sans authentificator, c'est du suicide.

[Nysza]

Citation :

Publié par Yuyu

Bah là en étant sérieux 2min, vu la quantité et la vitesse de vol de compte, leur AH en euro est un bide avant même d'être lancé.
En faite, actuellement, jouer à un jeu Blizzard sans authentificator, c'est du suicide.

Soyons cohérents :
Soit ça passe outre l'authenticator parce que c'est une faille chez bli
Soit ça passe pas l'authenticator et ça a probablement rien à voir

[Clopixol]

Citation :

Publié par Nysza

Soyons cohérents :
Soit ça passe outre l'authenticator parce que c'est une faille chez bli
Soit ça passe pas l'authenticator et ça a probablement rien à voir

Ou la faille permet d'obtenir les login/mdp des comptes mais pas(encore?) la clef de l'authentificator.

[Forgelune]

Citation :

Publié par Yuyu

Bah là en étant sérieux 2min, vu la quantité et la vitesse de vol de compte, leur AH en euro est un bide avant même d'être lancé.
En faite, actuellement, jouer à un jeu Blizzard sans authentificator, c'est du suicide.

Je pense pas que cela soit une super réussite en effet... Car pour avoir été hacké une fois et ne pas avoir trouvé de cheval de troie ou autre cochonnerie sur mon PC ( Ad-aware+Malwarebytes A-M et Firewall/Anti-virus).

Bin j'avoue que ma confiance est largement émoussé... Surtout vu les messages accusant à 100% leurs clients qui se sont fait hacké. Bienvenue dans le monde des pigeons comme on dit.

Je reprendrais le titre de ce post mais pour moi ce sera: "Piraté une fois = pas d'utilisation de l'AH en €".

[Nysza]

Citation :

Publié par Clopixol / Esperanza

Ou la faille permet d'obtenir les login/mdp des comptes mais pas(encore?) la clef de l'authentificator.

Dans ce cas on aurait des comptes wow vidés de partout