|
Alpha & Oméga
|
Franchement, si la faille venait de chez blizzard, vous pensez vraiment que les hacker s'en prendraient aux mdp de diablo3 alors que si la base de donnée est atteinte, tout le mode de transaction aussi? numéro de CB des 90% des joueurs de wow et de toutes les personnes ayant acheté un jeu Blizzard sur le store online se retrouve accessible.
Brayf, on aurait un scandale à la Sony, pas des hack aléatoire de compte. Percer une DB, ca se fait en une fois mais cela demande un gros investissement, avec à la clé un gros jackpot. Percer la sécurité faible (de base) des PC distant des joueurs est 100% plus facile, demande un investissement de départ plus faible avec des gains plus réduit mais plus étalés dans le temps, un keylogger non détecté, t'as beau changé de mot de passe, tu l'auras toujours dans l'os. Car oui, même la meilleur des protections que vous pourrez appliqué sur votre PC restera faible en comparaison au système d'architecture et de sécurité de Blizzard. Donc, ne vous prenez pas la tête a chercher la meilleur protection distante, par mot de passe, par vigilance personnelle, utilisez le seul outil algorithmique de génération de code synchronisé avec les serveurs d'authentification pour vous protéger. Le problème ne vient pas de blizzard, pas de vous mais des hackers qui seront toujours en avance sur vous. |
09/06/2012, 03h34
|
[Hack] des joliens (#2)
| Suivre |
|
|
Partager | Rechercher |
|
Alpha & Oméga
|
comment on fait pour avoir un auth gratuit quand on a pas de smarthphone ?
et quel est le principe, car tout le monde en parle mais j'en avais pas entendu parlé |
|
09/06/2012, 03h53
|
|
Alpha & Oméga
|
Citation :
http://code.google.com/p/winauth/ |
|
09/06/2012, 04h19
|
|
Alpha & Oméga
|
Il font comment les hackers pour hack le compte?
Quand j'ai voulu log mon account depuis chez un pote, j'ai eu le droit a un truc de sécurité genre, question secrète, et j'ai du changer mon mot de passe via mon mail.. [Modéré par Phenyx : Non.] Dernière modification par Phenyx ; 09/06/2012 à 12h52. |
|
09/06/2012, 04h28
|
|
Alpha & Oméga
|
Citation :
Qui plus est, non, il n'est pas forcément gratuit, certains sont même obligés de payer. Les solutions alternatives comme WinAuth, même si elles fonctionnent bien, ne proposent pas exactement le même niveau de protection, ça aussi il faut en être conscient. Dernière modification par Camélia ; 09/06/2012 à 05h15. |
|
09/06/2012, 05h06
|
|
Oracle
|
L'Authenticator n'est pas réellement gratuit, puisque d'une il nous faut un Smartphone avec Internet dessus et ce n'est pas tout le monde qui n'en possède un. Ensuite, le fait de payer l'Authenticator physique qui coûte 6,50 $ USD n'est pas vraiment cher. Ce qui est cher c'est la taxe de livraison. Pour le Canada, par exemple, la taxe de livraison vaut 10,56 $ USD. Ce qui fait un gros total de 17,06 $ USD. Eh oui. Vous, vous pouvez l'avoir sans taxes de livraison en Europe et pour un prix juste (9,99 euros | 12,49 $ USD). Un McDo en moins n'est pas la fin du monde.
Sinon, oui, il y a WinAuth et d'autres alternatives qui sont gratuites, mais aussi performantes ? Je ne crois pas. BlueStacks est un logiciel pour Windows qui peut « émuler » des applications Android, pour le moment gratuit durant la phase Bêta. Vous pouvez avoir l'Authenticator gratuitement via ce logiciel, mais après sa phase Bêta ne sera plus gratuit. |
|
09/06/2012, 06h42
|
Alpha & Oméga
|
Citation :
Je veux dire : il y a pire dans le domaine du vol des données et la présence d'un authenticator fait qu'on ne se rendra même pas compte qu'on a un problème quelque part. Oui, notre compte sera protégé, mais on ne fait qu'apporter une solution à un problème précis. Il n'y a aucune prévention pour en éviter d'autres. |
|
09/06/2012, 09h25
|
|
[Fz]
Alpha & Oméga
|
Citation :
De même je rejoins l'avis de Camélia, l'auth n'est qu'une façon de dévié le problème, le fond du problème restera toujours présent. Comme je dis toujours à mes clients, internet c'est génial, mais les gens ne sont pas prêt encore pour ce machin.Faudrait des formations et d'ailleurs suffit de voir les réactions sur ce sujet de type "Je suis super clean donc c'est blizzard qui c'est fait piraté"...  Les éditeurs font tout pour sécurisé leurs programmes, windows malgré la rumeur en est une preuve mais le problème comme pour diablo3 n'est pas le logiciel mais l'utilisateur. Enfin bon la c'est pas trop grave et peut être même positif car fait comprendre aux gens qu'ils sont peut être pas si doué que ça et qu'il faut revoir leur sécurité.Ce qui évitera peut être des choses plus grave que je vois très souvent dans le boulot (chantage,extorsion de fond, vol d'identité etc...) |
|
09/06/2012, 10h12
|
|
[F-FR]
Alpha & Oméga
|
L'authenticator est aussi disponible sur iPod Touch.
Pour la livraison, il y a de nombreuses boites, comme Amazon, qui le vendent, donc bon, je suis certain qu'on peut en trouver une qui ne se gave pas. Sinon toujours en lien : http://euw.leagueoflegends.com/news/...security-alert LoL a été hacké, donc si vous avez le même mot de passe que sur Bnet, c'est le moment de changer... |
|
09/06/2012, 10h12
|
|
Alpha & Oméga
|
Citation :
Après il y a toujours plein de gros sites qui se font avoir même si c'est improbable: Allez, il te reste à faire un sujet sur lastfm pour montrer les hackés du doigt... Puis sur tous les sites qui vont se faire hack dans les prochains jours, comme il y en a des milliers par ans. (D'autant plus qu'ici beaucoup disent avoir un mot de passe différent pour chaque compte important, ce qui est la base de la sécurité) Et pendant ce temps on va continuer à se poser des vraies questions, du type "pourquoi les pirates Diablo 3 ne piratent jamais les comptes en entier alors qu'ils auraient un accès complet au compte?", ce qui semble hautement improbable vis à vis de leurs habitudes. |
|
09/06/2012, 11h22
|
|
[F-FR]
Alpha & Oméga
|
Et toi ta parano commence à gonfler.
Je pense que beaucoup de joueurs de D3 ont aussi un compte LoL, donc si ça t'intéresse pas, et bien ne dis rien. |
|
09/06/2012, 11h30
|
|
J'avais pas d'authenticator jusqu'à il y a une ou deux semaines.
J'ai quasi le même mot de passe depuis que je suis sur internet pour tous mes comptes (jeux / mails / partout où je peux choisir) et je ne me suis JAMAIS fait hacké donc vous me faites bien rire avec vos systèmes de sécurité super sophistiqués @nasa. De toute façon, si t'es pris pour cible tu vas sauter, point barre. |
|
09/06/2012, 11h34
|
|
La seule fois ou j'ai eu un virus, de type sasser c’était de ma faute.
Malgré cela j'ai jamais perdu un seule de mes comptes de jeu vidéo, steam, ankama, ncsoft... bon j'ai pas les même mdp d'un site a l'autre, |
|
09/06/2012, 13h16
|
|
[ASGD]
Alpha & Oméga
|
Compte hacked
Pas d'auth Pc passé quotidiennement au scan : antivir, clamwin, sophos anti-rootkit, anti malware Les rapports ne font état d'aucune infection. Raport Hijackthis effectué après le hack : RAS mdp différent de tout compte forum et autres, jamais entré ailleurs que sur la page de login de D3, jamais recu de mail de phishing, seul le mail de confirmation de création de compte est présent sur ma boite mail. Boite mail non compromise, pas de changement de mdp effectué par le hacker, 1 seul perso dépouillé (lvl 16 alors que j'ai des persos lvl 40+), tous les items du coffre ne sont pas partis. Ca pue le hack de session plutôt que le hack de compte complet. Y'a l'air d'y avoir un paquet de pros de l'informatique sur ce fofo, vous avez des idées? et non, je ne prendrai pas l'auth, ce qui m'intéresse, c'est la sécurité de mes données personnelles sur mon PC, mon compte battle.net je m'en tape. Le jour ou tous les jeux nécessiteront un auth, m'en faudra plusieurs centaines 
|
|
09/06/2012, 15h01
|
|
Alpha & Oméga
|
Citation :
|
|
09/06/2012, 15h08
|
|
Empereur / Impératrice
|
Citation :
Des idées il y a tout le long du fils de discussion ! À partir du moment où tu deviens une cible intéressante un simple antivirus ne suffit pas..., il faut redoubler les sécurités. L'authenticator permet cela (l'authenticator n'est pas une invention de Blizzard). Il n'y pas de raison de ne pas en profiter. Sinon comme dis plus haut, je te revois vers les différents liens donnée tout au long du fil...(éventuellement, on pourra les centraliser). http://en.wikipedia.org/wiki/Anti_keylogger |
|
09/06/2012, 15h17
|
|
[ASGD]
Alpha & Oméga
|
Citation :
auth? Ca protègera pas mes données, uniquement mon compte battle.net, donc inutile (je ne joue plus a D3). Je cherche à protéger mes données en général, je me fous de battle.net. En 15 ans d'internet, je n'ai jamais été victime de hack, je cherche donc la faille que je n'aurais pas vue. Me faire piquer mes identifiants à ma banque me semble nettement plus grave que se faire piquer 2 items virtuels dans un coffre. |
|
09/06/2012, 15h28
|
|
Alpha & Oméga
|
Citation :
(Osef qu'il existe une rustine "juste pour blizzard", si c'est un rootkit indétectable qui implique des millions de PCs vérolés...) |
|
09/06/2012, 15h34
|
|
[ASGD]
Alpha & Oméga
|
Exactement.
Je suis assez calé en sécu informatique (tous ceux qui parlent d'antivirus et autres savent-ils analyser un rapport hijackthis avant de faire des recommandations de base?), je ne me prétends pas infaillible, tout comme aucune BDD n'est infaillible. L'histoire se répète, en 1997, S.Humpisch démontre publiquement la faille des CB (que nous utilisons toujours actuellement) au moyen des yes cards, il tente de remonter l'information au GIE bancaire. Il prendra 10 mois de prison avec sursis, et les banques nieront toute faille. Il a acheté publiquement un carnet de tickets de métro à un distributeur avec une carte falsifiée pour montrer la réalité de la faille. Le GIE n'a toujours pas communiqué à ce sujet depuis 15 ans. La faille peut venir de moi, mais prétendre que Bli² est infaillible est tout aussi stupide, rien n'est inviolable, surtout pas une BDD d'un éditeur de jeux. Alors oui, je me remets en cause, mais je ne vois pas ce que j'aurais pu oublier dans mon inspection. Donc si vous avez de vrais tuyaux, je suis preneur. PS : pour ceux qui pensent qu'une boite comme Bli² est inattaquable, un petit film pour vous Dernière modification par Zzabur ; 09/06/2012 à 16h01. |
|
09/06/2012, 15h43
|
|
Alpha & Oméga
|
Citation :
 C'est quand même étrange qu'ils dépouilles les petits perso, pas les mains.. enfin bon, à cet ampleur là, ça doit venir de chez Blizzard.. |
|
09/06/2012, 15h52
|
|
Alpha & Oméga
|
C'est peut-être un changement récent, j'avais testé avec un pote après m'être fait hack et il n'y avait pas cette sécurité.
Citation :
|
|
09/06/2012, 17h32
|
|
Bagnard
|
Citation :
Ajouté à ca que le vol de comptes n'a rien de spécifique à Blizzard, si tu veux me faire avaler que tous les éditeurs de jeux font des opérations portes ouvertes sur leurs DB, désolé, ca passe pas. Si Blizzard s'est fait hacker ses données tu m'expliques pourquoi mon compte a pas été touché mmmh ? Ben tu peux pas, fin de l'épisode. En plus ton comportement est nocif, car il désincite les gens de faire attention à leur sécurité et participe à la propagation du phénomène. Citation :
Je te parie je prends tous les pseudos JOL, j'envoie un mail de phishing à chaque pseudo JOL pour chaque FAI francophone je récupére 1/10000 des logins/pw de WoW de joliens. Pas besoin d'aller chercher midi a 14h et d'aller "hack blizzard", déja j'aurais pas les compétences techniques pour, alors qu'envoyer un mail de phishing et faire un faux site est à la portée du premier venu. Surtout que bon, hack Blizzard, résultat des courses Blizzard reset les mdp de tout le monde en 10 minutes c'est même moins rentable. Dernière modification par Andromalius ; 09/06/2012 à 17h47. |
|
09/06/2012, 17h39
|
|
Alpha & Oméga
|
Citation :
C'est bizarre. F'in bon, 10 ans sans aucun hack ni virus. Avec un antivirus gratuit et le firewall de windows... Pendant ce temps là il la moitité de ma guilde sur wow qui s'est déjà fait hack plusieurs fois et ca arrive bizarrement toujours aux meme... question de chance quoi 
|
|
09/06/2012, 17h46
|
|
[ASGD]
Alpha & Oméga
|
Citation :
C'est vrai que les boites ont tout interet a reconnaitre leurs pertes de données pour entacher leur réputation (ironie encore). C'est vrai que les BDD de Goa, Sony ou encore Second Life récemment n'ont jamais été hackées. Ton compte n'a peut être pas été touché parce que : -les BDD sont segmentées, toutes les données ne sont pas forcément tombées en une seule fois. -Les pirates de la BDD ont les login/mdp, mais n'ont pas interet a se frotter aux comptes avec authenticator (perte de temps) -ton tour n'est peut etre pas encore arrivé Les pirates ne sont pas cons, tu hackes tous les comptes en une seule nuit -> rollback complet du serveur, logs IP spammés, bref un peu casse gueule et tu risques de devoir tout recommencer, alors que si tu piques un peu par ci par la, aucune chance qu'on sorte les gros moyens pour un faible nombre de comptes hack (surtout si on peut faire passer la faute sur l'utilisateur, ce qui est souvent le cas, je te l'accorde). Les meilleurs piratages au niveau financier ne portent que sur une fraction infime des montants qui circulent, tu ne verra pas (ou très peu) un vol de 5 cents sur ton compte bancaire, par contre si on te pique 2000€ d'un coup, ca va tout de suite se voir et la banque va lancer une enquete. Bref, si tu es persuadé que toutes les "grosses boites" sont inpiratables et disent toujours la vérité, je t'enjoins a jeter un oeil a ce qui est arrivé à Lexsi, cabinet de protection du "patrimoine informationnel", en gros des spécialistes de lutte contre le piratage, il y a quelques jours....Tu peux aussi jeter un oeil à VuPen...Des exemples de boites de secu informatique qui se font piquer des BDD, mais démentent toute intrusion, j'en ai des pelletées sous le coude. Oui, c'est illégal, ils ont le devoir de le signaler, dans les faits, c'est le far west, toutes ces boites ont démenti, malgré les preuves (cf les extraits de leurs BDD trouvables sur certains IRC...). Perso je m'en tape de savoir que Bli² est un clone de Fort Knox, ou une passoire, tout ce qui m'intéresse, c'est de trouver ce trojan/malware/0day/rootkit fantôme qui est indétectable pour tous les specialistes de securité informatique (dont ceux de Bli² lol) et qui infecte des millions de PC dans le monde...ou alors trouver une explication autre... Perso, je suis sur que ce n'est pas du phishing, pourquoi? Parce que je garde tous mes mails en archive, et que a posteriori, je ne trouve rien a part le mail de creation de compte sur battle.net. Il y a quand même un truc qui me fout le doute, c'est l'authenticator émulé sur PC. Il ne garantit rien du tout si l'utilisateur est infecté par un trojan ou un rootkit (sinon comment expliquer que le pirate vole les identifiants, mais pas le code auth). Par contre si la BDD est tombée, le hacker ne piratera pas le compte, car il sera confronté au code. Et les utilisateurs de ces auth ne sont pas piratés, donc ca élimine le hack massif au trojan/rootkit. La faille 0day, je n'y crois pas de trop étant donné que D3 doit être à jour pour pouvoir se lancer, et pour ce qu'il y a autour (windows entre autres), mes MaJ sont systématiques. Reste le keylogger, mais la, aucune trace, même avec hijackthis (ce qui semble complètement improbable à priori). Que tu penses que Bli² soit safe et honnête à 100%, c'est ton problème, il n'y a aucune preuve pour l'affirmer, au même titre qu'il n'y a aucune preuve que mon poste actuel soit 100% safe. Bien d'autres sociétés avant eux ont démenti, pour préserver leur réputation, d'autres ont été honnêtes, d'autres encore ont communiqué sous la contrainte. Tout ce qui m'intéresse, c'est de savoir ce que moi j'ai pu oublier dans la sécurisation de mon poste, et la je sèche, et les remarques du style "c'est forcément de ta faute car Bli² ne ment jamais", perso, ca me fait pas avancer.... PS : d'après Bli², il n'y a pas d'IP différente de mon IP de connexion habituelle, donc soit le pirate s'est connecté depuis chez moi (un ninja planqué dans mon armoire attend que je sois parti après avoir vu mon MdP lol), soit je suis victime d'une attaque type MIM (ce qui me semble fortement improbable, et de toutes façons, difficile de se protéger depuis chez moi uniquement), soit le pirate s'est connecté sur le serveur d'auth par télépathie, soit y'a un problème de logs de connexion sur les serveurs d'auth de Bli², soit ils sont incapables de lire leurs propres logs. |
|
09/06/2012, 18h38
|
|
Empereur / Impératrice
|
Citation :
Tu ne pas avoir un pc à l'abri parce qu'en cette matière ça bouge d'heure en heure... et les antivirus, anti-trojan etc. ne font que réagir de leur mieux avec des mise-à-jour. Si ça se trouve, tu t'es fait avoir entre 2 mise-à-jour de ton anti-virus, ou de Java, ou de ton browser. Que Blizzard annonce une faille demain, ça ne serait pas une grosse surprise non plus. Mais pour l'instant rien ne va dans ce sens. Mais on sait que l'utilisateur est un maillon faible à l'heure actuel, et ça c'est un fait... Même si Blizzard avoue une faille rapidement corrigée, ça n'empêchera pas que des comptes continueront à se faire hacker par les méthodes "tradionnelles"... et que l'authenticator est pour l'instant très fiable comme complément de sécurité (suffit de consulter la liste en page 1). |
|
09/06/2012, 19h07
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|