[JConnor]

Citation :

Publié par Zzabur

Bref, si tu es persuadé que toutes les "grosses boites" sont inpiratables et disent toujours la vérité, je t'enjoins a jeter un oeil a ce qui est arrivé à Lexsi, cabinet de protection du "patrimoine informationnel", en gros des spécialistes de lutte contre le piratage, il y a quelques jours...

Les grosses boites ont plus intérêt à dire la vérité que les joueurs. D'ailleurs, les joueurs mentent systématiquement car personne ne va venir vérifier. "mon pc il é 100% clean pt1 de blizzar"

[Sangrifeld]

Citation :

Publié par Lavie

Rien. Disons que tu es sécurisé contre 98,5 % des attaques possibles.. tu ne peux pas avoir 100% de sécurité via des logiciels uniquement (dans le cadre d'une utilisation normale)... l'authenticator permet de ramener ce chiffre à disons à 99,9 %. C'est le principe du coffre-fort avec deux clefs, ça existe depuis belle lurette.

Tu ne pas avoir un pc à l'abri parce qu'en cette matière ça bouge d'heure en heure... et les antivirus, anti-trojan etc. ne font que réagir de leur mieux avec des mise-à-jour. Si ça se trouve, tu t'es fait avoir entre 2 mise-à-jour de ton anti-virus, ou de Java, ou de ton browser.

Que Blizzard annonce une faille demain, ça ne serait pas une grosse surprise non plus. Mais pour l'instant rien ne va dans ce sens. Mais on sait que l'utilisateur est un maillon faible à l'heure actuel, et ça c'est un fait... Même si Blizzard avoue une faille rapidement corrigée, ça n'empêchera pas que des comptes continueront à se faire hacker par les méthodes "tradionnelles"... et que l'authenticator est pour l'instant très fiable comme complément de sécurité (suffit de consulter la liste en page 1).

Heu non, l'authenticator ne protège en rien un PC hein...
Et la comparaison à un coffre à plusieurs serrure n'a rien à voir.
Si tu as un rootkit, ton pc est vérolé. Niveau comparaison, c'est comme si tu rajoutais une serrure à ta salle de bain, alors que ta porte d'entrée est défoncée et grande ouverte de façon à laisser à tous tes trucs de valeur/sensibles.


Après faut savoir que certains sur le net pointent du doigt le bug exploit, qui expliquerait que les pirates n'arrivent à se connecter que quelques secondes sur le dernier perso joué. Auquel cas, les données ne sont peut-être pas compromises, et je ne pense pas que Blizzard soit tenu de communiquer sur les bugs tant que rien est compromis.

Pour moi c'est une troisième alternative plus crédible que le hack de blizzard.

Après sinon Blizzard vient d'annoncer la suppression totale du droit d'accès à l'ah pour ceux qui n'auront pas acheté l'option obligatoire associée. Heureusement que des sociétés comme ebay, paypal, et tous les commerçants du web se débrouillent mieux niveau sécurité pour complexifier les utilisations de données piratées... ( https://forums.jeuxonline.info/showthread.php?t=1182461 )

[Mimu]

En gros la technique gratuite, c'est de créer un personnage niveau 1 vide, et de le jouer à chaque fois avant de déco?

[Von]

Citation :

Publié par Sangrifeld

Après sinon Blizzard vient d'annoncer la suppression totale du droit d'accès à l'ah pour ceux qui n'auront pas acheté l'option obligatoire associée. Heureusement que des sociétés comme ebay, paypal, et tous les commerçants du web se débrouillent mieux niveau sécurité pour complexifier les utilisations de données piratées... ( https://forums.jeuxonline.info/showthread.php?t=1182461 )

Faut le dire en quelle langue que l'authenticator est gratuit sur smartphone ?

[Zzabur]

Citation :

Publié par Lavie

Rien. Disons que tu es sécurisé contre 98,5 % des attaques possibles.. tu ne peux pas avoir 100% de sécurité via des logiciels uniquement (dans le cadre d'une utilisation normale)... l'authenticator permet de ramener ce chiffre à disons à 99,9 %. C'est le principe du coffre-fort avec deux clefs, ça existe depuis belle lurette.

Non, l'authenticator n'apporte aucune sécurité contre les attaques possibles, il apporte juste une 2e identification sur Diablo3. Ca ne garantit absolument pas contre un piratage, par contre si on veut accéder ton compte battle.net, ca rajoute une étape. D'ailleurs si tu es infecté par un trojan/rootkit, tu peux meme 20 auth émulés différents sur ton PC, ca ne changera rien a la securité de ton compte (c'est différent avec les smartphone et les hardware, car ils sont sur un autre support). En gros tu t'es fait hack, donc ta sécurité est 0, mais comme t'as une securité physique, ton compte Bli² ne sera pas inquiété (par contre mail, données bancaires sur site d'achat etc, oui, même carrément).

Ce n'est pas la peine, tu ne comprends pas que battle.net je m'en cogne royalement. Mieux vaut un PC clean sans auth, qu'un PC complètement vérolé, avec un compte D3 safe parce que tu as une sécurité physique, mais ca a part quelques posteurs comme Sangrifeld ou Camelia, personne ne comprend.

Par contre, ma boite mail et mes infos bancaires (par lesquels je n'accède par aucun logiciel Bli², donc pour lesquels l'auth de Bli² ne sert a rien du tout), oui j'ai peur, et pour securiser cela, je cherche ou est la faille chez moi. Si je n'ai pas de faille, et que je me refait pirater mon compte Bli² demain car je n'ai pas l'auth, je m'en cogne.

Si tu ne sais pas lire un log hijackthis, tu peux garder tes remarques car elles ne m'aideront pas, par contre je lance un appel aux pros qui sauront voir un truc qui m'a peut-être échappé. Je suis un lecteur assidu de Misc, je fréquente beaucoup zataz et phrack, donc je pense avoir quelques connaissances de base en architecture réseau, épargnez vous les réponses types, car je suis le premier à hurler quand je vois la gestion de la sécurité d'un grand nombre d'utilisateurs.

Mes dernières références ne font état d'aucun ver/trojan/rootkit que mes logiciels auraient pu rater, et pour les 0day, je ne vois pas à quel moment ca aurait pu passer(entre le 18 mai et le 8 juin),alors si il y en a qui s'y connaissent vraiment, peut il me contacter en pm, j'aimerais un 2e avis (sérieux).

PS :

Citation :

Publié par Solid Marmot

Les grosses boites ont plus intérêt à dire la vérité que les joueurs. D'ailleurs, les joueurs mentent systématiquement car personne ne va venir vérifier. "mon pc il é 100% clean pt1 de blizzar"

C'est pour ca que les différents serveurs militaires mondiaux, le FBI, la NSA, Lexsi, VuPen, le GIE bancaire....n'ont jamais communiqué sur les hacks dont ils ont été victimes? Lexsi c'est une grosse société, qui a bien plus a perdre que Bli², et certainement bien mieux sécurisée, y'a leur BDD qui circule sur les IRC (hack lulzsec), mais ils persistent a dire que c'est pas une faille de chez eux... Tu as tout a fait raison, ils n'ont absolument pas des millions et leur réputation a perdre, rien du tout qui les empecheraient de dire la vérité...Comme Servier qui n'avait absolument pas d'interet financier a assurer que leur médicament était safe pendant 10ans (bien sur ils seront condamnés,lol, ah on me signale que leurs avocats viennent de déposer des centaines de requetes pour différer le procès, surement pour que la vérité éclate au plus vite !)

[Andromalius]

Qu'est ce que tu viens nous chier une pendule si tu joues pas a DIII d'abord ?

Sinon, la première question à poser, c'est "as-tu joué a un jeu battle.net ailleurs que chez toi". Log ton compte SCII dans un cyber pour un tournoi, montré un de tes persos WoW à un pote chez lui, etc.
Si oui, ton PC peut etre parfaitement clean, si le leur l'était pas, carrotte.

La seconde, si tu jouais à WoW: utilisais-tu le client Curse, Wowmatrix ou ce genre de choses ? tous ont eu des virus au cours de leur existence.

Un truc rigolo sinon dans la publi de LOL sur leur faille de sécu (tavu une entreprise est obligée de communiquer la dessus, cqfd)

' We compared encrypted password hashes and discovered that 11 passwords were shared by over 10,000 players each."

Déja la t'as tout compris. Ca fait 440K comptes accessibles avec 11 mdp...

[Cycahus]

Citation :

Publié par Von

Faut le dire en quelle langue que l'authenticator est gratuit sur smartphone ?

Et tu peux tolérer le fait de pas en avoir, après tout moi j'en trouves l'utilité, mon père non et il en a un aussi.

[Zzabur]

Citation :

Publié par Andromalius

Qu'est ce que tu viens nous chier une pendule si tu joues pas a DIII d'abord ?

Sinon, la première question à poser, c'est "as-tu joué a un jeu battle.net ailleurs que chez toi". Log ton compte SCII dans un cyber pour un tournoi, montré un de tes persos WoW à un pote chez lui, etc.
Si oui, ton PC peut etre parfaitement clean, si le leur l'était pas, carrotte.

La seconde, si tu jouais à WoW: utilisais-tu le client Curse, Wowmatrix ou ce genre de choses ? tous ont eu des virus au cours de leur existence.

Un truc rigolo sinon dans la publi de LOL sur leur faille de sécu (tavu une entreprise est obligée de communiquer la dessus, cqfd)

' We compared encrypted password hashes and discovered that 11 passwords were shared by over 10,000 players each."

Déja la t'as tout compris. Ca fait 440K comptes accessibles avec 11 mdp...

Donc non, j'ai toujours joué du même poste. Non, je n'ai pas utilisé le client Curse ou wow matrix. Lis mes derniers posts, je suis deja un peu plus loin dans ma recherche.

Si je fais chier des gens ici, je rappelle qu'il existe une fonction ignore.

Si je pose des questions ici, c'est que le seul hack dont j'ai été victime depuis maintenant 15 ans d'internet concerne D3, et que je n'en trouve pas la cause.

C'est un lieu d'expression et de discussion ou bien faut avoir un avis bien précis pour poster?

Alors ton cqfd : Lexsi a été manifestement hackée (BDD dispo sur le net), mais eux disent que non, pourtant ils ont la même obligation légale, cqfd? S.Humpisch montra publiquement comment on pouvais hacker l'ancien cryptage RSA 320 des CB, le GIE l'a toujours nié (malgré les preuves formelles), et il a été condamné pour l'acte de piratage (donc existant aux yeux de la justice, mais pas du GIE, qui n'a pas été condamné pour son omission)

Rappelons que je ne prétends pas que mon PC soit secure a 100%, mais je pense en faire bien plus que la moyenne (t'as un routeur Debian avec iptables? Tu utilises hijackthis? Tu te tiens au courant des 0day windows? Non? Alors tu ne m'apportera rien), je voudrais juste trouver une piste, car si un keylog me pique mes identifiants b.net, c'est le cadet de mes soucis a coté de ma boite mail.

Je n'accuse pas non plus Bli², mais eux oui, et leur courrier parle de "sans aucun doute possible". Hors, en sécurité informatique, on ne parle jamais de protection safe a 100% (si, le offline, ce que font les militaires pour les données très sensibles), une société prétendant le contraire se discrédite totalement à mes yeux.

[Von]

Citation :

Publié par Cycahus

Et tu peux tolérer le fait de pas en avoir, après tout moi j'en trouves l'utilité, mon père non et il en a un aussi.

Ce qui m'agace, c'est d'entendre que Blizzard force à acheter un authenticator, comprendre pour se faire encore plus de pognon. C'est totalement faux, la version physique existe pour ceux qui n'ont pas d'autre choix, mais ces autres choix sont nombreux (et rappel, l'iPod Touch aussi y a droit).

Par contre, les comptes piratés leur coûtent de l'argent, puisque le support a un coût, et les GM ont mieux à faire que passer leur journée à restaurer des comptes. Il y a clairement un intérêt économique, mais absolument pas dans la vente de porte clés sans marge (ou ridicule).

[Njuk]

Citation :

Publié par Andromalius

' We compared encrypted password hashes and discovered that 11 passwords were shared by over 10,000 players each."

Déja la t'as tout compris. Ca fait 440K comptes accessibles avec 11 mdp...

pourquoi 440k ?

Sinon oui, tu prends azerty,qwerty,123456,password, toto etc, et t'arriveras à log plusieurs dizaines de milliers de compte sur une db qui en compte des millions,
maintenant ca n'explique rien.
On a toujours pas identifié un troyen, un keylogger ou un site de fishing responsable du hack chez les clients Blizzard.

[Cefyl]

Citation :

Publié par Von

Par contre, les comptes piratés leur coûtent de l'argent, puisque le support a un coût, et les GM ont mieux à faire que passer leur journée à restaurer des comptes. Il y a clairement un intérêt économique, mais absolument pas dans la vente de porte clés sans marge (ou ridicule).

Le coup de la marge nulle sur un produit made in China de ce style, j'ai du mal à y croire...Je serais presque étonné qu'ils les payent plus de 1€.....

[Algo]

Citation :

Publié par Zzabur

leur courrier parle de "sans aucun doute possible".

C'est faux. Ou hors contexte.

[Zzabur]

Citation :

Publié par Myrddin

C'est faux. Ou hors contexte.

Je te cite la phrase telle quelle sur mon mail de réponse :

Citation :

Aucun compte de joueur n'a jamais été piraté suite à un accés frauduleux à nos serveurs. Ceux-ci sont surveillés en permanence, et toute tentative d'intrusion a, pour le moment, été repoussée, et analysée.
Bien entendu, aucune protection n'est à 100% fiable, mais nos outils ont, pour le moment, toujours repoussé les attaques des pirates.
Nous pouvons donc vous assurer, sans aucun doute possible, que les piratages actuels sont bien dûs à un défaut de sécurité sur les ordinateurs de nos clients, et pas sur nos serveurs, ce qui est facilement vérifiable et logique.

J'ai répondu en demandant à voir leur preuve, puisque c'est logique et vérifiable. Pas de réponse encore, je vous tiendrai au courant.

[JConnor]

Citation :

Publié par Zzabur

Boite mail non compromise, pas de changement de mdp effectué par le hacker, 1 seul perso dépouillé (lvl 16 alors que j'ai des persos lvl 40+), tous les items du coffre ne sont pas partis. Ca pue le hack de session plutôt que le hack de compte complet.

Il serait en effet stupide pour un hacker de log un perso lvl 16 alors qu'il y en a qui sont 40+.
Si tu dis la vérité, il y a peut être un bug qui fait que tu peux log le perso d'un autre.

[Von]

Vu que l'or et le coffre sont communs à tous les persos, non ça ne change pas grand chose, le stuff lvl 16 et lvl 40 vaut la même chose à peu de choses près.

[JConnor]

A peu de choses près? Les joueurs ne mettent pas l'équipement le plus cher dans leur coffre. Ils le mettent sur leurs persos.

[Helburt]

Citation :

Publié par Solid Marmot

A peu de choses près? Les joueurs ne mettent pas l'équipement le plus cher dans leur coffre. Ils le mettent sur leurs persos.

Oui et non. Le gars qui tombe sur un légendaire ou un jaune dont les stats ne conviennent pas à son perso actuel le mettra très certainement dans le coffre pour un futur personnage ou en tout cas pour un personnage actuellement de trop bas niveau, s'il n'a pas juste l'intention de le vendre tôt ou tard.

[JConnor]

Il n'empêche que si tu as accès à un compte, tu ne vas certainement pas log le perso le plus bas lvl. Tu vas log le plus haut lvl et lui voler l'équipement qu'il porte en priorité. Faut pas déconner.

[Sangrifeld]

Citation :

Publié par Solid Marmot

Il serait en effet stupide pour un hacker de log un perso lvl 16 alors qu'il y en a qui sont 40+.
Si tu dis la vérité, il y a peut être un bug qui fait que tu peux log le perso d'un autre.

C'est une composante systématique dans tous les hacks de cette vague:

Contrairement à ce qui se fait sur WoW et beaucoup d'autres jeux, ils n'arrivent à vider que le dernier perso connecté. (même si au final il n'y a qu'un perso petit lvl de hacké sur le compte avec du lourd à côté, comme beaucoup de témoignages concordants l'ont affirmé)

Et effectivement, oui, c'est stupide et illogique, quand on sait comment ils ont procédé par le passé, sur d'autres jeux.

Pour moi le fait qu'il se soit fait pirater un perso lvl 16 c'est même pas étonnant, au vu de tous les témoignages du même type qu'on trouve sur le net ici et là.

[Zzabur]

Ce que je trouve bizarre :
-dernier perso connecté a poil, mais c'est le plus bas lvl quasiment
-niveau matos, le perso possedait un legendaire, mais lvl 6
-pour le coffre, j'ai des items qui ont disparu, plutot les lucratifs (gemmes, item jaunes lvl 40-60, ca reste quand meme pas grand chose en valeur je pense). il a du fouiller les onglets car c'est principalement la 2e page qui a été vidée, mais aussi un peu la premiere. Manifestement, il a quand meme eu le temps de choisir.
-Par contre tous mes persos lvl 40+ sont clean
-pourquoi ne pas avoir vendu tous les items du coffre au marchand? Pourquoi faire le tri si on est pressé?
-le temps entre la derniere session, et la decouverte du hack est assez long, plusieurs jours, il aurait pu revenir plusieurs fois si il disposait du mdp/login, il aurait pu changer mon pass b.net. Il n'avait pas la pression de l'utilisateur connecté.
-Il n'a pas essayé de modifier mes informations personnelles : dans le cadre d'un hack classique, c'est le premier truc que fait le hacker pour gagner du temps, changement de pass, login, delog du joueur si connecté, le temps que tu comprennes que ton pass a été modifié, que tu écrives a bli² pour reset, qu'ils repondent, ca laisse largement le temps de faire son boulot. Dans mon cas, si j'avais été connecté, ca veut dire que je l'aurais delog en me reconnectant de mon coté.

En bref, il a agi a priori en vitesse, mais malgré tout, il a pris le temps de faire le tri parmi les items du coffre. Perso, si je tombais sur un compte qui vaut le coup, et que j'aie le temps, je ferais tous les persos, sinon, je bazarderais rapidos tout le matos au marchand pour ramasser le plus possible en y passant le moins de temps.

Ca me donne l'impression que le type avait accès à la session du personnage, mais pas a l'ecran de selection. Pourquoi prendre le temps de trier les items du coffre, mais pas de selectionner le personnage le plus interessant?

[Von]

Citation :

Publié par Sangrifeld

Contrairement à ce qui se fait sur WoW et beaucoup d'autres jeux, ils n'arrivent à vider que le dernier perso connecté.

Bon allez ça me saoule. Source ?

[Andromalius]

Citation :

Alors ton cqfd : Lexsi a été manifestement hackée (BDD dispo sur le net)

Connais pas. Ils éditent quel jeu ? trollface.jpg

Citation :

maintenant ca n'explique rien.
On a toujours pas identifié un troyen, un keylogger ou un site de fishing responsable du hack chez les clients Blizzard.

Je te mets 1M de gold IG que...ce sont les mêmes que pour World of Warcraft, tout bêtement. Ca fait 7 ans que des gens se font régulièrement hack sur WoW par les méthodes habituelles. Pas de raison de changer une méthode qui marche.

Citation :

J'ai répondu en demandant à voir leur preuve, puisque c'est logique et vérifiable. Pas de réponse encore, je vous tiendrai au courant.

Des preuves qu'il ne s'est rien passé ? Et tu dis que tu t'y connais en info omg. A leur place je t'enverrais un txt vierge "Bonjour, voici le log des intrusions dans nos données". Ca te ferait les pieds.

[Sorine]

Citation :

Publié par Andromalius

Connais pas. Ils éditent quel jeu ? trollface.jpg

Je te mets 1M de gold IG que...ce sont les mêmes que pour World of Warcraft, tout bêtement. Ca fait 7 ans que des gens se font régulièrement hack sur WoW par les méthodes habituelles. Pas de raison de changer une méthode qui marche.

Des preuves qu'il ne s'est rien passé ? Et tu dis que tu t'y connais en info omg. A leur place je t'enverrais un txt vierge "Bonjour, voici le log des intrusions dans nos données". Ca te ferait les pieds.

Bha sans preuve comment ils arrivent a affirmer qu'il n'existe ni faille connue ni faille inconnue?

[Andromalius]

Ils ont dit que les diverses méthodes autre que l'erreur client qu'ils ont testé ne fonctionnent pas.
Et accessoirement, on trouverait surement les dumps sur le net à l'heure actuelle si c'était une intrusion chez eux.
Sinon peut-être que les hackeurs sont passés via une nouvelle technique ET enseignée par la Grande Pizza Volante mais excuse moi de ne pas partager ta foi.

Après t'en penses ce que tu veux, tu vas te ruiner en papier alu, mais à ce stade annoncer qu'ils sont responsables:
1) Est de la diffamation
2) Conforte les cibles dans l'inutilité de veiller à leur sécurité.
3) Démontre une méconnaissance manifeste de la façon dont est gérée la sécurité informatique d'entreprises de la taille de celles dont on parle, y compris dans l'angle de la communication.

Les hacks de comptes DIII, c'est strictement la même chose que les hacks sur WoW, y'a RIEN de différent.

[Eyce Karmina]

Citation :

Publié par Andromalius

Un truc rigolo sinon dans la publi de LOL sur leur faille de sécu (tavu une entreprise est obligée de communiquer la dessus, cqfd)

' We compared encrypted password hashes and discovered that 11 passwords were shared by over 10,000 players each."

Si chez eux 2 mots de passe identiques pour deux comptes différents donnent le même hash,ça veut dire qu'ils utilisent au mieux un sel fixe ce qui revient à pas de sel (comme linkedin).

Avec des hérésies pareilles tu m'étonnes qu'il y ai d'autres trous de sécurité